NIS2.
Wer ist betroffen —
und wie umsetzen?
NIS2 betrifft „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren — darunter Energie, Gesundheit, digitale Infrastruktur und das verarbeitende Gewerbe (Maschinenbau, Automotive) — typischerweise ab 50 Mitarbeitenden oder 10 Mio € Umsatz. Pflicht sind Risikomanagement nach Art. 21, Lieferkettensicherheit, Meldepflichten (Frühwarnung binnen 24 h) und die persönliche Haftung der Geschäftsleitung. Viele Anforderungen lassen sich in der CI/CD-Pipeline automatisieren: SBOM, Security-Scans, signierte Artefakte.
Wesentliche vs. wichtige Einrichtungen
Betroffenheit prüfen
Sektor und Schwellenwerte (Mitarbeiterzahl, Umsatz) gegen die NIS2-Kategorien abgleichen. Auch Zulieferer fallen häufig über die Lieferketten-Anforderungen indirekt unter NIS2.
Risikomanagement etablieren
Technische und organisatorische Maßnahmen nach Art. 21 umsetzen: Risikoanalyse, Incident-Handling, Backup/Krisenmanagement, Lieferkettensicherheit, Verschlüsselung, Zugriffskontrolle.
Lieferkette absichern
Security-Anforderungen an Software-Zulieferer stellen — SBOM, Schwachstellenmanagement und nachweisbare Build-Provenance werden zur Vertragsgrundlage.
In die CI/CD-Pipeline integrieren
SBOM-Generierung, Security-Scans (SCA, SAST), signierte Artefakte und revisionssichere Deployment-Protokolle als automatische Pipeline-Gates verankern — Compliance bei jedem Release statt einmal im Jahr.
Registrieren und Vorfälle melden
Bei der zuständigen Behörde (in Deutschland BSI) registrieren und die gesetzlichen Meldefristen für Sicherheitsvorfälle (Frühwarnung binnen 24 Stunden) in die Prozesse aufnehmen.
Was ist die NIS2-Richtlinie?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie erweitert den Kreis der betroffenen Unternehmen erheblich, verschärft die Sicherheitsanforderungen und führt Meldepflichten, Lieferkettensicherheit sowie die persönliche Haftung der Geschäftsleitung ein. In Deutschland wird sie über das NIS2-Umsetzungsgesetz in nationales Recht überführt.
Wer ist von NIS2 betroffen?
Betroffen sind „wesentliche" und „wichtige" Einrichtungen in 18 Sektoren — darunter Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe (Maschinenbau, Automotive, Medizinprodukte), Chemie und Lebensmittel. Maßgeblich sind Sektor plus Schwellenwerte: ab 50 Mitarbeitenden oder 10 Mio € Jahresumsatz fällt ein Unternehmen meist unter NIS2. Über die Lieferkette sind oft auch kleinere Zulieferer indirekt betroffen.
Ab wann gilt NIS2 in Deutschland?
Die EU-Richtlinie ist seit Oktober 2024 in Kraft; die nationale Umsetzung über das deutsche NIS2-Umsetzungsgesetz folgt 2026. Unternehmen sollten unabhängig vom finalen Inkrafttreten frühzeitig mit der Umsetzung beginnen, da der Aufbau der geforderten Maßnahmen Monate dauert.
Wie mache ich eine NIS2-Betroffenheitsprüfung?
Prüfen Sie in drei Schritten: 1) Fällt Ihr Unternehmen in einen der NIS2-Sektoren? 2) Überschreiten Sie die Schwellenwerte (≥ 50 MA oder ≥ 10 Mio € Umsatz)? 3) Sind Sie Zulieferer einer betroffenen Einrichtung? Wird eine Frage mit Ja beantwortet, ist eine detaillierte Bewertung der Pflichten nach Art. 21 erforderlich.
Welche Pflichten bringt NIS2 konkret?
Zentral sind Risikomanagement-Maßnahmen (Art. 21): Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Beschaffung, Verschlüsselung, Zugriffskontrolle und Schulungen. Hinzu kommen Meldepflichten mit einer Frühwarnung binnen 24 Stunden und die Registrierung bei der Behörde.
Was hat NIS2 mit DevOps und CI/CD zu tun?
Viele NIS2-Anforderungen lassen sich am wirksamsten in der CI/CD-Pipeline automatisieren: SBOM-Erstellung, Schwachstellen-Scans, signierte Artefakte, Build-Provenance und revisionssichere Deployment-Protokolle. So wird Sicherheit bei jedem Release nachgewiesen — statt durch manuelle Audits einmal jährlich. Genau hier setzt DevSecOps an.
Drohen bei NIS2-Verstößen Sanktionen?
Ja. NIS2 sieht erhebliche Bußgelder vor (für wesentliche Einrichtungen bis 10 Mio € oder 2 % des weltweiten Jahresumsatzes) sowie die persönliche Haftung der Geschäftsleitung. Das hebt Cybersicherheit von einer IT- auf eine Geschäftsführungsaufgabe.
Verwandte Artikel
SBOM erstellen: Software Supply Chain Security für CI/CD
Maschinenlesbare Stückliste automatisiert in der Pipeline erzeugen — CRA- und NIS2-konform.
Cyber Resilience Act im Maschinenbau
Was der CRA ab 2026 für Hersteller digitaler Produkte bedeutet.
DevSecOps für die Industrie & IEC 62443
Security-Gates und Zonen-Modell in industriellen CI/CD-Pipelines.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance