Cybersicherheit ist mit NIS2 endgültig zur Vorstandsaufgabe geworden. Wer die Anforderungen unterschätzt, riskiert nicht nur Bußgelder, sondern persönliche Haftung. Dieser Leitfaden zeigt, was sich konkret ändert, wo die größten Lücken liegen und wie eine pragmatische Umsetzung aussieht.

Was hat sich mit NIS2 verändert?

NIS2 erweitert den Kreis der regulierten Sektoren von 7 auf 18 und führt zwei Kategorien ein: Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht, wichtige Einrichtungen einer reaktiven. Unternehmen, die bislang außerhalb jeder Regulierung operierten, stehen plötzlich mitten im Geltungsbereich – oft ohne es zu wissen.

Die Schwelle ist niedriger, als viele annehmen. Bereits ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz greift die Richtlinie in den betroffenen Sektoren. Das verschiebt NIS2 weg von einem reinen Konzern-Thema hin zu einer Pflicht, die einen großen Teil des deutschen Mittelstands erfasst – Maschinenbau, Logistik, Gesundheitsdienstleister, IT-Dienstleister, Lebensmittelproduktion.

Entscheidend ist: Die Betroffenheit ist nicht optional und nicht verhandelbar. Sie ergibt sich automatisch aus Sektor und Unternehmensgröße. Wer nicht prüft, ob er betroffen ist, prüft nicht – haftet aber trotzdem.

Die neuen Spielregeln: Was NIS2 konkret verlangt

NIS2 ist kein Compliance-Checklisten-Gesetz. Es ist ein Rahmenwerk, das Sicherheit als Managementaufgabe neu definiert – und das spüren Unternehmen in fünf zentralen Bereichen.

Risikomanagement. Cybersicherheit muss systematisch, dokumentiert und nachweisbar sein. Ad-hoc-Maßnahmen oder ein einmal aufgesetztes Konzept in der Schublade reichen nicht mehr. Gefragt ist ein lebender Prozess, der Risiken kontinuierlich bewertet und Maßnahmen ableitet.

Meldepflicht. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. 72 Stunden später folgt der detaillierte Bericht, nach einem Monat der Abschlussbericht. Diese Fristen setzen funktionierende Erkennungs- und Eskalationsprozesse voraus – aufgebaut heute, nicht improvisiert nach dem nächsten Vorfall.

Supply Chain Security. Die eigene Sicherheit endet nicht am Werkstor. Unternehmen haften für die Cybersicherheit ihrer Lieferkette. Wer kritische Dienstleister und deren Zugänge nicht auditiert, trägt das Risiko mit.

Zugangskontrolle. Multi-Faktor-Authentifizierung und Privileged Access Management sind keine Empfehlung, sondern explizite Anforderung. Privilegierte Zugänge ohne Kontrolle sind unter NIS2 ein regulatorisches Risiko.

Managementhaftung. Das ist die Neuerung mit der größten Sprengkraft: Geschäftsführer und Vorstände haften persönlich für Verstöße. NIS2 macht Cybersicherheit zur Chefsache – juristisch verbindlich, nicht delegierbar.

„NIS2 ist kein IT-Thema – es ist ein Thema für den Vorstand. Die Haftungsregelungen bedeuten, dass Führungskräfte, die Cybersicherheit nicht ernst nehmen, persönliche Konsequenzen tragen." — ENISA NIS2 Implementation Guide

Die Sanktionen unterstreichen den Ernst: Wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei wichtigen Einrichtungen liegt die Grenze bei 7 Millionen Euro oder 1,4 Prozent.

Warum Privileged Access Management der kritische Hebel ist

Viele Unternehmen haben IAM. Wenige haben PAM. Genau diese Lücke adressiert NIS2 direkt – und genau hier entstehen in der Praxis die größten Risiken.

Es lohnt, die beiden Disziplinen sauber zu trennen. Identity and Access Management (IAM) verwaltet alle digitalen Identitäten im Unternehmen – Mitarbeiter, Partner, Systeme – und beantwortet die Frage: Wer bist du, und worauf darfst du generell zugreifen? Privileged Access Management (PAM) ist die Spezialisierung für die mächtigsten Konten und beantwortet eine andere Frage: Wie genau kontrollieren, überwachen und dokumentieren wir die gefährlichsten Zugriffe im System?

Privilegierte Konten sind die Kronjuwelen jeder IT-Infrastruktur: Domain-Admins, Root-Zugänge, Service-Accounts, Notfallzugänge. Sie haben Zugriff auf alles. Und sie sind, wenn unkontrolliert, die häufigste Angriffsfläche bei schwerwiegenden Sicherheitsvorfällen. NIS2 verlangt, dass diese Konten nicht nur verwaltet, sondern aktiv kontrolliert, überwacht und auditiert werden – mit Session-Recording, Just-in-Time-Zugriff und granularem Logging.

Visulox ist als dezentrale Remote-PAM-Plattform genau dafür gebaut. Externe Dienstleister und interne Administratoren erhalten sicheren, zentralisierten und vollständig dokumentierten Zugang zur IT-Infrastruktur – ohne Agenten, implementiert in unter zwei Tagen, ohne Eingriff in den laufenden Betrieb. Session-Recording, Just-in-Time-Zugriff, granulares Auditing: alles, was NIS2 fordert, ohne den operativen Aufwand, den traditionelle PAM-Lösungen mit sich bringen.

Für Unternehmen mit kritischen, regulierten Infrastrukturen ist das kein Nice-to-have. Es ist der Unterschied zwischen nachweisbarer Compliance und persönlicher Haftung der Geschäftsführung.

Ihr NIS2-Aktionsplan: Drei Schritte, die zählen

Der Einstieg in NIS2-Compliance muss nicht komplex sein – aber er muss strukturiert sein. Drei Schritte haben sich in der Praxis bewährt.

Schritt 1 – Betroffenheitsanalyse.
Klären Sie zuerst, in welche Kategorie Ihr Unternehmen fällt. Wesentliche oder wichtige Einrichtung? Die Einstufung bestimmt den Aufsichtsrahmen und die Fristenlogik. Beziehen Sie Ihre Rechtsabteilung frühzeitig ein – die nationalen Umsetzungsgesetze variieren je nach Land erheblich, und wer in mehreren EU-Staaten tätig ist, muss mehrere Transpositionsregime berücksichtigen.

Schritt 2 – Gap-Analyse.
Wo stehen Sie heute? Systematisches Risikomanagement, Meldeprozesse, Supply-Chain-Audits, Zugangskontrolle – jeder dieser Bereiche braucht eine ehrliche Bestandsaufnahme gegen die NIS2-Anforderungen. Priorisieren Sie die Lücken nach Risiko, nicht nach Aufwand. Die Bereiche mit dem größten Abstand zur Anforderung gehören zuerst angegangen.

Schritt 3 – Technische Umsetzung.
IAM und PAM sind keine langwierigen Projekte mehr. Mit Visulox ist eine vollständige PAM-Implementierung in unter zwei Tagen live – ohne Agenten, ohne Unterbrechung des Betriebs, mit deutschsprachigem Support. Das ist der schnellste Weg, die NIS2-Anforderungen an Zugangskontrolle und Auditierbarkeit nachweisbar zu erfüllen.

NIS2 verschiebt Cybersicherheit von der IT-Abteilung in die Vorstandsetage. Die Kombination aus erweitertem Geltungsbereich, harten Meldefristen, Lieferkettenverantwortung und persönlicher Haftung macht aus einer technischen Pflicht eine strategische Priorität. Wer jetzt mit einer ehrlichen Gap-Analyse beginnt und die offensichtlichste Lücke – unkontrollierte privilegierte Zugriffe – zuerst schließt, verschafft sich nicht nur Rechtssicherheit, sondern auch einen echten Sicherheitsgewinn.

‍