Was ist ein CSIRT und welche Rolle spielt es im Kontext der NIS2-Richtlinie?

Ein CSIRT – kurz für Computer Security Incident Response Team – ist eine spezialisiertes Team innerhalb einer Organisation, die auf Cyber-Sicherheitsvorfälle reagiert. Dieses Team besteht in der Regel aus hochqualifizierten IT- und Sicherheitsexperten, die rund um die Uhr daran arbeiten, Bedrohungen zu identifizieren, zu analysieren und effizient zu entschärfen. Im Rahmen der NIS2-Richtlinie nimmt das CSIRT eine zentrale Rolle ein: Sollte es zu einem sicherheitsrelevanten Vorfall kommen, sind betroffene Unternehmen gesetzlich verpflichtet, diesen innerhalb von 24 Stunden an das zuständige CSIRT und die Aufsichtsbehörde zu melden. Die schnelle und strukturierte Zusammenarbeit mit dem CSIRT ist damit ein integraler Bestandteil des gesetzlich geforderten Cyber-Risikomanagements – insbesondere für Organisationen in kritischen Infrastrukturen oder mit komplexen IAM-Prozessen.

Gibt es eine offizielle NIS2-Zertifizierung für Unternehmen?

Eine häufig gestellte Frage lautet: „Kann sich mein Unternehmen nach NIS2 zertifizieren lassen?“ Die Antwort lautet: Nein, eine formale NIS2-Zertifizierung existiert derzeit nicht. Die NIS2-Richtlinie definiert gesetzliche Pflichten für bestimmte Organisationen, insbesondere in Bezug auf Sicherheitsmaßnahmen, Risikomanagement, Meldepflichten und Identity und Access Management (IAM). Diese Anforderungen gelten verpflichtend für Organisationen, die unter die Richtlinie fallen – je nach Branche, Größe und Kritikalität. Allerdings gibt es einen wichtigen Hinweis für Unternehmen, die bereits zertifizierte Sicherheitsstandards einhalten: Wenn Ihre Organisation beispielsweise nach ISO 27001 oder BSI IT-Grundschutz zertifiziert ist, erfüllen Sie bereits viele der Sicherheitsanforderungen, die NIS2 voraussetzt. Das bedeutet zwar keine automatische Rechtskonformität – aber Sie befinden sich auf einem sehr guten Weg zur NIS2-Compliance.

NIS2-Richtlinie

Was bedeutet die NIS2-Richtlinie für Unternehmen?

Die NIS2-Richtlinie wird auch als NIS2-Directive bezeichnet. Die NIS2-Richtlinie (Network and Information Security Directive) ist die überarbeitete Fassung der ersten EU-weiten Cybersicherheitsrichtlinie NIS1. Ihr Ziel: die digitale Resilienz kritischer und wichtiger Organisationen innerhalb der Europäischen Union entscheidend zu stärken.

Für Unternehmen bedeutet dies klare gesetzliche Vorgaben zur Absicherung von IT-Infrastrukturen, zur Verbesserung der Reaktionsfähigkeit bei Cyberangriffen und zur Stärkung des gesamten Identity und Access Managements (IAM). In Deutschland wird die NIS2-Richtlinie durch ein neues Cyber-Sicherheitsgesetz umgesetzt, das das bisherige Gesetz über das Sicherheitsniveau von Netz- und Informationssystemen (Wbni) ablösen wird.

Aber was genau ist NIS2? Das erklären wir in diesem Artikel.

Warum wurde NIS2 eingeführt?

Mit der zunehmenden Digitalisierung steigen auch die Risiken durch Cyberbedrohungen. Die NIS2-Directive reagiert auf diese Entwicklung: Sie verpflichtet Unternehmen dazu, umfassendere Sicherheitsmaßnahmen zu etablieren, um die Auswirkungen von Cyberangriffen zu minimieren.

Ob Energieversorger, Banken, Gesundheitsdienste oder IT-Dienstleister – Organisationen, die als "wesentlich" oder "wichtig" für das gesellschaftliche und wirtschaftliche Gefüge der EU eingestuft werden, unterliegen künftig strengeren Anforderungen. Der Schutz dieser Strukturen ist zentral für die Cybersicherheit Europas.

Welche Inhalte regelt die NIS2-Richtlinie konkret?

Die NIS2-Richtlinie geht deutlich weiter als ihr Vorgänger:

Erweiterter Geltungsbereich: Mehr Branchen sind betroffen, einschließlich mittlerer und kleinerer Unternehmen in kritischen Bereichen.
Strengere Auflagen: Klare Anforderungen an Cyberrisikomanagement, Zugriffskontrolle, Monitoring, Geschäftskontinuität und Meldung von Sicherheitsvorfällen.
IAM-Fokus: Identity und Access Management rückt in den Vordergrund – denn wer wann worauf zugreifen darf, ist für die Einhaltung der NIS2 zentral.
Einheitliche Sicherheitsstandards: Durch ein „Level Playing Field“ sollen alle Mitgliedsstaaten gleiche Sicherheitsanforderungen einhalten – für bessere Zusammenarbeit und höhere Widerstandsfähigkeit.

Welche Auswirkungen hat NIS2 auf Ihr Unternehmen?

Für IT-Verantwortliche und Geschäftsführungen ist die NIS2-Richtlinie ein Weckruf, Cybersicherheit nicht länger als IT-Detail zu betrachten, sondern als strategische Führungsaufgabe. Die Umsetzung der Vorgaben erfordert:

Klare Rollen und Verantwortlichkeiten
Robuste IAM-Strukturen
Technische und organisatorische Sicherheitsmaßnahmen
Nachweisführung und regelmäßige Berichterstattung

Nicht-konformes Verhalten kann zukünftig zu hohen Bußgeldern und Reputationsschäden führen – vergleichbar mit DSGVO-Verstößen.

Was beinhaltet die NIS2-Richtlinie?

Mit der fortschreitenden Digitalisierung und der Zusammenarbeit zwischen Unternehmen und Ländern wird unsere Gesellschaft zunehmend anfälliger für Cyberbedrohungen. Selbst die Auswirkungen eines einzigen Hacks, beispielsweise bei einem Energieunternehmen, einer Bank oder einem Flughafen, können die Nachrichten dominieren – insbesondere, wenn mehrere Organisationen gleichzeitig von Computerproblemen betroffen sind. Die NIS2-Richtlinie soll Organisationen schützen, die für unsere Wirtschaft oder Gesellschaft als Ganzes wichtig oder sogar essenziell sind. Gemeinsam machen wir mit NIS2 Deutschland sicherer.

Die NIS-Gesetzgebung sorgt zudem für ein sogenanntes Level Playing Field innerhalb der EU. Zuvor arbeiteten Länder mit unterschiedlichen Sicherheitsrichtlinien und -maßnahmen, was die Zusammenarbeit zwischen Ländern und Organisationen erheblich erschwerte. Mit der Einführung der NIS2-Directive schaffen wir ein einheitliches Sicherheitsniveau in den verschiedenen Mitgliedstaaten, sodass wir uns als geschlossene Einheit verteidigen können. In der Trendanalyse Nationale Sicherheit 2024 wurde festgestellt, dass die Bedrohung durch staatliche Akteure und kriminelle Organisationen zunimmt, und dies ist eine der Maßnahmen, um darauf vorbereitet zu sein.

Für wen gilt die NIS2-Richtlinie?

Relevanz und Pflichten für Unternehmen im Bereich IAM und Cybersicherheit

Die Frage, ob Ihre Organisation von der NIS2-Richtlinie betroffen ist, stellt sich spätestens dann, wenn Sie sich mit moderner IT-Sicherheit und Identity und Access Management (IAM) beschäftigen. Denn die überarbeitete EU-Richtlinie verpflichtet Unternehmen in kritischen Sektoren zur Einhaltung deutlich strengerer Sicherheitsstandards.

Doch gilt die NIS2 auch für Ihr Unternehmen? Das hängt von zwei zentralen Faktoren ab: dem Sektor, in dem Sie tätig sind, und der Größe Ihrer Organisation.

Welche Sektoren sind von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie unterteilt betroffene Branchen in zwei Kategorien: „sehr kritische Sektoren“ und „andere kritische Sektoren“. Diese Einordnung basiert auf der Relevanz der jeweiligen Branche für die gesellschaftliche und wirtschaftliche Stabilität der Europäischen Union.

Sehr kritische Sektoren:

Diese bilden das Rückgrat nationaler Infrastrukturen. Dazu gehören u. a.:

Energieversorgung (z. B. Strom, Gas)
Transport und Logistik
Finanz- und Bankwesen
Gesundheitswesen
Trinkwasserversorgung
Öffentliche Verwaltung und Regierungsinstitutionen
IT- und Telekommunikationsinfrastrukturen

Andere kritische Sektoren:

Hierunter fallen Organisationen, die zwar nicht direkt zur Basis-Infrastruktur zählen, jedoch dennoch essenziell für das wirtschaftliche Funktionieren sind:

Digitale Dienstleister
Kurier- und Postdienste
Lebensmittelproduktion und -handel
Verarbeitende Industrie
Abfallwirtschaft
Forschungseinrichtungen

Wenn Ihre Organisation zu einem dieser Sektoren gehört, ist es sehr wahrscheinlich, dass Sie der NIS2-Compliance unterliegen.

Welche Rolle spielt die Unternehmensgröße?

Auch die Größe Ihrer Organisation ist entscheidend. Die Richtlinie definiert zwei relevante Unternehmensklassen:

Große Unternehmen:
Mehr als 250 Mitarbeitende
oder ein Jahresumsatz von mindestens 50 Mio. €
und eine Bilanzsumme von mindestens 43 Mio. €
Mittelgroße Unternehmen:
Mindestens 50 Mitarbeitende
oder ein Jahresumsatz und eine Bilanzsumme von jeweils über 10 Mio. €

Ausnahmefälle:

Kleinere und Mikro-Unternehmen (weniger als 50 Mitarbeitende) fallen grundsätzlich nicht unter die NIS2-Richtlinie – es sei denn, sie werden als besonders bedeutend für die öffentliche Sicherheit oder das wirtschaftliche Gefüge eingestuft. Dies kann durch das zuständige Bundesministerium im Einzelfall bestimmt werden.

Zudem sind bestimmte Institutionen immer von NIS2 betroffen – unabhängig von ihrer Größe:

Regierungsstellen und Ministerien
Anbieter öffentlicher elektronischer Kommunikationsdienste und -netze
Anbieter von Vertrauensdiensten
Betreiber von Top-Level-Domain-Registern
DNS- und Domain-Registrierungsdienste

Wie finden Sie heraus, ob Ihre Organisation unter NIS2 fällt?

Gerade für IT-Leitungen und Geschäftsführer kann die Beurteilung, ob die eigene Organisation unter die NIS2-Richtlinie fällt, herausfordernd sein. Um hier Klarheit zu schaffen, stellt die Bundesregierung eine Selbstevaluierung zur Verfügung.

Diese NIS2-Checkliste bietet eine strukturierte Möglichkeit zur Selbsteinstufung und hilft Ihnen dabei, Risiken rechtzeitig zu identifizieren und notwendige Maßnahmen im Identity und Access Management (IAM) sowie in der IT-Sicherheitsstrategie zu planen.

NIS2-Richtlinie: Essenzielle und wichtige Einheiten im Überblick

Was Unternehmen über Klassifizierungen, Pflichten und Aufsicht wissen müssen

Im Rahmen der neuen NIS2-Richtlinie ist es für Organisationen entscheidend zu wissen, ob sie als essenzielle Einheit oder wichtige Einheit gelten. Denn diese Einstufung bestimmt nicht nur, welche regulatorischen Pflichten Sie erfüllen müssen, sondern auch, wie streng die behördliche Aufsicht ausfällt.

Für IT-Leiter, CISOs und Geschäftsführer ist diese Kategorisierung deshalb von hoher Relevanz, wenn es darum geht, Risiken im Bereich Identity und Access Management (IAM) richtig zu bewerten und rechtzeitig Maßnahmen umzusetzen.

Was bedeutet „essenzielle Einheit“ im Rahmen der NIS2-Richtlinie?

Organisationen, die als essenzielle Einheiten klassifiziert werden, gehören typischerweise zu den großen Unternehmen in sehr kritischen Sektoren. Dazu zählen etwa:

Energieversorger
IT-Infrastrukturanbieter
Gesundheits- und Notfalldienste
Finanz- und Regierungsinstitutionen

Auch bestimmte digitale Infrastruktur-Anbieter sind automatisch essenzielle Einheiten – unabhängig von ihrer Unternehmensgröße. Ebenso werden alle Regierungsorganisationen pauschal in diese Kategorie eingeordnet.

Für essenzielle Einheiten gilt ein proaktives Aufsichtsregime: Die Behörden prüfen die Einhaltung der Sicherheitsvorgaben regelmäßig und unabhängig davon, ob bereits Vorfälle aufgetreten sind.

Was sind „wichtige Einheiten“ gemäß NIS2?

Als wichtige Einheiten gelten in der Regel:

Mittelgroße Organisationen in sehr kritischen Sektoren
Organisationen aller Größen in den sogenannten anderen kritischen Sektoren, wie z. B.:
- Kurierdienste
- Lebensmittelproduktion
- Digitale Plattformen
- Teile der Industrie

Im Gegensatz zu essenziellen Einheiten unterliegen wichtige Einheiten einem reaktiven Aufsichtsmechanismus. Die Behörden greifen nur dann ein, wenn ein Vorfall gemeldet wird oder ein externer Hinweis (z. B. durch Auditoren) Anlass zur Untersuchung gibt.

Wann gilt welche Einstufung – und wie finden Sie es heraus?

Die Unterscheidung zwischen essenziellen und wichtigen Einheiten hängt stark von Sektor, Größe und Relevanz für die Gesellschaft ab. Wer hier den Überblick verliert, dem steht die NIS2-Checkliste zur Verfügung – eine Selbsteinschätzung, die hilft, die eigene Einstufung zu erkennen.

Zusätzlich hat das Nationale Cyber-Sicherheitszentrum (NCSC) eine umfassende NIS2-Broschüre veröffentlicht, in der alle Einheiten, Sektoren und Schwellenwerte nochmals übersichtlich erklärt werden.

NIS2-Verpflichtungen und Aufsicht

Ihre Verantwortung als Organisation nach der neuen Cybersicherheitsrichtlinie

Sobald Ihre Organisation unter die NIS2-Richtlinie fällt – ob als essenzielle oder wichtige Einheit – gelten automatisch drei zentrale Pflichten. Diese Verpflichtungen betreffen insbesondere auch die Sicherheit im Identity und Access Management (IAM), da hier besonders sensible Zugriffsrechte und Nutzeridentitäten geschützt werden müssen.

Registrierungspflicht
Alle betroffenen Organisationen müssen sich verpflichtend im nationalen Entitätenregister eintragen. In Deutschland wird diese Registrierung vom NCSC über eine digitale Plattform ermöglicht. Ziel ist es, einen vollständigen Überblick über kritische Organisationen in der gesamten EU zu schaffen.
Sorgfaltspflicht
Organisationen müssen eine Risikoanalyse durchführen und daraus konkrete Maßnahmen ableiten, um die Netzwerk- und Informationssysteme abzusichern. Diese Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen, angemessen und verhältnismäßig sein – sowohl technisch als auch organisatorisch. Gerade im IAM-Umfeld sind hier gezielte Zugriffskontrollen und regelmäßige Identitätsprüfungen entscheidend.
Meldepflicht
Kommt es zu sicherheitsrelevanten Vorfällen, sind diese binnen 24 Stunden dem Computer Security Incident Response Team (CSIRT) sowie der zuständigen Aufsichtsbehörde zu melden. Relevant sind Vorfälle, die die Verfügbarkeit, Integrität oder Vertraulichkeit Ihrer Dienste wesentlich beeinträchtigen können.

Unterschiede in der Aufsicht: Essenzielle vs. wichtige Einheiten

Die Art der Aufsicht unterscheidet sich je nach Einstufung Ihrer Organisation:

Essenzielle Einheiten unterliegen einer proaktiven Kontrolle durch die Aufsichtsbehörde – unabhängig davon, ob es zu einem Vorfall kam. Hier sind regelmäßige Audits und Sicherheitsnachweise erforderlich.
Wichtige Einheiten werden reaktiv beaufsichtigt. Die Prüfung erfolgt nur bei konkretem Anlass, etwa nach einem gemeldeten Vorfall oder durch externe Hinweise.

Zudem sind die möglichen Sanktionen für essenzielle Einheiten in der Regel deutlich strenger als für wichtige Einheiten – sowohl was Bußgelder als auch persönliche Konsequenzen für Geschäftsführende oder Sicherheitsverantwortliche betrifft.

Verzögerung bei der NIS2-Richtlinie: Was Unternehmen jetzt wissen müssen

Umsetzung der EU-Cybersicherheitsrichtlinie in Deutschland verspätet sich

Die Umsetzung der NIS2-Richtlinie in deutsches Recht verzögert sich – ein Punkt, der für viele Unternehmen von zentraler Bedeutung ist. Ursprünglich sollte das neue Cyber-Sicherheitsgesetz, welches die europäische NIS2-Vorgaben in Deutschland verankert, bis zum 17. Oktober 2024 in Kraft treten. Doch diese Frist kann die Bundesregierung nicht einhalten.

Hintergrund der Verzögerung ist die hohe Komplexität der Richtlinie:

Die NIS2-Richtlinie umfasst deutlich mehr Sektoren als ihr Vorgänger NIS1.
Die Anforderungen an Unternehmen und Behörden sind gestiegen.
Die Notwendigkeit einer intensiveren Aufsicht stellt zusätzliche organisatorische Herausforderungen dar.

Die Bundesregierung unter Kanzler Scholz hat daher bereits offiziell eine Verzögerung der Umsetzung angekündigt. Aktuellen Einschätzungen zufolge wird das Gesetz voraussichtlich im zweiten oder dritten Quartal 2025 verabschiedet und in Kraft treten.

Für Verantwortliche in IT-Sicherheit, IAM (Identity und Access Management) und Unternehmensführung bedeutet diese Verschiebung jedoch keine Entwarnung – sondern einen wichtigen Zeitpuffer zur strategischen Vorbereitung.

Jetzt handeln: So bereiten Sie Ihre Organisation auf die NIS2-Richtlinie vor

Frühzeitige Planung spart später Risiken und Ressourcen

Ob Ihre Organisation direkt unter die NIS2-Richtlinie fällt, hängt von mehreren Faktoren ab – unter anderem von Ihrer Branche, Unternehmensgröße und digitaler Relevanz. Nutzen Sie diese Übergangszeit, um sich gezielt auf die neuen Anforderungen vorzubereiten.

Unsere Empfehlung für IT-Leiter und Geschäftsführer:

Führen Sie eine interne NIS2-Risikoanalyse durch.
Prüfen Sie dabei insbesondere die Absicherung Ihrer Netzwerk- und Informationssysteme – inklusive aller Prozesse im Identity und Access Management (IAM).
Nutzen Sie die NIS2-Checkliste der Bundesregierung.
So finden Sie heraus, ob Sie als essenzielle oder wichtige Einheit klassifiziert werden – mit entsprechenden Pflichten.
Stellen Sie die Weichen für Compliance.
Entwickeln Sie jetzt technische und organisatorische Maßnahmen, um Meldepflichten, Registrierungen und IAM-Prozesse fristgerecht zu erfüllen.

Auch wenn die gesetzliche Verpflichtung noch nicht greift: Wer frühzeitig handelt, schützt sein Unternehmen nicht nur vor regulatorischen Risiken – sondern stärkt gleichzeitig die digitale Resilienz und Wettbewerbsfähigkeit.