NIS2 ist Gesetz: 6 Schritte für betroffene Unternehmen | daccord: daccord

NIS2 ist Gesetz. Was müssen betroffene Unternehmen jetzt tun?

Das Warten hat ein Ende: Das Gesetz zur Umsetzung der NIS-2-Richtlinie wurde am 13. November 2025 vom Deutschen Bundestag verabschiedet, am 2. Dezember 2025 ausgefertigt und am 5. Dezember 2025 im Bundesgesetzblatt (BGBl. 2025 I Nr. 301) verkündet. NIS2 ist damit in Deutschland geltendes Recht.

Rund 29.500 Einrichtungen fallen nun unter die Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) – deutlich mehr als bisher. Für viele Unternehmen stellt sich jetzt die dringende Frage: Was muss ich konkret tun und wo fange ich an?

Schritt 1

Schritt 1: Bin ich überhaupt betroffen?

Bevor Sie handeln, sollten Sie prüfen, ob Ihr Unternehmen tatsächlich unter NIS2 fällt. Das BSI stellt hierfür einen offiziellen Entscheidungsbaum zur Betroffenheitsprüfung zur Verfügung.

Kurz zusammengefasst: Betroffen sind Unternehmen aus bestimmten Sektoren, die bestimmte Größenschwellen überschreiten:

Besonders wichtige Einrichtungen: ab 250 Mitarbeitern oder ab 50 Mio. EUR Umsatz und 43 Mio. EUR Bilanzsumme (Sektoren nach Anlage 1, z.B. Energie, Gesundheit, IT/TK, Finanzen)
Wichtige Einrichtungen: ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz und 10 Mio. EUR Bilanzsumme (Sektoren nach Anlage 1 und 2, zusätzlich z.B. Chemie, Lebensmittel, Maschinenbau, digitale Dienste)

Eine ausführliche Übersicht der betroffenen Sektoren und Schwellenwerte finden Sie in unserem Artikel „Wen betrifft die NIS2-Richtlinie?".

Hinweis für Finanzunternehmen:

Banken, Versicherungen und andere beaufsichtigte Institute fallen zusätzlich unter DORA und sind damit von den meisten NIS2-Pflichten ausgenommen. Mehr dazu in unserem Artikel "DORA und IAM".

Schritt 2

Schritt 2: Beim BSI registrieren

Betroffene Einrichtungen sind verpflichtet, sich aktiv beim BSI zu registrieren. Das funktioniert in zwei Schritten:

ELSTER-Organisationszertifikat beantragen – über den digitalen Dienst „Mein Unternehmenskonto"
Registrierung im BSI-Portal – mit dem ELSTER-Organisationszertifikat

Das BSI stellt ein Starterpaket sowie virtuelle Kick-off-Seminare bereit, die Schritt-für-Schritt durch die Betroffenheitsprüfung und den Registrierungsprozess führen.

WEITER ZUM BSI

Schritt 3

Schritt 3: Meldeprozesse einrichten

Erhebliche Sicherheitsvorfälle müssen unverzüglich an das BSI gemeldet werden. Stellen Sie sicher, dass in Ihrem Unternehmen klare Prozesse und Verantwortlichkeiten definiert sind, die eine fristgerechte Meldung ermöglichen. Das BSI hat hierfür offizielle Meldewege im BSI-Portal eingerichtet.

Schritt 4

Schritt 4: Risikomanagement-Maßnahmen umsetzen

Das Gesetz schreibt konkrete Mindestanforderungen vor, die alle betroffenen Einrichtungen umsetzen und nachweisen müssen – darunter:

Risikoanalyse und Informationssicherheit
Krisenmanagement und Business Continuity
Sicherheit der Lieferkette
Cyberhygiene und Schulungen
Zugriffskontrolle und Identity Management
Multi-Faktor-Authentisierung
Lückenlose Dokumentation und Nachweisführung

Gerade der letzte Punkt wiegt schwer: Gegenüber dem BSI und möglichen Prüfern müssen Unternehmen nachweisen können, dass sie die Maßnahmen tatsächlich umgesetzt haben – nicht nur auf dem Papier.

Schritt 5

Schritt 5: Zugriffskontrolle und Access Governance etablieren

Ein zentraler Baustein der NIS2-Anforderungen ist die Kontrolle von Zugriffsberechtigungen.

Die Europäische Kommission empfiehlt ausdrücklich ein vollumfängliches Identity- und Zugriffsmanagement. Konkret bedeutet das:

Sicherstellen, dass Mitarbeiter, externe Dienstleister und Lieferanten nur die Berechtigungen haben, die sie wirklich benötigen (Minimalprinzip / Need-to-know)
Regelmäßige, rollenbasierte Rezertifizierung von Berechtigungen
Klare Verantwortlichkeiten pro System und Rolle
Audit-sichere Dokumentation aller Berechtigungsänderungen – wer hat wann was erhalten oder entzogen?

Eine IAM-Software wie daccord unterstützt Sie dabei, diese Anforderungen strukturiert, effizient und nachweisbar umzusetzen. Mehr dazu in unserem Artikel „Access Governance als zentrale Anforderung von NIS2".

Schritt 6

Schritt 6: Geschäftsführung einbinden – NIS2 ist Chefsache

NIS2 macht Cybersicherheit zur Leitungsaufgabe.

Die Geschäftsführung betroffener Einrichtungen ist persönlich verpflichtet:

Die Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen
Sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen

Das ist keine Formalie: Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Die Verantwortung lässt sich nicht an die IT-Abteilung delegieren.

Fazit

Fazit: Jetzt handeln

NIS2 ist kein zukünftiges Thema mehr – es ist geltendes Recht. Viele der geforderten Maßnahmen brauchen Zeit zur Umsetzung: Rollenmodelle aufbauen, Prozesse definieren, Software einführen, Mitarbeiter schulen. Wer jetzt beginnt, ist im Vorteil.

Das BSI bietet mit seiner NIS-2-Roadmap in 6 Schritten (Analyse, Organisation, Ist-Zustand, Ressourcenplanung, Kernmaßnahmen, Verbesserung) eine praxisnahe Orientierung für den Einstieg.

Quellen

Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BGBl. 2025 I Nr. 301, ausgefertigt 02.12.2025
Bundesamt für Sicherheit in der Informationstechnik (BSI): NIS-2-regulierte Unternehmen
BSI-Pressemitteilung vom 13.11.2025: NIS-2-Umsetzung: Bundestag beschließt Cybersicherheitsgesetz

VIDEO ZUR RISIKOANALYSE

Am Beispiel der Auszubildenden Anna Azubi zeigen wir, wie wir in der IAM-Software daccord schnell zu einer ersten Risikobewertung kommen. Wir halten uns dabei an die Schutzziele des BSI:

Vertraulichkeit
Integrität
Verfügbarkeit

und setzen bei den Daten selbst an. Welche Daten sind kritisch für das Unternehmen und wer hat Zugriff darauf?

ZUM VIDEO

Können wir weiterhelfen?

Access Governance als wesentlicher Baustein

daccord erfüllt wesentliche Anforderungen von NIS2 im Hinblick auf die Kontrolle der Zugriffsberechtigungen Ihrer Mitarbeiter. Access Governance wird ein wesentlicher Baustein, um die Anforderungen von NIS2 zu erfüllen. Eine kontinuierliche, rollenbasierte Rezertifizierung von Berechtigungen minimiert Risiken im Hinblick auf einen möglichen Missbrauch oder auf Cyberangriffe.

Können Sie schon sicherstellen, dass nur die Mitarbeiter Zugriff auf wesentliche Informationen haben, die es im Sinne des Need-to-know Prinzips auch dürten?

DEMO VEREINBAREN

Kontakt

info@daccord.de

+49 (0) 69 85 00 02-0