NIS2 Umsetzung in Deutschland: Risikomanagement

AdobeStock | 407869470 | Jo Panuwat DAdobeStock | 407869470 | Jo Panuwat D

NIS2 Umsetzung in Deutschland: Neue Pflichten für Unternehmen

Nach einigen Geburtswehen hat der Bundestag im Dezember 2025 den Weg frei gemacht für die nationale Umsetzung der europäischen NIS2-Richtlinie (EU-NIS2). Dadurch werden in Deutschland nach ersten Schätzungen circa 30000 Unternehmen verpflichtet, den eigenen Geschäftsbetrieb gegen Cyberbedrohungen abzusichern.

Der Großteil der Anforderungen, die durch die Umsetzung der NIS2-Richtlinie entstehen, findet sich im vollständig erneuerten BSI-Gesetz (BSI-G). Sie adressieren u.a. die Verantwortlichkeiten der Geschäftsleitung, enthalten Melde- und Registrierungspflichten und fordern vor allem ein angemessenes Management von Informationssicherheitsrisiken.

§30 BSI-G: Risikomanagementmaßnahmen im Überblick

Paragraf 30 des BSI-G konkretisiert unter der Überschrift „Risikomanagementmaßnahmen“ zehn Bereiche, in denen pflichtige Unternehmen mindestens den „Stand der Technik“ einhalten und internationale Normen berücksichtigen sollen. Zu diesen Bereichen gehören u.a. die Bewältigung von Sicherheitsvorfällen, Maßnahmen zur Aufrechterhaltung des Betriebs und Krisenmanagement, Betrachtungen zur Lieferkette, Schulungen für alle Mitarbeiter (Stand der Technik für Security Awareness), die Nutzung von Kryptografie oder der Umgang mit Schwachstellen.

Alle die genannten und auch nicht genannten Bereiche sind Maßnahmen, die ergriffen werden sollen, um bestehende Risiken zu behandeln. Ob diese Maßnahmen ausreichend sind, ob sie auch tatsächlich wirksam sind oder in welcher Detailtiefe man sie umsetzen sollte – diese Fragen kann man jedoch nur mit Hilfe einer passenden Methodik zur Risikoanalyse und -bewertung beantworten. Ja – auch dieser Punkt ist vom Gesetzgeber mit aufgeführt, und findet sich im Punkt 6 des Paragrafen 30: „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen“.

Es drängt sich der Gedanke auf, für Umsetzung einen der etablierten generischen Standards zu nutzen, die in Deutschland häufig anzutreffen sind: der IT-Grundschutz sowie die ISO 27001.

ISO 27001 als pragmatischer Ansatz zur NIS2-Umsetzung

So liefert die ISO 27001 in ihrem Kapitel 6 z.B. Anforderungen an ein Informationssicherheits-Risikomanagement – was ein möglicher Ansatz wäre, die Forderung aus dem BSI-G nach „Konzepten in Bezug auf die Risikoanalyse“ zu erfüllen. Oder aber man nutzt das Control A.8.24 „Verwendung von Kryptografie“, um die gesetzliche Forderung nach „Konzepte(n) und Prozesse(n) für den Einsatz von kryptographischen Verfahren“ umzusetzen.

Kurz: es ist eine mögliche Herangehensweise, die ISO 27001 zu nutzen, um die Anforderungen der NIS2-Richtline, wie sie im BSI-G verpflichtend vorgegeben sind, im eigenen Unternehmen systematisch umzusetzen. Für fast alle Forderungen des §30 BSI-G zu Risikomanagementmaßnahmen lassen sich Entsprechungen in der ISO 27001 finden, und man nutzt dabei noch eine etablierte und bewährte Methodik.

Grenzen der ISO 27001 bei NIS2-Anforderungen

Zwei Hinweise sind an dieser Stelle noch notwendig. Zunächst einmal deckt die ISO 27001 nicht zwingend alle Forderungen des BSI-G ab. Meldefristen oder Registrierungspflichten finden sich z.B. bestenfalls implizit in der ISO 27001, d.h. sie müssen daher zusätzlich berücksichtigt werden.

Andererseits ermöglicht die Nutzung etablierter Standards, diese im Unternehmen auch umfassender anzuwenden, als es der Gesetzgeber eigentlich fordert. Der Aufwand, das entstandene ISMS nach ISO 27001 zertifizierungsreif zu machen, sollte nach der Umsetzung der NIS2-Pflichten deutlich geringer sein. Außerdem ergeben sich bei einer sinnvollen Einführung von Managementsystemen oft auch Möglichkeiten, das eigene Unternehmen weiterzuentwickeln.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

„Geschäftsleitung fit für NIS2

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
Das könnte Sie auch interessieren
Hände schützen eine Schachfigur. Symbolisiert Risikomanagement.Adobe Stock | #407869470 | Jo Panuwat DTISAX® – Informationssicherheit im Detail, Teil 3
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute Maßnahmensteuerung
AdobeStock | 885444977 | sornramAdobeStock | 885444977 | sornramAwareness – Sicherheits-Hygiene
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute Meldung von Sicherheitsvorfällen
AdobeStock | 1896781002 | sorapopAdobeStock | 1896781002 | sorapopNIS2 – Frist zur Registrierung endet am 06.03.2026!
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Neue Folgen

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen