Die Anforderungen an Cyber- und Informationssicherheit in Deutschland haben sich mit der Umsetzung der NIS-2-Richtlinie deutlich verschärft. Seit Anfang Januar 2026 ist das zentrale Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) online. Damit beginnt für zahlreiche Unternehmen eine neue Phase verbindlicher regulatorischer Pflichten, von der Registrierung bis hin zu Melde- und Risikomanagementanforderungen.
NIS-2: Von der Empfehlung zur gesetzlichen Pflicht
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wurden bestehende Anforderungen nicht nur ausgeweitet, sondern auch verbindlicher ausgestaltet. Schätzungsweise rund 29.000 Unternehmen und Institutionen in Deutschland fallen unter den Anwendungsbereich der neuen Regelungen.
- Betroffene Unternehmen sind unter anderem verpflichtet,
- sich im neuen BSI-Portal zu registrieren,
- erhebliche Sicherheitsvorfälle innerhalb definierter Fristen zu melden und
- angemessene organisatorische und technische Maßnahmen zum Risikomanagement zu etablieren.
Diese Pflichten sind nicht mehr freiwilliger Natur. Verstöße oder Versäumnisse können zu aufsichtsrechtlichen Maßnahmen und weiteren Konsequenzen führen.
Die zentrale Frage: Bin ich betroffen – und wenn ja, wie genau?
In der Praxis zeigt sich, dass viele Unternehmen aktuell vor grundlegenden Fragen stehen: Fällt mein Unternehmen tatsächlich unter NIS-2? Welche Rolle spielen Branche, Unternehmensgröße und kritische Dienstleistungen? Und welche konkreten Anforderungen ergeben sich daraus für Governance, IT-Sicherheit und Managementverantwortung?
Gerade diese Einordnung ist entscheidend. Denn ohne eine belastbare Betroffenheitsanalyse besteht die Gefahr, entweder unnötige Maßnahmen zu ergreifen oder regulatorische Pflichten zu unterschätzen.
Strukturierte Einordnung als erster Schritt
Eine fundierte Betroffenheitsprüfung schafft hier Klarheit. Sie ermöglicht
- eine nachvollziehbare Einschätzung, ob und in welchem Umfang NIS-2 Anwendung findet,
- Transparenz über relevante Pflichten und zeitliche Anforderungen sowie
- eine belastbare Grundlage für weitere organisatorische und technische Maßnahmen.
Eine frühzeitige Auseinandersetzung mit den Anforderungen hilft zudem, Risiken für Geschäftsführung und Organisation zu minimieren und die Umsetzung planvoll zu steuern.
Fazit
NIS-2 ist kein reines IT-Thema, sondern eine Management- und Governance-Fragestellung. Unternehmen sollten die neuen Anforderungen nicht isoliert betrachten, sondern als Bestandteil eines ganzheitlichen Ansatzes zur Informations- und Cybersicherheit. Der erste und wichtigste Schritt ist dabei eine klare und sachgerechte Betroffenheitsanalyse.
Gerne unterstützen wir Sie bei der Einordnung und stehen für einen fachlichen Austausch zur Verfügung.
Julian Piroué
Senior Consultant ESG-Compliance, Creditreform Compliance Services GmbH