Wen betrifft die NIS2-Richtlinie?
Die NIS2-Richtlinie der EU verschärft die Cybersecurity-Pflichten für kritische und wichtige Einrichtungen erheblich — mit Umsetzungsfrist Oktober 2026. Betroffen sind Unternehmen aus Energie, Transport, Gesundheit, Fertigung und digitaler Infrastruktur. Neu ist die persönliche Haftung der Geschäftsleitung.
DevSecOps & NIS2Die NIS2-Richtlinie ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit und verschärft die Cybersecurity-Pflichten gegenüber der Vorgängerregelung erheblich. Sie erweitert den Kreis der betroffenen Organisationen, verlangt ein systematisches Risikomanagement und führt verbindliche Melde- und Aufsichtspflichten ein. Die nationale Umsetzung in Deutschland erfolgt über ein eigenes Gesetz; die maßgebliche Umsetzungsfrist liegt im Oktober 2026.
Betroffen sind Unternehmen aus zahlreichen Sektoren — darunter Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur und das verarbeitende Gewerbe — oberhalb bestimmter Größen- und Umsatzschwellen. Die Richtlinie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen, die unterschiedlich streng beaufsichtigt werden. Viele Industrieunternehmen, die bisher außerhalb des Anwendungsbereichs lagen, fallen durch die Ausweitung erstmals darunter.
Inhaltlich verlangt NIS2 ein angemessenes Risikomanagement: technische und organisatorische Maßnahmen, Lieferkettensicherheit, Vorfallsbehandlung, Business Continuity und kurze Meldefristen für erhebliche Sicherheitsvorfälle. Für Industrial DevOps bedeutet das, Sicherheit nachweisbar in Entwicklung und Betrieb zu verankern — automatisierte Scans, SBOMs, Policy-Checks und auditierbare Deployment-Prozesse liefern genau die Belege, die die geforderten Nachweispflichten verlangen.
Ein zentrales und oft unterschätztes Element ist die persönliche Haftung der Geschäftsleitung: Leitungsorgane müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und können bei Verstößen persönlich in die Verantwortung genommen werden. Damit wird Cybersecurity vom rein technischen zum Führungsthema. Typischer Stolperstein ist die verspätete Befassung — wer erst kurz vor der Frist beginnt, unterschätzt regelmäßig den Aufwand für Lieferkettensicherheit und Nachweisführung.
Mittelständischer Fertiger prüft Betroffenheit
Ein Maschinenbauer, der bisher außerhalb regulierter Kritis-Sektoren lag, stellt anhand von Sektor- und Schwellenwert-Kriterien fest, dass er als "wichtige Einrichtung" unter NIS2 fällt, und startet rechtzeitig mit Risikomanagement und Nachweisaufbau vor der Frist im Oktober 2026.
Auditierbare Pipeline als Nachweisgrundlage
Ein Zulieferer nutzt seine DevSecOps-Pipeline, um Scan-Ergebnisse, SBOMs und Deployment-Logs automatisch zu archivieren, und kann damit gegenüber der Aufsicht belegen, dass Sicherheitsmaßnahmen kontinuierlich und reproduzierbar greifen.
- Woran erkenne ich, ob mein Unternehmen unter NIS2 fällt?
- Maßgeblich sind die Kombination aus Sektor und Unternehmensgröße: Gehört das Unternehmen zu einem der gelisteten Sektoren und überschreitet es die Schwellenwerte bei Mitarbeitenden und Umsatz, ist es in der Regel betroffen. Da die Ausweitung viele neue Branchen erfasst, sollte die Betroffenheit aktiv geprüft und nicht angenommen werden.
- Was bedeutet die persönliche Haftung der Geschäftsleitung konkret?
- Die Leitungsebene muss die Risikomanagement-Maßnahmen aktiv billigen und ihre Umsetzung überwachen. Versäumt sie das, kann sie persönlich haftbar gemacht werden. Cybersecurity wird damit zur dokumentationspflichtigen Führungsaufgabe und kann nicht vollständig an die IT delegiert werden.
- Welche Meldefristen gelten bei Sicherheitsvorfällen?
- NIS2 sieht ein gestuftes Meldeverfahren vor: eine sehr kurzfristige Erstmeldung (Frühwarnung) innerhalb von 24 Stunden, eine ausführlichere Meldung innerhalb von 72 Stunden und einen Abschlussbericht später. Die genauen Modalitäten ergeben sich aus der nationalen Umsetzung.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance