Die Bedrohungslage im Cyberraum hat sich in den vergangenen Jahren dramatisch verschärft. Ransomware-Attacken, Sabotageakte und Angriffe auf Lieferketten sind längst keine Randerscheinungen mehr, sondern wirtschaftliche Realität. Der Gesamtschaden durch Cyberangriffe in Deutschland belief sich 2023 auf rund 206 Milliarden Euro – für 2024 werden sogar 266 Milliarden Euro geschätzt. Diese Zahlen verdeutlichen: Cybersicherheit ist keine technische Nebensache, sondern ein existenzielles Unternehmensthema.

Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) reagiert der Gesetzgeber auf diese Entwicklung. Der entscheidende Unterschied zu bisherigen Regelungen: Es geht nicht mehr nur um den Schutz einzelner „Kritischer Infrastrukturen" wie Kraftwerke oder Wasserwerke. Das neue Gesetz zielt auf die Resilienz der breiten Wirtschaft. Für Unternehmen bedeutet das: knallhartes Ordnungsrecht mit Bußgeldern auf DSGVO-Niveau und – erstmals in dieser Form – persönliche Haftung der Geschäftsleitung.

Wer ist betroffen? Die neue Betroffenheitslogik verstehen

Eine der größten Überraschungen für viele Unternehmen: Sie fallen unter das Gesetz, obwohl sie weder ein Kraftwerk noch ein Krankenhaus betreiben. Das NIS-2-Umsetzungsgesetz unterscheidet primär nach zwei Kriterien: Unternehmensgröße und Sektorzugehörigkeit.

Besonders wichtige Einrichtungen (Essential Entities)

Diese Kategorie umfasst typischerweise Großunternehmen mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Millionen Euro bei gleichzeitiger Bilanzsumme von mehr als 43 Millionen Euro. Die relevanten Sektoren sind:

  • Energie (Strom, Gas, Öl, Wärme)
  • Transport und Verkehr (Luft, Schiene, Wasser, Straße)
  • Finanz- und Versicherungswesen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser- und Abwasserversorgung
  • Weltraum
  • Öffentliche Verwaltung

Besonders relevant für die digitale Wirtschaft: Auch digitale Infrastruktur fällt in diese Kategorie. Das betrifft Cloud-Computing-Dienste, Rechenzentren, Content Delivery Networks, DNS-Dienste sowie Managed Service Provider (MSP) und Managed Security Service Provider (MSSP). Bestimmte Anbieter – etwa DNS-Provider oder Top-Level-Domain-Registries – sind sogar größenunabhängig immer betroffen.

Wichtige Einrichtungen (Important Entities)

Die zweite Kategorie erfasst mittlere Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Bilanzsumme von mehr als 10 Millionen Euro. Der Sektorkatalog ist hier deutlich breiter gefasst:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -handel
  • Forschungseinrichtungen
  • Verarbeitendes Gewerbe (Medizinprodukte, Maschinenbau, Kfz-Industrie, Elektro- und Optikbranche)
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

Die „Size-Cap-Rule" und das Holschuld-Prinzip

Ein kritischer Punkt: Das Gesetz folgt der sogenannten Size-Cap-Rule. Wer die genannten Schwellenwerte überschreitet und in einem gelisteten Sektor tätig ist, fällt automatisch unter die Regulierung. Es erfolgt keine Benachrichtigung durch Behörden. Unternehmen müssen selbst prüfen, ob sie betroffen sind – eine klassische Holschuld.

Indirekte Betroffenheit durch die Lieferkette

Auch Unternehmen, die nicht direkt reguliert sind, kommen um das Thema nicht herum. Das Gesetz verpflichtet regulierte Einrichtungen ausdrücklich, die Sicherheit ihrer Lieferkette zu gewährleisten. In der Praxis bedeutet das: Zulieferer, Dienstleister und Partner werden vertraglich zur Einhaltung entsprechender Sicherheitsstandards verpflichtet. Die Anforderungen sickern also durch die gesamte Wertschöpfungskette.

Der Maßnahmenkatalog: Was Unternehmen konkret umsetzen müssen

Das Gesetz fordert „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen". Diese müssen einem gefahrenübergreifenden Ansatz folgen – es geht also nicht nur um Schutz vor Hackern, sondern auch vor physischen Ereignissen wie Feuer, Stromausfall oder unbefugtem Zutritt.

Der gesetzliche Pflichtenkatalog umfasst zehn konkrete Maßnahmenbereiche:

1. Risikoanalyse und Sicherheitskonzepte

Unternehmen müssen schriftlich fixierte Sicherheitspolicies erstellen und pflegen. Das klingt nach Bürokratie, ist aber die Grundlage für jede strukturierte Sicherheitsarbeit.

2. Bewältigung von Sicherheitsvorfällen (Incident Management)

Wie wird ein Angriff erkannt? Wie wird er gestoppt? Wer ist verantwortlich? Diese Fragen müssen vorab geklärt und in dokumentierten Prozessen festgehalten sein.

3. Business Continuity Management (BCM)

Backup-Management, Disaster Recovery und Krisenmanagement – das Gesetz fordert konkrete Vorkehrungen, um den Geschäftsbetrieb auch im Ernstfall aufrechtzuerhalten. Die Frage „Wie schnell ist der Online-Shop oder die Unternehmensanwendung nach einem Vorfall wieder verfügbar?" muss belastbar beantwortet werden können.

4. Sicherheit der Lieferkette (Supply Chain Security)

Regulierte Einrichtungen müssen die Sicherheitsstandards ihrer Dienstleister überprüfen. Das betrifft Hosting-Provider, Softwareentwickler, Agenturen und alle anderen Partner, die Zugang zu kritischen Systemen haben. Wir bei mindtwo verstehen uns als geprüfter, sicherer Partner in der Lieferkette unserer Kunden – ein Aspekt, der bei der Entwicklung individueller Webanwendungen von Anfang an mitgedacht wird.

5. Sicherheit bei Entwicklung und Wartung

Das Gesetz verpflichtet zu Schwachstellenmanagement – also systematischem Patch-Management und zeitnahen Updates. Ebenso gefordert: „Security by Design", also die Berücksichtigung von Sicherheitsaspekten bereits in der Entwicklungsphase neuer Systeme.

6. Wirksamkeitsprüfung

Sicherheitsmaßnahmen müssen regelmäßig getestet und auditiert werden. Es reicht nicht, Maßnahmen einmal einzuführen – ihre Wirksamkeit muss nachweisbar sein.

7. Cyberhygiene und Schulungen

Mitarbeiterschulungen werden zur Pflicht. Das schwächste Glied in der Sicherheitskette ist oft der Mensch – Phishing, Social Engineering und Unachtsamkeit bleiben zentrale Angriffsvektoren.

8. Kryptografie

Der Einsatz von Verschlüsselung – sowohl für Daten im Transport als auch im Ruhezustand – wird verbindlich vorgeschrieben.

9. Personalsicherheit und Zugriffskontrollen

Wer hat Zugriff auf welche Systeme und Daten? Asset Management und strenge Zugriffskontrollen sind keine optionalen Best Practices mehr, sondern gesetzliche Anforderung.

10. Sichere Kommunikation und Authentifizierung

Multi-Faktor-Authentifizierung (MFA) und gesicherte Kommunikationskanäle für Sprache, Video und Text werden zum Standard. Die Zeiten, in denen ein einfaches Passwort als Schutz ausreichte, sind definitiv vorbei.

Das 3-Phasen-Meldewesen: Keine Zeit für Verzögerungen

Eine der einschneidendsten Neuerungen betrifft die Meldepflichten bei Sicherheitsvorfällen. Das Gesetz etabliert ein striktes 3-Phasen-Modell:

Phase Frist Inhalt
Frühe Warnung 24 Stunden Muss erfolgen, wenn Verdacht auf böswillige Handlung besteht oder grenzüberschreitende Auswirkungen drohen
Meldung 72 Stunden Erste Bewertung des Vorfalls, Schweregrad und Kompromittierungsindikatoren (IoCs)
Abschlussbericht 1 Monat Detaillierte Analyse, Ursachenforschung und dokumentierte Gegenmaßnahmen

Die Meldungen gehen an eine gemeinsame Stelle von BSI und Bundesamt für Bevölkerungsschutz (BBK). Für Unternehmen bedeutet das: Die internen Prozesse müssen so aufgestellt sein, dass diese Fristen eingehalten werden können. Eine „Meldung irgendwann" ist keine Option mehr.

Persönliche Haftung der Geschäftsleitung – das stärkste Argument

Für Geschäftsführer und Vorstände ist dies der entscheidende Punkt: IT-Sicherheit ist nicht mehr delegierbar. Das Gesetz etabliert eine persönliche Umsetzungs- und Überwachungspflicht für die Geschäftsleitung.

Was das konkret bedeutet:

  • Billigungspflicht: Die Geschäftsleitung muss die Sicherheitsmaßnahmen aktiv billigen – nicht nur absegnen, sondern verstehen und mittragen.
  • Überwachungspflicht: Die Umsetzung muss überwacht werden. „Ich habe das an die IT-Abteilung delegiert" gilt nicht mehr als Entlastung.
  • Persönliche Haftung: Geschäftsführer haften der Einrichtung gegenüber persönlich mit ihrem Privatvermögen für schuldhaft verursachte Schäden durch Pflichtverletzung.
  • Haftungsverzicht unwirksam: Ein Verzicht der Gesellschaft auf diese Ersatzansprüche ist gesetzlich unwirksam. Die Haftung kann also nicht vertraglich ausgeschlossen werden.
  • Schulungspflicht: Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um Risiken eigenständig bewerten zu können.

Diese Regelung macht deutlich: Cybersicherheit ist nicht länger ein Thema für die IT-Abteilung allein. Es ist Chefsache im wörtlichen Sinne.

Registrierung, Nachweise und drastische Sanktionen

Registrierungspflicht

Betroffene Unternehmen müssen sich selbstständig innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren. Die Registrierung umfasst Stammdaten, IP-Adressbereiche und Kontaktstellen für Sicherheitsvorfälle. Auch Unternehmen, die bereits unter das IT-Sicherheitsgesetz 2.0 fielen, müssen sich neu registrieren – Bestandsschutz gibt es nicht.

Nachweispflichten

Die Anforderungen unterscheiden sich nach Einrichtungstyp:

  • Besonders wichtige Einrichtungen: Müssen regelmäßig, mindestens alle drei Jahre, Audits oder Zertifizierungen nachweisen.
  • Wichtige Einrichtungen: Unterliegen einer anlassbezogenen Aufsicht. Das BSI kann bei Verdacht Nachweise anfordern und Prüfungen durchführen.

Bußgeldrahmen auf DSGVO-Niveau

Die Sanktionen wurden drastisch erhöht und orientieren sich am Bußgeldniveau der DSGVO:

Einrichtungstyp Maximales Bußgeld
Besonders wichtige Einrichtungen Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Management-Verbot als Ultima Ratio

Bei besonders wichtigen Einrichtungen kann das BSI noch weiter gehen: Wenn Anordnungen nicht befolgt werden, kann der Geschäftsleitung vorübergehend die Tätigkeit untersagt werden. Ein temporäres Management-Verbot ist also rechtlich möglich – ein beispielloser Eingriff, der die Ernsthaftigkeit der Regulierung unterstreicht.

Was Unternehmen jetzt tun sollten

Die Umsetzung der NIS-2-Anforderungen ist kein Sprint, sondern ein strukturiertes Projekt, das verschiedene Unternehmensbereiche einbezieht. Wer jetzt systematisch vorgeht, vermeidet Hektik kurz vor Ablauf der Fristen und schafft nachhaltige Sicherheitsstrukturen. Wir empfehlen ein Vorgehen in fünf aufeinander aufbauenden Phasen.

1. Betroffenheitsanalyse durchführen

Der erste und wichtigste Schritt: Klären Sie verbindlich, ob Ihr Unternehmen unter die NIS-2-Regulierung fällt. Diese Analyse ist keine optionale Vorübung, sondern eine rechtliche Notwendigkeit – denn das Gesetz folgt dem Holschuld-Prinzip.

Prüfschema für die Betroffenheit

  • Schritt A: Unternehmensgröße ermitteln
  • Schritt B: Sektorzugehörigkeit prüfen
  • Schritt C: Sonderregeln beachten
  • Schritt D: Indirekte Betroffenheit bewerten

Dokumentation der Betroffenheitsanalyse

Dokumentieren Sie Ihre Analyse schriftlich – unabhängig vom Ergebnis. Im Fall einer behördlichen Prüfung müssen Sie nachweisen können, dass Sie sich mit der Frage auseinandergesetzt haben. Diese Dokumentation sollte enthalten:

  • Datum der Analyse
  • Verwendete Kennzahlen und deren Quellen
  • Bewertung der Sektorzugehörigkeit
  • Ergebnis und Begründung

2. Gap-Analyse erstellen

Sobald die Betroffenheit feststeht, folgt die systematische Bestandsaufnahme: Wo steht Ihr Unternehmen heute, und wo müsste es laut Gesetz stehen?

Den Ist-Zustand erfassen

Eine Gap-Analyse beginnt mit einer ehrlichen Inventur der bestehenden Sicherheitsmaßnahmen. Strukturieren Sie diese entlang der zehn gesetzlichen Pflichtbereiche:

Checkliste für die Ist-Aufnahme:

Maßnahmenbereich Fragen zur Selbsteinschätzung
Risikoanalyse & Policies Existiert eine dokumentierte IT-Sicherheitsrichtlinie? Wann wurde sie zuletzt aktualisiert? Kennen alle relevanten Mitarbeitenden diese Richtlinie?
Incident Management Gibt es einen dokumentierten Prozess für Sicherheitsvorfälle? Sind Verantwortlichkeiten klar definiert? Wurde der Prozess jemals getestet?
Business Continuity Existieren Backup-Konzepte? Werden Backups regelmäßig getestet? Gibt es einen Disaster-Recovery-Plan mit definierten Wiederherstellungszeiten?
Supply Chain Security Werden Dienstleister auf Sicherheitsstandards geprüft? Gibt es vertragliche Regelungen zur IT-Sicherheit mit Lieferanten?
Sichere Entwicklung & Wartung Gibt es ein systematisches Patch-Management? Werden Sicherheitsaspekte in der Softwareentwicklung berücksichtigt?
Wirksamkeitsprüfung Werden Sicherheitsmaßnahmen regelmäßig auditiert? Gibt es Penetrationstests oder Schwachstellenscans?
Schulungen Werden Mitarbeitende regelmäßig zu IT-Sicherheit geschult? Gibt es Awareness-Maßnahmen zu Phishing und Social Engineering?
Kryptografie Werden Daten im Transport verschlüsselt (HTTPS, TLS)? Werden Daten im Ruhezustand verschlüsselt (Datenbanken, Backups)?
Zugriffskontrollen Gibt es ein dokumentiertes Berechtigungskonzept? Werden Zugriffsrechte regelmäßig überprüft? Existiert ein Asset-Inventar?
Authentifizierung Wird Multi-Faktor-Authentifizierung eingesetzt? In welchen Systemen und für welche Nutzergruppen?

Lücken identifizieren und priorisieren

Aus dem Vergleich zwischen Ist-Zustand und gesetzlichen Anforderungen ergeben sich die Handlungsfelder. Diese sollten Sie nach zwei Kriterien priorisieren:

  1. Risikorelevanz: Welche Lücken haben das größte Schadenspotenzial?
  2. Umsetzungsaufwand: Welche Maßnahmen lassen sich schnell umsetzen, welche erfordern längere Projektlaufzeiten?

Quick Wins – also Maßnahmen mit hoher Wirkung bei geringem Aufwand – sollten Sie zuerst angehen. Typische Beispiele:

  • Aktivierung von MFA für administrative Zugänge
  • Aktualisierung veralteter Softwarekomponenten
  • Dokumentation bereits gelebter, aber nicht schriftlich fixierter Prozesse

Komplexere Maßnahmen – etwa die Einführung eines vollständigen Business-Continuity-Managements oder die Neugestaltung von Entwicklungsprozessen – erfordern eine längerfristige Projektplanung.

Externe Unterstützung einbeziehen

Für viele Unternehmen ist es sinnvoll, die Gap-Analyse durch externe Expertise zu ergänzen. Ein Blick von außen deckt blinde Flecken auf und bringt Best Practices aus anderen Projekten ein. Wichtig dabei: Die Verantwortung für die Umsetzung bleibt beim Unternehmen – externe Partner können unterstützen, aber nicht die gesetzliche Pflicht der Geschäftsleitung übernehmen.

3. Budgets einplanen

IT-Sicherheit erfordert Investitionen – in Technologie, Prozesse und Personal. Diese Investitionen sollten nicht als reiner Kostenfaktor betrachtet werden, sondern als Risikominimierung und Wertschutz.

Die wirtschaftliche Perspektive

Der Gesetzentwurf selbst liefert eine aufschlussreiche Kalkulation: Durch die Umsetzung der geforderten Maßnahmen können statistisch Schäden in Höhe von 250.000 Euro pro Unternehmen abgewendet werden. Dem gegenüber stehen die Kosten für Compliance – die je nach Ausgangslage und Unternehmensgröße variieren, aber in der Regel deutlich unter dem potenziellen Schadenswert liegen.

Hinzu kommt die Vermeidung von Bußgeldern: Bei bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen sind die Sanktionen existenzbedrohend. Prävention ist günstiger als Strafe.

Typische Budgetpositionen

Bei der Budgetplanung sollten Sie folgende Kategorien berücksichtigen:

Einmalige Investitionen:

  • Gap-Analyse und Beratung
  • Erstellung oder Überarbeitung von Sicherheitskonzepten und Dokumentation
  • Technische Aufrüstung (Hardware, Software, Infrastruktur)
  • Implementierung neuer Sicherheitssysteme (SIEM, MFA, Verschlüsselung)
  • Schulungen für Geschäftsleitung und Mitarbeitende
  • Erstmalige Audits oder Zertifizierungen

Laufende Kosten:

  • Wartung und Pflege von Sicherheitssystemen
  • Regelmäßige Updates und Patch-Management
  • Wiederkehrende Schulungen und Awareness-Programme
  • Periodische Audits und Penetrationstests (für besonders wichtige Einrichtungen alle 3 Jahre)
  • Personelle Ressourcen für Sicherheitsmanagement
  • Versicherungen (Cyber-Versicherungen werden wichtiger und ihre Anforderungen strenger)

Budget-Argumentation gegenüber der Geschäftsleitung

Für IT-Verantwortliche, die Budgets intern durchsetzen müssen, liefert NIS-2 starke Argumente:

  1. Gesetzliche Pflicht: Die Maßnahmen sind nicht optional, sondern rechtlich verbindlich.
  2. Persönliche Haftung: Die Geschäftsleitung haftet persönlich – Budgetverweigerung erhöht das eigene Haftungsrisiko.
  3. Schadensvermeidung: Statistisch 250.000 Euro potenzieller Schaden pro Unternehmen, der durch Maßnahmen vermieden wird.
  4. Bußgeldvermeidung: Sanktionen bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes.
  5. Wettbewerbsvorteil: Nachweisbare Sicherheitsstandards werden zum Differenzierungsmerkmal bei der Auftragsvergabe.

4. Technische Maßnahmen umsetzen

Viele der gesetzlich geforderten Maßnahmen betreffen direkt die Web-Infrastruktur und Softwareentwicklung. Hier können technische Partner wie Digitalagenturen einen wesentlichen Beitrag zur Compliance leisten.

Patch-Management und kontinuierliche Wartung

Die Pflicht zum „Schwachstellenmanagement" bedeutet: Bekannte Sicherheitslücken müssen zeitnah geschlossen werden. Das betrifft alle Ebenen der technischen Infrastruktur:

Content-Management-Systeme und Frameworks: Updates für CMS-Kern, Plugins, Module und Themes müssen regelmäßig eingespielt werden. Bei Systemen wie WordPress, Statamic oder TYPO3 erscheinen sicherheitsrelevante Updates oft kurzfristig – eine schnelle Reaktionsfähigkeit ist entscheidend.

Server und Hosting-Umgebung: Betriebssystem-Updates, Webserver-Software (Apache, nginx), Datenbanken (MySQL, PostgreSQL), PHP-Versionen und alle weiteren Serverkomponenten müssen aktuell gehalten werden.

Abhängigkeiten und Libraries: Moderne Webanwendungen nutzen zahlreiche externe Bibliotheken (npm-Pakete, Composer-Dependencies). Tools wie npm audit oder composer audit helfen, bekannte Schwachstellen in Abhängigkeiten zu identifizieren.

Ein strukturierter Wartungs- und Pflegeservice stellt sicher, dass Updates nicht nur sporadisch, sondern systematisch und zeitnah erfolgen. Dokumentierte Update-Protokolle dienen gleichzeitig als Nachweis für die Erfüllung der gesetzlichen Anforderungen.

Security by Design in der Entwicklung

Das Gesetz fordert, dass Sicherheitsaspekte bereits bei der Entwicklung und Beschaffung von Systemen berücksichtigt werden. „Security by Design" ist damit keine Best Practice mehr, sondern Pflicht.

Was das in der Praxis bedeutet:

  • Sichere Architekturentscheidungen: Prinzipien wie „Least Privilege" (minimale Rechte), „Defense in Depth" (mehrschichtige Absicherung) und „Fail Secure" (sicheres Verhalten im Fehlerfall) werden von Anfang an eingeplant.
  • Input-Validierung: Alle Benutzereingaben werden serverseitig validiert und bereinigt, um Injection-Angriffe (SQL, XSS, etc.) zu verhindern.
  • Sichere Authentifizierung: Passwort-Hashing mit aktuellen Algorithmen (bcrypt, Argon2), Session-Management nach Best Practices, Schutz vor Brute-Force-Angriffen.
  • Verschlüsselung: HTTPS als Standard, sichere Speicherung sensibler Daten, verschlüsselte Datenbankverbindungen.
  • Code Reviews und Testing: Sicherheitsfokussierte Code-Reviews, automatisierte Sicherheitstests in der CI/CD-Pipeline.

Bei der Entwicklung individueller Webanwendungen integrieren wir diese Prinzipien systematisch in unseren Entwicklungsprozess – nicht als nachträgliches Add-on, sondern als integralen Bestandteil.

Multi-Faktor-Authentifizierung implementieren

MFA wird durch NIS-2 zum verbindlichen Standard. Die Umsetzung sollte alle kritischen Zugangspunkte umfassen:

Priorität 1 – Administrative Zugänge:

  • CMS-Backend und Administrationsbereiche
  • Server-Zugang (SSH)
  • Datenbank-Verwaltung
  • Hosting-Control-Panels
  • Cloud-Service-Konsolen

Priorität 2 – Interne Systeme:

  • E-Mail-Systeme
  • Intranet und interne Anwendungen
  • Projektmanagement-Tools
  • Code-Repositories

Priorität 3 – Kundenzugänge bei sensiblen Anwendungen:

  • Kundenportale mit personenbezogenen Daten
  • Self-Service-Bereiche mit Transaktionsmöglichkeiten
  • B2B-Plattformen mit Geschäftsdaten

Bei der Wahl der MFA-Methode gilt: TOTP-basierte Authenticator-Apps oder Hardware-Keys (FIDO2/WebAuthn) sind SMS-basierten Verfahren vorzuziehen, da SMS anfällig für SIM-Swapping-Angriffe ist.

Sichere API-Entwicklung

Moderne Webanwendungen kommunizieren über APIs – mit internen Systemen, externen Diensten und mobilen Apps. Die Absicherung dieser Schnittstellen ist ein kritischer Faktor.

Zentrale Sicherheitsaspekte bei APIs:

  • Authentifizierung und Autorisierung: OAuth 2.0, API-Keys mit Rotation, JWT mit kurzen Laufzeiten
  • Rate Limiting: Schutz vor Brute-Force und DoS-Angriffen durch Anfragelimits
  • Input-Validierung: Strikte Validierung aller eingehenden Daten, auch von vermeintlich vertrauenswürdigen Quellen
  • Verschlüsselung: TLS 1.3 als Mindeststandard für alle API-Kommunikation
  • Logging und Monitoring: Protokollierung aller API-Zugriffe für Incident Response und Forensik
  • Versionierung und Deprecation: Klare Lifecycle-Policies für API-Versionen, zeitnahes Abschalten unsicherer Versionen

Die Entwicklung sicherer Schnittstellen ist damit nicht nur eine technische Aufgabe, sondern ein direkter Beitrag zur NIS-2-Compliance.

Verschlüsselung umsetzen

Das Gesetz fordert den Einsatz von Kryptografie. In der Praxis betrifft das zwei Bereiche:

Daten im Transport:

  • HTTPS mit aktuellen TLS-Versionen (mindestens TLS 1.2, bevorzugt TLS 1.3)
  • HSTS-Header zur Erzwingung verschlüsselter Verbindungen
  • Sichere Cipher-Suites ohne bekannte Schwachstellen
  • Zertifikatsmanagement mit automatisierter Erneuerung

Daten im Ruhezustand:

  • Verschlüsselung von Datenbanken (Transparent Data Encryption oder Feldverschlüsselung)
  • Verschlüsselte Backups
  • Verschlüsselte Festplatten/Volumes auf Servern
  • Sichere Speicherung von Secrets und API-Keys (Vault-Systeme, Environment-Variablen statt Klartext in Code)

5. Lieferanten und Dienstleister einbeziehen

Die Sicherheit der Lieferkette ist ein eigenständiger Pflichtbereich im Gesetz. Regulierte Unternehmen müssen die Sicherheitsstandards ihrer Dienstleister überprüfen und vertraglich absichern.

Was regulierte Unternehmen von ihren Dienstleistern fordern werden

Wenn Sie als IT-Dienstleister, Agentur oder Softwareentwickler für regulierte Unternehmen arbeiten, sollten Sie sich auf folgende Anforderungen einstellen:

Vertragliche Anforderungen:

  • Zusicherung der Einhaltung definierter Sicherheitsstandards
  • Verpflichtung zur Meldung von Sicherheitsvorfällen, die den Kunden betreffen könnten
  • Regelungen zu Audit-Rechten des Kunden
  • Anforderungen an Subunternehmer-Management

Nachweispflichten:

  • Dokumentierte Sicherheitsprozesse und -richtlinien
  • Nachweise über Mitarbeiterschulungen
  • Regelmäßige Sicherheitsupdates und Patch-Dokumentation
  • Ggf. Zertifizierungen (ISO 27001, SOC 2) oder Audit-Berichte

Technische Anforderungen:

  • Sichere Entwicklungspraktiken
  • Zugriffskontrollen und Berechtigungsmanagement
  • Verschlüsselung und sichere Kommunikation
  • Backup- und Recovery-Fähigkeiten

Als Dienstleister vorbereitet sein

Für Dienstleister in der digitalen Lieferkette wird die Fähigkeit, Sicherheitsstandards nachzuweisen, zum Wettbewerbsfaktor. Unternehmen, die ihre Compliance dokumentieren können, werden bevorzugt beauftragt.

Als Digitalagentur verstehen wir uns als vertrauenswürdiges Glied in der Lieferkette unserer Kunden. Das bedeutet:

  • Dokumentierte Entwicklungsprozesse mit integrierten Sicherheitsmaßnahmen
  • Transparente Wartungs- und Update-Zyklen für alle betreuten Systeme
  • Klare Zugriffskontrollen und Berechtigungskonzepte für Kundenprojekte
  • Incident-Response-Fähigkeit bei sicherheitsrelevanten Vorfällen
  • Verschlüsselte Kommunikation und sichere Datenübertragung

Unternehmen, die vor der Auswahl neuer Dienstleister stehen, sollten Sicherheitsanforderungen explizit in den Auswahlprozess und die Vertragsgestaltung aufnehmen. Die NIS-2-Anforderungen bieten dabei einen guten Rahmen für die zu stellenden Fragen.

Zeitplan: Wann Sie was erledigt haben sollten

Die Umsetzung der NIS-2-Anforderungen sollte in Phasen erfolgen. Ein realistischer Zeitplan könnte wie folgt aussehen:

Phase Zeitrahmen Maßnahmen
Sofort Woche 1–2 Betroffenheitsanalyse durchführen und dokumentieren
Kurzfristig Monat 1–2 Gap-Analyse erstellen, Quick Wins identifizieren und umsetzen
Mittelfristig Monat 2–4 Budget sichern, Projektplan erstellen, Dienstleister briefen
Projektphase Monat 4–9 Technische und organisatorische Maßnahmen umsetzen
Vor Inkrafttreten Monat 9–12 Registrierung vorbereiten, Dokumentation finalisieren, erste Audits
Nach Inkrafttreten Innerhalb von 3 Monaten Registrierung beim BSI abschließen

Dieser Zeitplan ist ambitioniert, aber realistisch – vorausgesetzt, Sie beginnen zeitnah. Wer erst kurz vor Ablauf der Fristen reagiert, riskiert unvollständige Umsetzung und damit Bußgelder.

Kritische Komponenten und die politische Dimension

Ein oft übersehener Aspekt: Das Gesetz enthält Regelungen zu „kritischen Komponenten". Es gibt spezielle Meldepflichten und sogar Verbotsmöglichkeiten für Komponenten von Herstellern, die als nicht vertrauenswürdig eingestuft werden. Bei der Auswahl von Hardware und Software sollten Unternehmen diese politische Dimension berücksichtigen – gerade bei Infrastrukturkomponenten.

Fazit: Handeln, bevor die Fristen greifen

Das NIS-2-Umsetzungsgesetz markiert einen Paradigmenwechsel in der deutschen Cybersicherheitsregulierung. Die Kombination aus breitem Anwendungsbereich, konkreten Maßnahmenpflichten, strengen Meldefristen und persönlicher Geschäftsführerhaftung schafft einen regulatorischen Rahmen, der nicht ignoriert werden kann.

Für Unternehmen in den betroffenen Sektoren – und das sind deutlich mehr, als vielen bewusst ist – bedeutet das: Jetzt ist der Zeitpunkt, die eigene Sicherheitsarchitektur kritisch zu prüfen und notwendige Investitionen einzuplanen. Die Registrierungsfrist von drei Monaten nach Inkrafttreten lässt keinen Raum für langwierige Entscheidungsprozesse.

IT-Sicherheit ist nicht länger eine technische Aufgabe für Spezialisten. Sie ist strategische Unternehmensführung – und damit Chefsache im besten Sinne des Wortes.

Sie möchten prüfen, wie Ihre Web-Infrastruktur und Anwendungen für die NIS-2-Anforderungen aufgestellt sind? Sprechen Sie uns an – wir unterstützen Sie bei der strategischen Analyse und der technischen Umsetzung sicherer, zukunftsfähiger Lösungen.