Die Schonfrist ist vorbei
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtete die EU-Mitgliedstaaten, ihre Anforderungen bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die meisten Mitgliedstaaten haben diese Frist eingehalten oder kurz danach nachgezogen. Ab Q1 2026 ist die nationale Durchsetzung in der gesamten EU aktiv.
Nationale zuständige Behörden (NCAs) führen nun Audits durch. Deutschlands BSI hat eine Registrierungsfrist für Einrichtungen bis April 2026 festgelegt. Frankreichs ANSSI begann Ende 2025 mit der Compliance-Überprüfung. Die Niederlande, Belgien und die nordischen Länder folgen ähnlichen Zeitplänen.
Wer in der EU tätig ist und in den Anwendungsbereich von NIS2 fällt – der nun deutlich mehr Sektoren und Unternehmensgrößen umfasst als die ursprüngliche NIS-Richtlinie – unterliegt heute der Prüfpflicht.
Was sich gegenüber NIS1 tatsächlich geändert hat
NIS2 ist kein inkrementelles Update. Es handelt sich um eine grundlegende Erweiterung:
- Der Anwendungsbereich wurde von ca. 10.000 auf ca. 160.000 Einrichtungen in der EU ausgeweitet. Die ursprüngliche NIS-Richtlinie erfasste Betreiber kritischer Infrastrukturen. NIS2 ergänzt Fertigung, Lebensmittelproduktion, Abfallwirtschaft, Postdienste, Chemikalien, digitale Anbieter und mehr.
- Zweistufige Klassifizierung: Wesentliche Einrichtungen (Energie, Verkehr, Gesundheit, Wasser, digitale Infrastruktur, Bankwesen, Raumfahrt) und Wichtige Einrichtungen (Fertigung, Lebensmittel, Chemikalien, Post, Forschung, Abfallwirtschaft, digitale Anbieter). Beide müssen die Anforderungen erfüllen. Der Unterschied liegt in den Bußgeldniveaus und Prüfregimen.
- Managementhaftung: Artikel 20 macht Leitungsorgane persönlich verantwortlich für die Genehmigung von Maßnahmen zum Cybersicherheitsrisikomanagement. Das Management muss Cybersicherheitsschulungen erhalten. Persönliche Haftung steht im Raum – Details dazu finden sich in unserer Analyse zur NIS2-Managementhaftung und warum Führungskräfte persönlich in der Pflicht stehen.
- Lieferkettensicherheit: Artikel 21(2)(d) verpflichtet Organisationen, Cybersicherheitsrisiken in ihren Lieferketten und Lieferantenbeziehungen zu adressieren. Dies kaskadiert Anforderungen auf Anbieter und Dienstleister.
- Verschärfte Meldepflichten: 24-Stunden-Frühwarnung an das CSIRT, 72-Stunden-Vorfallsmeldung und ein abschließender Bericht innerhalb eines Monats.
Bußgeldstruktur
Die Sanktionen sind darauf ausgelegt, Aufmerksamkeit auf Vorstandsebene zu erzeugen:
| Einrichtungstyp | Höchststrafe | Umsatzbezogene Obergrenze |
|---|---|---|
| Wesentliche Einrichtung | EUR 10.000.000 | 2 % des gesamten weltweiten Jahresumsatzes |
| Wichtige Einrichtung | EUR 7.000.000 | 1,4 % des gesamten weltweiten Jahresumsatzes |
Der jeweils höhere Betrag gilt. Für einen Hersteller mit EUR 500 Mio. Umsatz beträgt die Obergrenze für wesentliche Einrichtungen EUR 10 Mio. Für einen Hersteller mit EUR 100 Mio. sind es immer noch EUR 2 Mio.
Über Bußgelder hinaus können NCAs:
- Die vorübergehende Aussetzung von Zertifizierungen oder Genehmigungen anordnen
- Führungskräften vorübergehend die Ausübung von Leitungsfunktionen untersagen
- Verbindliche Anweisungen mit definierten Compliance-Fristen erteilen
Durchsetzungszeitplan nach Ländern
Nicht alle Mitgliedstaaten schreiten im gleichen Tempo voran. Hier der aktuelle Stand der wichtigsten Märkte:
| Land | NCA | Registrierungsfrist | Erste Prüfwelle | Status (Q1 2026) |
|---|---|---|---|---|
| Deutschland | BSI | April 2026 | Q2 2026 | Registrierungsportal aktiv; Audits unmittelbar bevorstehend |
| Frankreich | ANSSI | Abgeschlossen (2025) | Aktiv seit Q4 2025 | Audits für wesentliche Einrichtungen laufen |
| Niederlande | NCSC-NL | März 2026 | Q2 2026 | Sektorspezifische Leitlinien veröffentlicht |
| Belgien | CCB | Q1 2026 | Q2–Q3 2026 | Selbstbewertungstool verfügbar |
| Italien | ACN | Q1 2026 | Q3 2026 | Umsetzung abgeschlossen; Leitlinien ausstehend |
| Spanien | CCN-CERT | Q2 2026 | Q3–Q4 2026 | Umsetzung abgeschlossen; Implementierung läuft |
| Schweden | MSB | Q1 2026 | Q2 2026 | Aktive Durchsetzung für wesentliche Einrichtungen |
| Polen | NASK | Q2 2026 | Q3 2026 | Nationales Gesetz verabschiedet; Details folgen |
Deutschland und Frankreich sind am weitesten fortgeschritten. Wer in einem dieser Märkte tätig ist, befindet sich jetzt im Prüffenster.
Worauf Prüfer zuerst achten
Auf Basis früher Durchsetzungsmaßnahmen und NCA-Leitlinien priorisieren Prüfer folgende Bereiche:
-
Governance-Struktur – Gibt es eine namentlich benannte Person, die für Cybersicherheit verantwortlich ist? Hat das Management den Risikomanagementrahmen genehmigt? Haben die Leitungsorgane Schulungen erhalten?
-
Asset-Inventar – Ist bekannt, was vorhanden ist? Kann ein vollständiges Inventar der Netz- und Informationssysteme einschließlich OT-Assets vorgelegt werden? Das ist die Grundlage, von der Prüfer ausgehen.
-
Netzwerksegmentierung und Zugangskontrolle – Sind kritische Systeme isoliert? Wird der Zugang nach dem Prinzip der minimalen Rechtevergabe kontrolliert? Unsegmentierte Netzwerke mit offenem Zugang führen zu sofortigen Beanstandungen.
-
Incident-Response-Fähigkeit – Gibt es einen dokumentierten, getesteten Incident-Response-Plan? Können die Fristen für die 24-Stunden-Frühwarnung und die 72-Stunden-Meldung eingehalten werden?
-
Lieferkettenrisikomanagement – Wurde die Cybersicherheitslage kritischer Lieferanten bewertet? Enthalten die Verträge Sicherheitsanforderungen?
Bei OT-lastigen Organisationen – Hersteller, Energiebetreiber, Wasserversorger – prüfen Auditoren gezielt:
- Ob OT-Netzwerke von IT-Netzwerken segmentiert sind
- Ob der Fernzugriff auf OT-Systeme kontrolliert und protokolliert wird
- Ob OT-Assets im Asset-Inventar enthalten sind
- Ob Incident-Response-Pläne OT-spezifische Szenarien abdecken
Die OT-Compliance-Lücke
Die meisten Organisationen, die sich auf NIS2 vorbereitet haben, begannen mit ihren IT-Umgebungen. E-Mail-Sicherheit, Endpunktschutz, Identitätsmanagement, Cloud-Konfigurationen – hier existieren ausgereifte Werkzeuge und Playbooks bereits.
OT-Umgebungen sind anders. Die Herausforderungen sind spezifisch und hartnäckig:
- Industrielle Steuerungssysteme verwenden proprietäre Protokolle, die Standard-IT-Sicherheitswerkzeuge nicht verstehen
- PLCs, RTUs und HMIs wurden nie für Endpoint-Software konzipiert und können diese nicht aufnehmen
- Patches erfordern Wartungsfenster, die nur quartalsweise – oder jährlich – stattfinden
- Die Netzwerktransparenz ist begrenzt, weil vielen OT-Netzwerken eine zentrale Überwachung fehlt
- Ältere Geräte stammen aus einer Zeit vor modernen Authentifizierungsstandards
Das sind keine hypothetischen Probleme. Sie sind der Grund, warum OT-Umgebungen in NIS2-Bereitschaftsbewertungen regelmäßig als größte Compliance-Lücke erscheinen.
Die Lösung erfordert netzwerkbasierte Kontrollen, die um Legacy-Geräte herum funktionieren: Segmentierungsappliances, die Zugriffsrichtlinien an Zonengrenzen durchsetzen, Verkehrsprotokolle für Prüfzwecke erfassen und Transparenz in industrielle Protokollkommunikation bieten – ohne die Geräte selbst zu berühren.
Ein priorisierter 5-Schritte-Aktionsplan
Wer NIS2-pflichtig ist und sein Compliance-Programm noch nicht abgeschlossen hat, sollte sich auf folgende Bereiche konzentrieren:
Schritt 1: Bei der NCA registrieren (Frist: sofort)
Wenn der Mitgliedstaat eine Einrichtungsregistrierung verlangt – und die meisten tun das –, ist dies die erste administrative Aufgabe. In Deutschland ist das BSI-Registrierungsportal mit einer Frist bis April 2026 aktiv. Eine versäumte Registrierung befreit nicht von der Compliance-Pflicht; sie fügt lediglich einen weiteren Verstoß hinzu.
Schritt 2: Asset-Inventar erstellen (Wochen 1–4)
Was nicht bekannt ist, kann nicht geschützt werden. Ein vollständiges Inventar umfasst:
- Alle IT-Systeme (Server, Endpunkte, Cloud-Dienste, Anwendungen)
- Alle OT-Systeme (PLCs, HMIs, SCADA-Server, Historiker, Engineering-Workstations)
- Alle Netzwerkinfrastruktur (Switches, Router, Firewalls, WLAN-Zugangspunkte)
- Alle Fernzugriffswege (VPN-Konzentratoren, Jump-Server, Lieferantenverbindungen)
Schritt 3: Netzwerksegmentierung implementieren (Wochen 4–12)
Kritische OT-Systeme von IT-Netzwerken trennen. Default-Deny-Richtlinien an Grenzpunkten durchsetzen. Für OT-Umgebungen inline oder passiv arbeitende Netzwerkappliances einsetzen, die Segmentierung ohne Änderungen auf Geräteebene durchsetzen können.
Prioritäten setzen bei:
- IT/OT-Grenzschutz
- Fernzugriffskontrolle und Sitzungsprotokollierung
- Isolierung sicherheitskritischer Systeme
Schritt 4: Incident-Response-Fähigkeit aufbauen (Wochen 4–8)
Einen Incident-Response-Plan dokumentieren und testen, der:
- Sowohl IT- als auch OT-Szenarien abdeckt
- Die 24-Stunden-Frühwarnpflicht erfüllt
- Das CSIRT und die Meldeverfahren benennt
- Kommunikationsvorlagen und Eskalationspfade enthält
Schritt 5: Alles dokumentieren (fortlaufend)
NIS2-Compliance ist nachweisbasiert. Folgendes aufbauen und pflegen:
- Vom Management genehmigter Risikomanagementrahmen
- Sicherheitsrichtlinien, die alle Maßnahmen nach Artikel 21 abdecken
- Nachweise über Management-Schulungen
- Sicherheitsbewertungen von Lieferanten
- Testergebnisse des Incident-Response-Plans
- Audit-Protokolle, die die Wirksamkeit der Kontrollen belegen
Organisationen, die Audits problemlos bestehen, haben mit ihren OT-Schwachstellen begonnen, netzwerkbasierte Kontrollen aufgebaut, die sie tatsächlich nachweisen können, und jede Entscheidung dokumentiert. Rüstungsunternehmen, die sowohl in den USA als auch in der EU tätig sind, sollten zudem prüfen, wie eine Compliance-Architektur sowohl CMMC als auch NIS2 erfüllen kann. Wer noch ein flaches, unüberwachtes OT-Netzwerk hinter einer einzigen Firewall betreibt – dort sollte die erste Investition ansetzen.
Weitere NIS2-Ressourcen, Optionen für souveräne Deployments und Compliance-Leitfäden finden Sie im NIS2 Compliance für On-Premise OT Hub.
