NIS-2 gilt: Von der Betroffenheitsanalyse zur wirksamen Compliance – Handeln Sie jetzt!

Zunächst ist zu prüfen, ob Ihr Unternehmen als „wesentliche“ oder „wichtige“ Einrichtung eingestuft wird und somit unter die Regelungen von NIS-2 fällt. Dies ergibt sich aus der Neufassung des BSIG und richtet sich u. a. nach:

• Branche/Sektor gemäß Anlagen 1 und 2
• Mitarbeiterzahl oder Jahresumsatz und -bilanzsumme
• Ausnahmen können bestehen, wenn die in Anlage 1 oder 2 genannte Tätigkeit mit Blick auf die Gesamttätigkeit der Einrichtung „vernachlässigbar“ ist.

Bei Ermittlung der relevanten Mitarbeiterzahl sowie des Umsatzes bzw. der Gesamtbilanzsumme ist im Einzelfall nicht nur auf die einzelne juristische Person abzustellen. Es kommt auch die Betrachtung einer Unternehmensgruppe in Betracht.Stellungnahmen des BSI und die sich bildende Verwaltungspraxis zur Ermittlung der relevanten Größen bleiben abzuwarten.

Die Schwellenwerte (≥50 Mitarbeiterinnen und Mitarbeiter / ≥10 Mio. EUR Jahresumsatz und -bilanzsumme) führen dazu, dass auch viele Mittelständler erstmals unter regulatorische Aufsicht fallen. 

Eine solche Betroffenheitsanalyse, die zu einer fundierten Aussage führt, ob Ihr Unternehmen unter die Regelungen von NIS-2 fällt und somit von der deutschen Gesetzgebung betroffen ist, bietet unser rechtlicher Kooperationspartner, die BDO Legal Rechtsanwaltsgesellschaft mbH, an.

Sobald eine Betroffenheit feststeht, übernehmen unsere Expertinnen und Experten die operative Prüfung:

• Welche Sicherheitsmaßnahmen und Prozesse bestehen bereits?
• Welche Zertifizierungen sind vorhanden (z. B. ISO 27001, TISAX, DSGVO-Managementsystem)?
• Welche Kontrollen sind durch andere Prüffelder bereits etabliert (ITGC, ISAE 3402, interne Revision)?
• Wo bestehen Überschneidungen zwischen NIS-2-Pflichten und bestehendem Governance-Rahmen?
• Das BSI empfiehlt Unternehmen dringend, frühzeitig eine formale Zuordnung vorzunehmen und Verantwortlichkeiten zu definieren – inklusive Benennung einer zuständigen Person für NIS-2 in der Unternehmensleitung

Hier verbindet sich juristische Expertise mit prüferischem Know-how.

Als unmittelbaren ersten Schritt rät das BSI Betroffenen zur Durchführung einer ersten Risikoanalyse, Identifikation kritischer Assets und Bewertung des aktuellen Sicherheitsniveaus.

Gerade Unternehmen, die bereits Datenschutz- oder Informationssicherheitsstandards erfüllen, verfügen oft über ein solides Fundament – das jedoch systematisch erweitert werden muss.

Auf Basis der Informationen aus der Betroffenheitsanalyse erfolgt die eigentliche Gap-Analyse. Ziel ist es, eine klare Übersicht darüber zu schaffen, wo das Unternehmen heute steht – und welche Maßnahmen erforderlich sind. Typische Prüffelder der GAP-Analyse:

• Risikomanagement & Governance
• Incident-Response und 24-h-Meldepflichten
• Zugriffs- und Identitätsmanagement
• Lieferkettenrisiken und Dienstleistersteuerung
• Technische Sicherheitsmaßnahmen (Netzwerk, Protokollierung, Monitoring, Backup- und Wiederherstellungsprozesse)
• Dokumentation und Nachweisführung

Das prüferische Vorgehen orientiert sich an:

• ISA 315
• IDW PS 330
• IDW PH 9.860.1
• ITGC-Frameworks

Das Ergebnis ist ein priorisierter, ressourceneffizienter Maßnahmenplan.

Der nächste Schritt ist die Umsetzung der festgestellten Anforderungen. Dabei helfen:

• Aufbau oder Erweiterung eines Informationssicherheitsmanagementsystems (ISMS)
• Implementierung technischer Kontrollen (Monitoring, Logging, Hardening)
• Einführung eines Meldewesens NIS-2
• Regelmäßige Schulungen und Awareness-Programme
• Stärkung Lieferkettenmanagements
• Regelmäßige Übung von Notfall- und Incident-Szenarien

Das BSI stellt Unternehmen hierfür Informationspakete (#nis2know), Checklisten und Leitfäden zur Verfügung, die sich für die Umsetzung hervorragend eignen.

Wesentlicher Erfolgsfaktor: Die Zusammenarbeit von Legal und IT-Assurance bleibt über den gesamten Prozess hinweg bestehen.