NIS-2: Anforderungen, Pflichten & Umsetzung
NIS-2 in Deutschland: Was das NIS2-RLUG und das neue BSIG jetzt von Organisationen verlangen
Mit dem NIS2-RLUG ist die NIS-2-Richtlinie in Deutschland umgesetzt. Für viele Unternehmen und andere betroffene Einrichtungen heißt das: Die entscheidenden Anforderungen finden sich jetzt vor allem im novellierten BSIG und damit im deutschen Aufsichts-, Melde- und Pflichtenrahmen. Seit 6. Dezember 2025 gilt: Wer betroffen ist, sollte Betroffenheit, Sicherheitsniveau und Zuständigkeiten strukturiert prüfen.
Das Wichtigste auf einen Blick
Mehr Details zu Pflichten und Umsetzung finden Sie weiter unten auf dieser Seite
Was müssen Sie jetzt konkret tun?
Viele Organisationen haben bereits erkannt, dass sie von NIS-2 betroffen sind. Die entscheidende Frage ist deshalb nicht mehr, ob Sie handeln müssen, sondern welcher nächste Schritt für Ihre Organisation jetzt sinnvoll ist.
Sie haben erste Hinweise auf eine mögliche Betroffenheit, aber noch keine klare Einordnung.
Oft fehlen belastbare Kriterien oder eine saubere Abgrenzung zum bisherigen KRITIS-Verständnis.
In dieser Phase geht es darum, Sicherheit zu schaffen und Klarheit zu gewinnen.
Unser Ansatz:
Wir prüfen strukturiert, ob und in welchem Umfang Ihre Organisation unter die Regelungen des BSIG fällt und welche konkreten Pflichten sich daraus ergeben.
Die Betroffenheit ist geklärt, aber der aktuelle Umsetzungsstand ist unklar.
Welche Anforderungen sind bereits erfüllt? Wo bestehen Lücken? Was ist prioritär?
In dieser Phase geht es darum, Transparenz zu schaffen und Risiken einzuordnen.
Unser Ansatz:
Mit einer strukturierten Gap-Analyse bewerten wir Ihren aktuellen Stand und leiten konkrete Handlungsschritte ab.
Erste Maßnahmen sind vorhanden, aber es fehlt an Struktur, Priorisierung oder einem klaren Gesamtbild.
Einzelmaßnahmen reichen nicht aus, um die Anforderungen nachhaltig zu erfüllen.
In dieser Phase geht es darum, Informationssicherheit systematisch aufzubauen.
Unser Ansatz:
Wir unterstützen beim Aufbau oder der Weiterentwicklung eines ISMS, abgestimmt auf Ihre Organisation und die Anforderungen des BSIG.
Maßnahmen wurden begonnen, aber Zuständigkeiten, Prozesse oder die Einbindung der Geschäftsleitung sind noch nicht klar geregelt.
Genau hier entstehen in der Praxis die größten Risiken.
In dieser Phase geht es darum, Verantwortung klar zu verankern und Steuerung sicherzustellen.
Unser Ansatz:
Wir begleiten Sie bei Governance, Rollenverteilung und Management-Einbindung, praxisnah und umsetzbar.
Bin ich betroffen?
Die zentrale Einstiegsfrage lautet:
Fällt meine Organisation unter die neuen Regelungen des BSIG?
Das ist häufiger der Fall, als viele erwarten.
Typische Indikatoren:
Besonders häufig betroffen:
Welche Pflichten ergeben sich jetzt konkret?
1. Risikomanagement
Betroffene Organisationen müssen technische und organisatorische Maßnahmen etablieren, um Risiken für ihre Netz- und Informationssysteme wirksam zu steuern. Entscheidend ist nicht eine Einzelmaßnahme, sondern ein nachvollziehbares und dauerhaft wirksames Sicherheitsniveau.
2. Meldepflichten
Sicherheitsvorfälle müssen intern erkannt, bewertet und fristgerecht gemeldet werden. Dafür braucht es klare Prozesse, definierte Zuständigkeiten und belastbare Eskalationswege.
3. Registrierung
Je nach Betroffenheit ist eine Registrierung beim BSI erforderlich. Viele Organisationen müssen sich damit erstmals aktiv in den regulatorischen Rahmen einordnen.
4. Verantwortung der Geschäftsleitung
Informationssicherheit ist keine reine IT-Aufgabe. Die Geschäftsleitung muss die Umsetzung der Anforderungen steuern, überwachen und organisatorisch absichern. Gerade hier entsteht in vielen Organisationen aktuell konkreter Handlungsbedarf.
Whitepaper NIS-2: Handlungsbedarf kompakt einordnen
Mit dem NIS2-RLUG ist NIS-2 in Deutschland verbindlich umgesetzt. Viele Organisationen müssen jetzt klären, ob sie betroffen sind, welche Pflichten sich aus dem BSIG ergeben und wie sie die Umsetzung strukturiert angehen. Unser Whitepaper gibt Ihnen dazu einen kompakten Überblick.
Betroffenheit besser einordnen | Pflichten verstehen | nächste Schritte ableiten
FAQ-Bereich
Was ist das NIS2-RLUG?
Das NIS2-RLUG ist das deutsche Umsetzungsgesetz zur Europäischen NIS-2-Richtlinie und bildet den rechtlichen Rahmen für Informationssicherheit in Deutschland. Zuvor hieß das Gesetz NIS2-UmSuCG. Es wurde zur Einführung im Dezember 2025 unter dem neuen Namen NIS2-RLUG veröffentlicht.
Warum ist das BSIG für die Praxis entscheidend?
Weil dort die konkreten Pflichten, Zuständigkeiten und Anforderungen geregelt sind, die Organisationen umsetzen müssen.
Bin ich auch betroffen, wenn ich keine KRITIS bin?
Sehr wahrscheinlich. Der Anwendungsbereich wurde deutlich erweitert.
Muss ich mich beim BSI registrieren?
Wenn Ihre Organisation unter die Regelungen fällt, ist eine Registrierung erforderlich. Eine Anleitung und Link zur Registrierung finden sie hier
Was bedeutet NIS-2 für die Geschäftsleitung?
Die Geschäftsleitung ist für Umsetzung und Überwachung der Maßnahmen verantwortlich.
Reicht ein bestehendes ISMS aus?
Nicht automatisch. Es muss geprüft werden, ob alle Anforderungen des BSIG tatsächlich erfüllt sind.
Was sollte ich jetzt als Erstes tun?
Im ersten Schritt sollte geklärt werden, ob und in welchem Umfang Ihre Organisation betroffen ist. Darauf aufbauend lassen sich Pflichten, Handlungsbedarf und nächste Maßnahmen ableiten.
Starten Sie jetzt strukturiert in die NIS-2 Umsetzung
Ob Betroffenheitsprüfung, Bestandsaufnahme, Umsetzung oder dauerhafte Verankerung von Informationssicherheit:
Wir unterstützen Sie dabei, Ihre Anforderungen strukturiert einzuordnen und passende Maßnahmen abzuleiten.
Mehrfachauswahl möglich:
Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen. Alternativ zum Kontaktformular können Sie sich auch direkt an vertrieb@althammer-kill.de wenden.
Unsere Blogbeiträge und Veranstaltungen zur NIS-2-Richtlinie
Von NIS-2 zu ISO 27001 & TISAX: Synergien im Sicherheits- und Datenschutzmanagement nutzen
Viele Organisationen verfügen bereits über ein Informationssicherheits- oder Datenschutzmanagement – NIS-2 kommt nun als weitere Regulierung durch die EU hinzu und wird durch das nationale Umsetzungsgesetz (NIS2UmsuCG inzwischen NIS2-RLUG) verbindlich. In diesem Artikel zeigen wir, wie sich ein NIS-2-konformes Risikomanagementsystem aufbauen lässt, wo sich Anforderungen mit ISO 27001, TISAX und DSGVO überschneiden und wie Sie Doppelarbeit vermeiden, indem Sie bestehende Strukturen gezielt weiterentwickeln.
Handlungsfähig im Ernstfall: NIS-2 Incident-Response
Wenn es ernst wird, zählt nicht nur die Technik, sondern auch, ob Sie innerhalb von 24/72 Stunden eine saubere Meldung abgeben können. Dieser Artikel zeigt Ihnen, wann ein Vorfall gemäß NIS-2 als „erheblich“ gilt, welche Meldewege in Deutschland gelten und wie Sie eine Incident-Response-Strategie entwickeln, die Sie im Ernstfall handlungsfähig hält.
Lieferkettensicherheit unter NIS-2: Was Zulieferer und Dienstleister jetzt wissen müssen
NIS-2 endet nicht an der eigenen Unternehmensgrenze. Auch Dienstleister wie unter anderem Cloud-Anbieter und spezialisierte IT-Partner werden im neuen Gesetz bedacht. Wir erklären, welche Anforderungen an Lieferkettensicherheit gelten, wie sie sich auf Verträge, Audits und Nachweise auswirken und wie sich Zulieferer in kritischen Sektoren als verlässlicher, NIS-2-konformer Partner positionieren können.
Online-Seminar: NIS-2-Management-Pflichtschulung
Schulung zur Erfüllung § 38 NIS2UmsuCG und strategischer Umsetzung von Cybersicherheit.
Online-Seminar: NIS-2-Management-Pflichtschulung
Schulung zur Erfüllung von §38 NIS2UmsuCG und strategischer Umsetzung von Cybersicherheit.
Online-Seminar: NIS-2-Management-Pflichtschulung
Schulung zur Erfüllung von § 38 NIS2UmsuCG und strategischer Umsetzung von Cybersicherheit.