Das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie ist inzwischen in Kraft und erweitert die Anforderungen an Informationssicherheit deutlich. Im Mittelpunkt stehen nun konkrete Vorgaben, die Unternehmen und Einrichtungen in Deutschland organisatorisch und technisch erfüllen müssen – darunter Registrierungspflichten, Meldewege und ein strukturiertes Risikomanagement.
Dieser Beitrag konzentriert sich auf die Anforderungen, die durch das deutsche Umsetzungsgesetz nun verbindlich gelten.
Für eine grundlegende Einführung in die NIS2-Richtlinie verweisen wir auf unseren älteren Beitrag
NIS2-Richtlinie: Auswirkungen auf die Authentifizierung in Unternehmen
Beitrag lesen
Wer ist durch das deutsche Umsetzungsgesetz betroffen?
Das NIS2-Umsetzungsgesetz erweitert den Geltungsbereich des BSI-Gesetzes erheblich. Es betrifft Einrichtungen, die gemäß deutschem Recht als:
- wichtige Einrichtungen oder
- besonders wichtige Einrichtungen
eingestuft werden.
Die Zuordnung richtet sich nach Sektoren und Schwellenwerten wie Mitarbeiterzahl, Umsatz oder Bilanzsumme. Damit umfasst das Gesetz deutlich mehr Unternehmen als bisherige Cybersicherheitsregelungen – auch solche, die bislang nicht zu den KRITIS-Betreibern gehörten.
Um zu prüfen, ob sie von dem Gesetz betroffen sind, bietet das BSI eine
NIS2-Betroffenheitsprüfung
Zentrale Pflichten nach dem neuen Gesetz
Unternehmen, die unter den Anwendungsbereich fallen, müssen insbesondere folgende Vorgaben erfüllen:
1. Registrierung beim BSI
Betroffene Einrichtungen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
2. Meldepflichten für Sicherheitsvorfälle
Sicherheitsrelevante Ereignisse müssen strukturiert, nachvollziehbar und fristgerecht gemeldet werden.
3. Risikomanagement nachweisen und dokumentieren
Dazu gehören unter anderem:
- klare Rollen & Verantwortlichkeiten
- Prozess für Risiko- und Sicherheitsbewertungen
- technische und organisatorische Maßnahmen
- Anforderungen an Dienstleister
- Notfall- und Wiederanlaufkonzepte
Für Behörden gilt zusätzlich der IT-Grundschutz als maßgeblicher Rahmen.
Diese Pflichten unterscheiden sich von der Richtlinie insofern, als sie konkrete, national verbindliche Anforderungen definieren und von Aufsichtsbehörden überprüft werden.
Bedeutung von Authentifizierung und IAM im neuen Kontext
Das NIS2-Umsetzungsgesetz verlangt angemessene technische Maßnahmen zur Zugriffskontrolle. Dazu zählen insbesondere:
- Einsatz sicherer Authentifizierungsverfahren
- Schutz privilegierter Konten
- Maßnahmen gegen unbefugte Zugriffe
Welche Verfahren geeignet sind (z. B. MFA, FIDO2, Smartcards), hängt von der jeweiligen Infrastruktur ab. Unternehmen sollten Authentifizierung dabei als Bestandteil des Risikomanagements und nicht als isolierte Einzelmaßnahme betrachten.
Lassen Sie sich unverbindlich beraten!
MTRIX steht als Partner bereit, Sie bei allen Schritten zu begleiten: Analyse, Umsetzung, Betrieb und Support.
Empfohlene erste Schritte für Unternehmen
Um die neuen Anforderungen praktisch anzugehen, empfiehlt sich folgendes Vorgehen:
-
Prüfen der Betroffenheit
Analysieren, ob Ihr Unternehmen/Sektor unter NIS2 fällt — z. B. anhand Kriterien wie Branche, Größe, Umsatz oder Bilanzsumme. Betroffenheitsprüfung vom BSI. -
Bestandsaufnahme der aktuellen IT-Sicherheitslage
Insbesondere: Welche Authentifizierungs- und Zugriffssysteme sind im Einsatz? Welche Zugänge und Benutzergruppen existieren? -
Identitäts- und Zugriffssicherheit priorisieren
Überprüfung und ggf. Einführung von MFA, phishingsicheren Verfahren, sicheren Token oder Smartcards — besonders für administrative, privilegierte oder remote Zugänge. -
Risikomanagement etablieren und dokumentieren
Technische und organisatorische Maßnahmen, Notfall- und Wiederanlaufpläne, Supply-Chain-Risiken, Zugriffsrichtlinien und Sicherheitsprozesse definieren. -
Registrierung und Meldewege vorbereiten
Registrierung beim BSI prüfen und ggf. durchführen, interne Prozesse für Vorfallserkennung und Meldung einrichten. -
Richtlinien & Verantwortung
Zuständigkeiten klar definieren (z. B. Sicherheitsbeauftragte, Compliance), Dokumentationspflichten sichern, Bewusstsein und Schulung im Team schaffen.
Wie MTRIX Unternehmen unterstützen kann
MTRIX begleitet Unternehmen bei allen Schritten im Bereich der sicheren Authentifizierung:
- Analyse bestehender Systeme
- Auswahl geeigneter MFA- und Token-Lösungen
- Integration in bestehende IT-Umgebungen
- Management und Logistik großer Token-Bestände
- Schulung und langfristigem Support
Wir unterstützen dabei, Authentifizierungslösungen so zu gestalten, dass sie sowohl die gesetzlichen Anforderungen erfüllen als auch im Arbeitsalltag praktikabel sind.
Weiterführende Informationen
- Gesetzestext des NIS2-Umsetzungsgesetzes (BSIG-Novelle)
-
Offizielle BSI-Informationsseite für NIS2-regulierte Unternehmen
Fazit
Das NIS2-Umsetzungsgesetz schafft erstmals einen verbindlichen, nationalen Rahmen für zahlreiche Unternehmen im Bereich Informationssicherheit. Im Fokus stehen ein strukturiertes Risikomanagement, klare Meldewege und angemessene technische Maßnahmen — darunter auch sichere Authentifizierung.
Unternehmen profitieren von einer frühzeitigen Analyse und einer systematischen Planung, um die neuen Anforderungen effizient umzusetzen.
Lassen Sie sich unverbindlich beraten!
MTRIX steht als Partner bereit, Sie bei allen Schritten zu begleiten: Analyse, Umsetzung, Betrieb und Support.