Was Unternehmen jetzt tun müssen, um NIS-2-Ready zu werden.
Hamburg, 12. November 2025 – Nach monatelangem Ringen hat sich die große Koalition im Bundestag auf die nationale Umsetzung der NIS-2-Richtlinie geeinigt. Am 13. November 2025 beschließt nun der Bundestag das Umsetzungsgesetz. SECURAM Consulting präsentiert ein praxiserprobtes Fünf-Schritte-Vorgehen für mittelständische Unternehmen. Der Zeitdruck ist real: Das Gesetz durchläuft derzeit das parlamentarische Verfahren und wird voraussichtlich Ende 2025 nach Verkündung im Bundesanzeiger in Kraft treten.
Statt bisher 4.500 sind künftig über 30.000 Unternehmen in Deutschland betroffen. Der Kreis der regulierten Einrichtungen erweitert sich deutlich. Neben KRITIS-Betreibern fallen nun „besonders wichtige“ und „wichtige“ Einrichtungen unter die Richtlinie. Die Anforderungen sind konkret:
– dreistufiges Melderegime (24h/72h/30 Tage),
– verschärfte technische und organisatorische Maßnahmen sowie
– Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen.
Politische Klarheit nach zähem Ringen
Die Einigung im Bundestag schafft endlich Rechtssicherheit. Ein zentraler Streitpunkt war die Frage nach so genannten kritischen Komponenten. Die Koalition hat sich diesbezüglich auf eine Ex-post-Regelung verständigt. Betreiber können kritische Komponenten einsetzen, müssen dies dem BSI melden und bei einem späteren Verbot zurückbauen. Die ursprünglich diskutierte Vorab-Prüfung entfällt.
Parallel wird der „CISO Bund“ – der IT-Sicherheitschef der Bundesverwaltung – organisatorisch beim BSI angesiedelt. Erstmals unterliegen auch Bundesbehörden selbst Sicherheitspflichten. Die zügige Verabschiedung soll drohende EU-Strafzahlungen wegen verspäteter Umsetzung abwenden.
„NIS-2 ist kein fernes Zukunftsthema. Das [NIS-2] Gesetz kommt jetzt“, sagt Nadine Eibel, CEO von SECURAM Consulting. „In unseren Projekten erleben wir es regelmäßig: Viele CISOs wissen um die Fristen, aber ein strukturierter Umsetzungsplan fehlt oft. NIS-2 ist mehr als IT-Security. Es geht um Governance, Nachweisführung und persönliche Haftung der Geschäftsführung.“
Die Herausforderungen sind komplex: Neben dem ISMS nach ISO/IEC 27001 müssen Incident-Response-Prozesse, Meldewege und Lieferkettenkontrollen implementiert werden. Die persönliche Verantwortung der Geschäftsführung verschärft den Druck zusätzlich.
Fünf Schritte zur NIS-2-Umsetzung
Schritt 1: Gap-Analyse gegen NIS-2-Pflichten
Ermitteln Sie Abdeckungslücken entlang fünf Dimensionen: Governance, Detektion/Response, Meldewesen, Lieferkette und Resilienz. Ein strukturiertes Readiness-Assessment liefert priorisierte Maßnahmen und realistische Aufwandsschätzungen.
Schritt 2: Verantwortlichkeiten und Steuerung verankern
Die Gesamtverantwortung liegt bei der Geschäftsführung – persönlich und haftungsrelevant. Definieren Sie klare Rollen für ISB/CISO, Incident-Management und Lieferantensteuerung. RACI-Matrizen und verbindliche Eskalationsregeln schaffen Revisionssicherheit.
Schritt 3: ISMS konsolidieren – ISO/IEC 27001 als Fundament
Richtlinienwerk, Risikomanagement, Maßnahmenkataloge und Nachweisführung bilden den Kern. Prüfen Sie bestehende ISO-27001-Elemente und ergänzen Sie NIS-2-spezifische Anforderungen: dreistufiges Melderegime, aufsichtsrechtliche Evidenzen, Geschäftsleiterschulungen.
Schritt 4: Incident-Response und Meldewesen operationalisieren
Definieren Sie Meldeauslöser, 24/7-Erreichbarkeit, forensische Mindestanforderungen und Kommunikationsmuster. Testen Sie Abläufe in Table-Top-Übungen. Verknüpfen Sie SIEM/SOAR-Signale mit klaren Entscheidungswegen.
Schritt 5: Lieferkette und Entwicklungsprozesse absichern
Vereinbaren Sie Sicherheitsklauseln, Nachweise und Audit-Rechte in Verträgen. Bewerten Sie Dritte risikobasiert und binden Sie sie in Melde- sowie Notfallprozesse ein. Für Eigenentwicklung gelten sichere SDLC-Prozesse.
SECURAM bietet zum Einstieg einen kostenlosen Schnell-Check beispielsweise ihrer Passwortrichtlinie an. So erhalten Sie einen ersten Eindruck über den Stand ihrer IT Security. Der Schritt 1 hilft Ihnen dann, die Umsetzung systematisch anzugehen und Prioritäten zu setzen.
Über Nadine Eibel:
Nadine Eibel ist Gründerin und CEO von SECURAM Consulting GmbH und verfügt über mehr als 20 Jahre Berufserfahrung in IT-Security und Informationssicherheit. Als ISO/IEC 27001 Lead Auditor, Certified Information Systems Security Professional (CISSP) und zertifizierter Informationssicherheitsbeauftragter (ISB) hat sie mittelständische Unternehmen aus verschiedenen Branchen begleitet, u.a. KRITIS-Unternehmen, dem Finanzsektor, Medien, Wohnungsgesellschaften und Fertigungsindustrie bei der Umsetzung komplexer Sicherheitsstandards begleitet. Ihre Expertise umfasst die strategische Implementierung von Informationssicherheits-Managementsystemen nach ISO/IEC 27001, KRITIS-Compliance nach BSI IT-Grundschutz, Business Continuity Management sowie die Umsetzung aktueller regulatorischer Anforderungen wie NIS-2, DORA und TISAX. Ein Fachgebiet von besonderem persönlichem Interesse ist für sie die Kryptographie. Die Verschlüsselung von Daten bis hin zur sicheren Schlüsselverwaltung in komplexen Unternehmensumgebungen ist ihr berufliches Steckenpferd.
Die SECURAM-Consulting ist ein Beratungsunternehmen mit Sitz in Hamburg. Das Unternehmen unterstützt mittelständische Unternehmen und Konzerne im DACH-Raum bei der Implementierung von Informationssicherheits-Managementsystemen (ISMS) nach ISO/IEC 27001, Business Continuity Management (BCM) nach ISO 22301 sowie bei Datenschutzthemen nach DSGVO. SECURAM begleitet Kunden zudem bei der Umsetzung regulatorischer Anforderungen wie NIS-2 und KRITIS.
Weitere Informationen unter: www.securam-consulting.com
Firmenkontakt
Securam Consulting GmbH
Florian Priegnitz
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0
https://securam-consulting.com/
Pressekontakt
Securam Consulting GmbH
Florian Priegnitz
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-21
https://securam-consulting.com/