Zum Jahreswechsel 2025/2026 hat Deutschland mit dem NIS-2-Umsetzungsgesetz den nächsten großen Schritt in der Cyber-Sicherheitsregulierung gemacht: die NIS-2-Richtlinie der EU wurde in nationales Recht überführt, und damit neue Pflichten für viele Unternehmen eingeführt – darunter auch ein zentraler digitaler Melde- und Registrierungsweg über das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die NIS-2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Cyber-Security-Richtlinie. Sie soll ein höheres und einheitlicheres Sicherheitsniveau für Netz- und Informationssysteme in der EU gewährleisten. Sie erweitert deutlich den Kreis der betroffenen Unternehmen und verschärft Anforderungen in Bereichen wie:

  • Risikomanagement und Sicherheitssysteme
  • Meldepflichten bei Cybervorfällen
  • Registrierung beim zuständigen Behördenportal

Das BSI Meldeportal – der Dreh- und Angelpunkt für NIS2. Ab 6. Januar 2026 öffnet das BSI ein neues Online-Portal, über das:

  • Unternehmen sich registrieren können – innerhalb von drei Monaten nachdem sie unter NIS2 fallen.
  • Sicherheitsvorfälle gemeldet werden, inklusive Erstmeldung, Folge- und Abschlussberichten.

Fazit: NIS2 ist mehr als nur ein Gesetz: Die neue NIS-2-Regelung und das BSI-Meldeportal markieren einen Wendepunkt in der Cyber-Sicherheitslandschaft Deutschlands:

  • Mehr Unternehmen sind betroffen
  • Melde- und Registrierungsprozesse werden digitaler und verbindlicher
  • Cyber-Sicherheit wird zu einer Management- und Governance-Aufgabe in Unternehmen

Tipps für den Start

  • Prüfe, ob dein Unternehmen unter NIS2 fällt, wie z.B. bei FitNIS2: https://fitnis2.de
  • Richte ein „Mein Unternehmenskonto“ (MUK) beim BSI frühzeitig ein
  • Entwickle Prozesse für schnelle Meldungen
  • Bereite Verantwortliche für Incident Response und Meldungen vor

Betroffene Controls in deinem ISMS

BSI Grundschutz

Schwerpunkt: Incident Management, Meldepflichten, Organisation & Governance

Zentrale betroffene Bausteine:

ORP – Organisation & Personal

  • ORP.1 Informationssicherheitsmanagement
  • ORP.2 Rollen und Verantwortlichkeiten
  • ORP.3 Recht & Compliance
  • ORP.4 Notfallmanagement

NIS2-Bezug:

  • Benennung verantwortlicher Stellen
  • Nachweisbare Organisationsstrukturen
  • Management-Verantwortung (inkl. Geschäftsleitung)

DER – Detektion & Reaktion

  • DER.1 Sicherheitsvorfallmanagement
  • DER.2 Detektion von sicherheitsrelevanten Ereignissen
  • DER.3 Behandlung von Sicherheitsvorfällen

Direkter Bezug zum BSI-Meldeportal:

  • Erkennung erheblicher Sicherheitsvorfälle
  • Strukturierte Erst-, Folge- und Abschlussmeldungen
  • Dokumentation und Nachvollziehbarkeit

OPS – Betrieb

  • OPS.1.1 IT-Betrieb
  • OPS.1.3 Patch- & Änderungsmanagement
  • OPS.1.5 Protokollierung

NIS2-Bezug:

  • Nachweis der Ursachenanalyse
  • Logs als Grundlage für Meldungen an das BSI

ISO 27001

Schwerpunkt: Incident Reporting, Governance, Risiko- & Lieferkettenmanagement

A.5 Organisatorische Maßnahmen

  • A.5.1 Informationssicherheitsrichtlinien
  • A.5.4 Verantwortlichkeiten des Managements
  • A.5.30 IKT-Bereitschaft für Geschäftsfortführung
  • A.5.31 Gesetzliche & regulatorische Anforderungen

NIS2: explizite Management-Pflichten & Compliance

A.6 Personenbezogene Maßnahmen

  • A.6.3 Schulung & Sensibilisierung

NIS2: Awareness für Meldepflichten

A.8 Technische Maßnahmen

  • A.8.15 Protokollierung
  • A.8.16 Überwachung
  • A.8.23 Web- & Netzwerküberwachung

A.5.24 – A.5.28 Incident Management

  • A.5.24 Planung & Vorbereitung
  • A.5.25 Bewertung & Entscheidung
  • A.5.26 Reaktion
  • A.5.27 Lernen aus Vorfällen
  • A.5.28 Sammlung von Beweismitteln

Direkt relevant für 24-h-Erstmeldung an das BSI

IEC 62443

Schwerpunkt: industrielle Betreiber & KRITIS-nahe Umgebungen

IEC 62443-2-1 (Betreiber / Asset Owner)

  • Security Incident Management
  • Risk Assessment & Risk Treatment
  • Compliance & Governance
  • Continuous Improvement

NIS2:

  • Betreiberpflichten
  • Melde- und Reaktionsfähigkeit

IEC 62443-2-4 (Service Provider)

  • Incident Handling Prozesse
  • Kommunikation mit Behörden
  • Security Event Reporting
  • Dokumentation & Nachweisführung

Relevant für Systemintegratoren & Dienstleister

IEC 62443-3-3 (System Security Requirements)

  • SR 6 – Event Logging
  • SR 7 – Availability & Resilience
  • SR 2 – Use Control

Technische Basis für meldefähige Vorfälle

Tags: , , ,
Categories: