BLOG

NIS2 umsetzen: Was IT‑Entscheider jetzt konkret tun müssen
02.13.2026

Worum geht’s in diesem Post?

Die NIS2‑Richtlinie sorgt bei vielen Unternehmen für Unsicherheit. Gleichzeitig hält sich hartnäckig das Missverständnis, dass es dabei vor allem um technische Maßnahmen geht.

Die Realität ist eine andere: NIS2 ist ein organisatorischer Ordnungsrahmen und entscheidet maßgeblich darüber, wie gut ein Unternehmen seine Verantwortung im Bereich Cybersicherheit wahrnimmt.

In diesem Beitrag erfährst du:

 

  • was NIS wirklich verlangt (und was nicht)
  • wie du herausfindest, ob dein Unternehmen von NIS2 betroffen ist
  • wo die größten praktischen Stolpersteine in der NIS2-Umsetzung liegen
  • wie du NIS2 strukturiert und pragmatisch im Unternehmen verankerst
  • wie Microsoft 365 dich bei NIS2-Compliance unterstützen kann

Warum NIS2 kein Technikprojekt ist

NIS2 schreibt keine bestimmten Produkte, Tools oder Zertifizierungen vor. Entscheidend ist etwas anderes:

  • klare Verantwortlichkeiten
  • definierte Prozesse
  • dokumentierte Entscheidungen
  • nachvollziehbare Risikoanalysen
  • geübte Incident‑Response‑Abläufe

NIS2‑Anforderungen richten sich damit zuerst an Governance und Organisation, nicht an einzelne Sicherheitslösungen.

Technik ist erst der zweite Schritt. Sie unterstützt, ersetzt aber keine Steuerung und keine klare NIS2‑Governance.

Die Realität in Unternehmen: Wo Risiken wirklich entstehen

In vielen Organisationen entstehen Risiken nicht durch fehlende Firewalls, sondern im täglichen Arbeiten. Genau hier muss NIS2‑Compliance ansetzen.

Menschen

Zeitdruck, Gewohnheiten und das Bestreben, schnell Ergebnisse zu liefern, führen dazu, dass Sicherheit oft hintenangestellt wird.

Identitäten

Berechtigungen wachsen über Jahre, werden selten bereinigt und bleiben nach Rollenwechseln bestehen.

Das Ergebnis: veraltete Zugriffe, zu große Rechte und kaum Transparenz.

Zusammenarbeit & Lieferketten

Externe Partner, geteilte Verantwortlichkeiten, historisch gewachsene Strukturen, häufig ohne klare Dokumentation. Gerade im NIS2‑Kontext spielt die Sicherheit in der Lieferkette eine wichtige Rolle.

Prozesse

Incident‑Response‑Prozesse gibt es zwar auf dem Papier, werden aber selten getestet.

Backups existieren, Restore‑Tests eher nicht.

Genau hier setzt NIS2 an:

👉Struktur vor Aktionismus. Governance vor Technik.

Wer ist von NIS2 betroffen?

Die Frage „Sind wir NIS2‑betroffen?“ ist zentral und oft komplexer, als sie auf den ersten Blick scheint.

Formale Betroffenheit

Direkt betroffen sind „wesentliche“ und „wichtige“ Einrichtungen verschiedener Branchen wie z.B.:

  • Energie
  • Gesundheit
  • Transport
  • IT‑Dienstleister
  • verarbeitende Industrie
  • öffentliche Verwaltung

Häufig relevant:

  • ≥ 50 Mitarbeitende oder
  • ≥ 10 Mio. € Jahresumsatz, abhängig vom Sektor.

 

Indirekte Betroffenheit

Viele Unternehmen fallen nicht direkt unter NIS2, sind aber Teil der Lieferkette kritischer Einrichtungen – etwa als Dienstleister, Zulieferer oder IT‑Partner.

Entscheidende Fragen sind z. B.:

  • Sind unsere Kunden wesentliche oder wichtige Einrichtungen – also formal betroffen?
  • Sind diese Kunden funktional von uns abhängig?
  • Wie leicht wären wir ersetzbar?
  • Würde ein Vorfall bei uns viele Kunden gleichzeitig treffen?
  • Wie hoch wäre die reale Auswirkung auf Versorgung, Sicherheit oder Geschäftsprozesse?
  • Würden Aufsichtsbehörden uns als relevant einstufen?

Auch eine „Nicht‑Betroffenheit“ muss plausibel begründet und dokumentiert sein. Eine saubere NIS2‑Plausibilitätsprüfung ist deshalb ein wichtiger Baustein.

Die wichtigsten NIS2‑Pflichten im Überblick

Verantwortung liegt bei der Geschäftsführung

Ein zentraler Punkt von NIS2:

👉 Verantwortung für Cybersicherheit ist nicht delegierbar.

Die Umsetzung kann zwar an Fachbereiche und IT übertragen werden, die Haftung bleibt jedoch in der Geschäftsführung. Dazu gehören auch:

  • Ressourcenzuteilung
  • Priorisierung von Maßnahmen
  • Monitoring von Risiken
  • Nachvollziehbarkeit von Entscheidungen

Und: Meldepflichten gelten verbindlich.

Die drei zentralen Fristen im Incident Reporting

  • 24 Stunden: Erste Meldung („Early Warning“)
  • 72 Stunden: qualifizierte Meldung mit strukturierten Informationen
  • ≤ 1 Monat: Abschluss‑ oder Fortschrittsbericht

Diese Fristen lassen sich nur einhalten, wenn der Incident‑Response‑Prozess vorab definiert, dokumentiert und geübt wurde.

 

 📌Die 7 wichtigsten NIS2‑Pflichten im Überblick

Verantwortung & Governance klar verankern

  1. Risiken regelmäßig identifizieren und bewerten
  2. technische und organisatorische Schutzmaßnahmen definieren
  3. Incident‑Response‑Prozesse aufbauen und üben
  4. Meldepflichten und Fristen einhalten
  5. Lieferkette und Dienstleister in die Betrachtung einbeziehen
  6. Entscheidungen, Maßnahmen und Wirksamkeit dokumentieren

Von Anforderungen zu gelebter NIS2‑Praxis

NIS2 verlangt keine perfekte Lösung am ersten Tag, aber eine strukturierte, risikobasierte Vorgehensweise.

Gerade im Microsoft‑365‑Umfeld lassen sich viele Bereiche effizient abbilden.

Automatisierte Checks

Mit Werkzeugen wie Microsoft Purview, Entra ID, Defender oder Secure Score lassen sich Risiken sichtbar machen, ohne tagelange Interviews.

Transparenz & Priorisierung

Ein klarer Status für IT und Management schafft gemeinsame Entscheidungsgrundlagen:

  • Wo stehen wir heute?
  • Welche Risiken sind kritisch?
  • Welche Maßnahmen haben Priorität?

Strukturierte Umsetzung

  • priorisierte Maßnahmen
  • klare Verantwortlichkeiten
  • belastbare Nachweise
  • kontinuierliche Dokumentation

Wichtig ist:

👉Management und IT müssen dieselbe Sicht auf Risiken haben.

Ein pragmatischer Einstieg in NIS2: Schritt für Schritt

Eine NIS2‑Umsetzung muss nicht perfekt sein, aber strukturiert. Bewährt hat sich ein pragmatisches Vorgehen:

  1. Betroffenheit prüfen (formal & indirekt)
  2. Registrierung durchführen, sofern erforderlich
  3. Gap‑Analyse: Was existiert? Was fehlt organisatorisch, prozessual, technisch?
  4. Verantwortlichkeiten festlegen (inkl. NIS2‑Owner)
  5. Risiken & kritische Prozesse erfassen
  6. Incident‑Response‑Prozess definieren & testen
  7. Dokumentation aufbauen (Prozesse, Entscheidungen, Nachweise)
  8. Roadmap erstellen – realistisch und risikobasiert

Der Schlüssel: Transparenz vor Perfektion.

Was NIS2 nicht verlangt

NIS2 ist kein reines Technik‑ oder Zertifizierungsprogramm.

Es verlangt nicht:

  • einen bestimmten Hersteller
  • maximale Tooltiefe
  • eine konkrete ISO‑Zertifizierung
  • ein „alles oder nichts“

Was zählt, sind nachvollziehbare Strukturen:

  • klare NIS2‑Governance
  • dokumentierte Entscheidungen
  • wirksame Prozesse
  • geübte Incident‑Abläufe
  • ein risikobasiertes Vorgehen, das begründbar ist

Häufige Fragen zu NIS2 (FAQ)

Was verlangt NIS2 konkret?

NIS2 verlangt eine strukturierte Herangehensweise an Cybersicherheit: klare Verantwortlichkeiten, regelmäßige Risikoanalysen, definierte Schutzmaßnahmen, geübte Incident‑Response‑Prozesse und dokumentierte Entscheidungen sowie die Einhaltung von Meldefristen.

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind wesentliche und wichtige Einrichtungen aus kritischen Sektoren sowie viele Dienstleister, Zulieferer und IT‑Partner, die Teil der Lieferkette sind. Neben der formalen Betroffenheit spielt die indirekte Betroffenheit eine wichtige Rolle.

Was bedeutet indirekte Betroffenheit bei NIS2?

Unternehmen können NIS2‑relevant sein, wenn ihre Leistungen für kritische Kunden funktional unverzichtbar sind, sie schwer ersetzbar sind oder ein Vorfall bei ihnen mehrere kritische Kunden gleichzeitig treffen würde.

Wie kann man NIS2 mit Microsoft 365 pragmatisch umsetzen?

Tools wie Microsoft Purview, Entra ID, Defender, Secure Score und Compliance Manager helfen, Risiken sichtbar zu machen, Maßnahmen zu priorisieren und Nachweise zu liefern. Entscheidend bleibt jedoch eine klare Governance und ein gelebter Prozess.

Fazit: NIS2 als Chance statt Bürde

NIS2 zwingt Organisationen dazu, Verantwortung, Prozesse und Sicherheitsentscheidungen transparent und nachvollziehbar zu gestalten.

Wer heute strukturiert startet, profitiert langfristig. Nicht nur regulatorisch, sondern auch organisatorisch.

Der entscheidende Punkt ist nicht:

❌ „Was ist NIS2?“

Sondern:

✅ „Was heißt NIS2 konkret für uns und was tun wir jetzt?“

Wenn du verstehen möchtest, wo dein Unternehmen aktuell steht und welche nächsten Schritte sinnvoll sind, lohnt sich ein nüchterner Blick auf Prozesse, Verantwortlichkeiten und den tatsächlichen Betriebsalltag.

NIS2 pragmatisch statt perfektionistisch. Dein nächster Schritt:

NIS2 muss nicht kompliziert, teuer oder überwältigend sein. Entscheidend ist ein klarer, realistischer Einstieg, ohne Aktionismus.

Wenn du für dein Unternehmen etwas mehr Orientierung möchtest, unterstützen wir dich genau dabei.

In einem kurzen Termin schauen wir uns gemeinsam an, wo es gerade in deinem NIS2‑Projekt hakt oder welche Fragen offen sind.

Du bekommst eine ehrliche, pragmatische Einschätzung, mit der du weiterarbeiten kannst: einfach, strukturiert und unverbindlich

Kostenloses Sparring: Deine NIS2‑Herausforderung in 25 Minuten
Schau dir die Präsentation als PDF an

Blog

Cubic Solutions Background Scroller