NIS-2-Implementierung – Eindrücke vom IT-Sicherheitskongress des BSI 2026

Die NIS-2-Richtlinie bzw. das deutsche Umsetzungsgesetz ist seit dem 6. Dezember letzten Jahres in Kraft, viel Bewegung scheint es aber bei den einzelnen Unternehmen, die damit als wichtige oder besonders wichtige Einrichtung betroffen sind, noch nicht gegeben zu haben. Das war zumindest der allgemeine Tenor der Referenten bei diesem Kongress. Und genau deswegen werde das BSI seinen „kooperativen und hilfreichen Stil“ weiterführen, sagte Claudia Plattner, Präsidentin des BSI, in ihrem Willkommensbeitrag.

Ein Fokus wurde bereits in diesem Beitrag und später im Themenblock „NIS-2-Implementierung“ auf die Situation bei KMUs gelegt. „Der Mittelstand muss mitgenommen werden“, sagte Claudia Plattner und wies auf Angebote für diese Zielgruppe hin – unter anderem den CyberRisikoCheck nach DIN SPEC 27076. Dieser führt zwar nicht zu einer NIS-2-Compliance, jedoch kann er ein guter Einstiegspunkt sein, wenn das Thema Informationssicherheit im Unternehmen bisher vernachlässigt wurde und kein Expertenwissen vorhanden ist. Mit dem CyberRisikoCheck erlangt man einen ersten Überblick über den Status der Informationssicherheit sowohl im technischen als auch im organisatorischen Bereich, basierend auf einem standardisierten Interview. Mit wenig internem Aufwand erhält man durch einen externen Berater (z.B. die ComConsult) nicht nur ein Lagebild, sondern auch erste Handlungsfelder für Verbesserungen.

Der Studierendenbeitrag von Yasin Bachiri hat herausgestellt, dass die noch mangelnde Umsetzung der NIS-2-Anforderungen einerseits an der Kenntnis der Unternehmen über die eigene Betroffenheit liege, denn diese sei insgesamt nicht sehr hoch. Nur wenige Unternehmen hätten sich konkret mit der eigenen Betroffenheit auseinandergesetzt. Andererseits fehle es auch an Ressourcen, denn für eine NIS-2-Compliance werde ein hoher formaler Dokumentationsaufwand gesehen, der gerade KMUs hemme – NIS-2 als Papier-Tiger für die Tonne statt als handhabbare Sicherheitsverbesserung. Leider haben die bisherigen Informationsangebote bei KMUs bislang noch keinen Perspektivwechsel dahingehend erwirken können, dass ein hohes Resilienzniveau einen wirtschaftlichen Wert hat.

Mit der Verpflichtung zur Erfüllung von Informationssicherheit durch den Gesetzgeber (NIS-2-Umsetzungsgesetz und BSI als Meldestelle für erhebliche Sicherheitsvorfälle) wird insbesondere bei den KMUs die Forderung nach Unterstützung bei der Umsetzung durch Bundesbehörden laut. Fehlendes Infomaterial wurde in der statistischen Erhebung des Studierendenbeitrags stark bemängelt. Dies spiegelte sich ebenso in den Workshop-Ergebnissen wider, die am späteren Nachmittag geteilt wurden. Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft stellte vor, was ausgewählte Teilnehmende vor Ort in Bonn am Vormittag erarbeitet hatten. Auch hier waren ausdrücklich eine klare Vorgehensweise und klare Maßnahmen vom BSI gewünscht, schließlich sehe sich das BSI als Partner der Wirtschaft und nicht nur als überwachende Behörde.

In seinem vorangegangenen Impulsvortrag sprach Manuel Bach vom „Tal des Todes“. Darin befänden sich vor allem Unternehmen, die gerade einmal über 50 Mitarbeiter beschäftigen, aber weniger als 10 Millionen Euro Jahresumsatz erwirtschaften. Denn besonders hier sehe man eine Überforderung auf der Kostenseite, vor allem bei der Abwägung zwischen den Kosten eines möglichen Cybersicherheitsvorfalls und den Kosten für die wirksame Implementierung von IT-Sicherheit. Sicherlich wird in eine solche wirtschaftliche Rechnung auch eine mögliche Strafzahlung einbezogen, die bei Nicht-Compliance auf Unternehmen zukommen kann.

Ebenso bemängelten Unternehmen die fehlende Integration in bereits bestehende Managementsysteme und die vermisste Klarheit über die notwendige Implementierungstiefe. Manuel Bach schätzte allerdings, dass mit einer bestehenden IT-Grundschutz- bzw. ISO-27001-Zertifizierung bereits ein Großteil („ca. 95%“) der Arbeit zur NIS-2-Compliance getan sei. An dieser Stelle fehle es jedoch an Gewissheit, wann eine NIS-2-Compliance wirklich erreicht sei, denn einen offiziellen Stempel oder Beispiele gebe es noch nicht. Zwar gälten schon die Registrierungs- und Meldepflichten, die Überprüfung der Einhaltung stehe aber noch aus.

Manuel Bach wies auf das Angebot des BSI unter #nis2know hin, welches Roadmaps und Hilfestellungen biete. Hier finde man bereits seit einiger Zeit hilfreiche Erläuterungen zu den einzelnen Anforderungen sowie eine Bezugnahme auf andere Standards. Weitere Hinweise speziell für IT-Dienstleister fänden sich ebenfalls bei der enisa in der „NIS-2 – Technical Implementation Guidance“ – allerdings nur für NIS-2-betroffene IT-Dienstleister und nicht für alle betroffenen wichtigen oder besonders wichtigen Einrichtungen, auch wenn die gesetzlichen Anforderungen theoretisch für alle Sektoren gelten.

Zwei weitere Beiträge gaben einen Einblick in Spezialthemen: Ian Volkov und Sebastian Heitz von netsharqs sprachen über „Auditierbare und wiederherstellbare IT-Sicherheitsarchitekturen mit Infrastructure as Code im Kontext von NIS-2“, Dr. Tim Würtele vom Institut für Informationssicherheit der Uni Stuttgart sprach zu „Mechanisierter Modellierung und Sicherheitsbeweisen in Web-Protokollen“. Hier lag der Fokus definitiv nicht auf KMUs als Adressaten, sondern auf Unternehmen mit bereits ausgereifter IT-Infrastruktur und -abteilung. Obwohl es sinnvoll war, neben den eher einführenden Beiträgen auch Vorträge an ein technisch fortgeschrittenes Publikum zu richten, fehlte uns hier der direkte NIS-2-Bezug. Dieser ließ sich lediglich zu einzelnen Anforderungen herstellen, inhaltlich fokussierten sich die Beiträge jedoch auf eine der möglichen Umsetzungslösungen.

Fazit

Zusammenfassend lässt sich festhalten, dass bereits zahlreiche Unterstützungsangebote bestehen, deren tatsächliche Wirksamkeit und Zielgruppengenauigkeit sich jedoch erst in der weiteren Umsetzung der NIS-2-Richtlinie zeigen wird. Wir dürfen weiterhin gespannt sein, wie das BSI sein Angebot in Zukunft ausweiten wird. Ebenfalls gespannt sind wir auf den Blog-Beitrag unseres Kollegen Felix Horn, der den Vortragsblock „Sichere generative KI“ besucht hat.

Falls Sie zum Thema NIS-2 mehr lesen möchten, finden Sie einen Artikel im Netzwerk Insider aus dem vergangenen Jahr, der sowohl die Betroffenheitsaspekte als auch die Umsetzungshinweise bezüglich NIS-2 zusammenfasst (Dr. Simon Hoff, Maren Poppe, Hans Scholing und Dr. Kathrin Stollenwerk, „NIS-2 in der Praxis – von Betroffenheit zur Umsetzung“, verfügbar unter: https://www.comconsult.com/nis-2-in-der-praxis-von-betroffenheit-zur-umsetzung).

Ergänzende Literatur

Resumée des BSI zum 21. Deutschen IT-Sicherheitskongress plus Downloadlink des Tagungsbands, „KI, Quantencomputer, Nachwuchsförderung: Das war der 21. Deutsche IT-Sicherheitskongress„ verfügbar unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260416_BSI-Kongress-2026.html

BSI, „#nis2know Infopakete“, verfügbar unter: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/infopakete_node.html

Enisa, „Technichal Implementation Guidance“, verfügbar unter: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance