• Februar 2026

Die NIS‑2‑Richtlinie ist mehr als eine gesetzliche Vorgabe – sie ist eine Einladung, die eigene Organisation widerstandsfähiger, klarer strukturiert und zukunftsfest aufzustellen.

Wir begleiten Sie entlang der gesamten NIS-2‑Umsetzung. Von der Betroffenheitsprüfung über die Priorisierung der Pflichten bis zur nachhaltigen Verankerung in Prozessen, Strukturen und IT‑Landschaften. Mit klaren Prioritäten, messbaren Ergebnissen und schneller Umsetzbarkeit.

Was bedeutet NIS-2?

Die europäische NIS-2-Richtlinie verschärft die Anforderungen an Cybersicherheit von Netz- und Informationssystemen erheblich an. Erstmals werden dabei auch Verwaltungen auf Bundesebene ausdrücklich in den Anwendungsbereich klar benannt. Die Umsetzung der Anforderungen in Landesrecht ist derzeit in einigen Bundesländern in Erarbeitung. Ziel der Richtlinie ist es, ein einheitlich hohes Sicherheitsniveau in der EU zu gewährleisten und die Widerstandsfähigkeit staatlicher und öffentlicher digitaler Infrastrukturen nachhaltig zu stärken.

 Was ist neu? Die wichtigsten Änderungen auf einen Blick:

  • Registrierungspflicht: Betroffene Organisationen gemäß dem deutschen NIS-2-Umsetzungsgesetz müssen sich bis Anfang März 2026 bzw. bei Feststellung der Betroffenheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
  • Erweiterter Anwendungsbereich: Die NIS-2-Richtlinie betrifft nun deutlich mehr Organisationen, inklusive vieler kleiner und mittleren Unternehmen und der gesamten öffentlichen Verwaltung.
  • Verschärfte Meldepflichten: Sicherheitsvorfälle müssen binnen 24 Stunden an das BSI gemeldet werden, eine Zwischenmeldung nach 72 Stunden und ein Abschlussbericht nach einem Monat sind verpflichtend.
  • Stärkere Aufsicht: Das BSI erhält erweiterte Befugnisse, u. a. zur Durchführung von Schwachstellenscans und zur Untersagung des Einsatzes kritischer Komponenten.
  • Zentrale Koordination: Einführung eines Chief Information Security Officer (CISO Bund) für die Bundesverwaltung zur Koordination und Unterstützung der Ressorts.

Ist meine Organisation betroffen?

Um zu erfahren, ob Ihre Behörde von der Umsetzungspflicht der NIS-2-Richtlinie betroffen ist, bietet Ihnen das Bundesamt für Sicherheit und Informationstechnik eine erste Orientierung mit einem Online-Fragebogen, den Sie hier finden. Bei Betroffenheit sind Sie verpflichtet sich bis Anfang März 2026 beim BSI zu registrieren.

Zentrale Umsetzungspflichten

NIS-2 stellt klare Anforderungen an Organisationen, Führung und Technik:

  • Verantwortung der Leitung: Die Organisationsleitung muss über ihre Verantwortung geschult und regelmäßig über Risiken sowie Vorfälle unterrichtet werden.
  • Risikomanagement: Einführung und Nachweis eines wirksamen ISMS (Informationssicherheits-Managementsystems) nach BSI 200-2 für Behörden inklusive Risikoanalyse, Schwachstellenmanagement und Notfallmanagement.
  • Klare Meldeprozesse: Klare Definition von Verantwortlichkeiten und Meldeketten für Sicherheitsvorfälle.
  • Lieferkettensicherheit: IT-Dienstleister müssen verbindlich nach BSI-Standard verpflichtet und vertraglich eingebunden werden.
  • Technische und organisatorische Maßnahmen: Risikobasierte Ableitung geeigneter und angemessener Maßnahmen, wie beispielsweise Multi-Faktor-Authentifizierung, Verschlüsselung und Personalsicherheit.
  • Awareness & Schulungen: Regelmäßige Schulungen in Cybersicherheit und Cyberhygiene für alle Mitarbeitenden.

Handlungsbedarf für Behörden – NIS-2 Action-Check

  1. Meldewege bekannt?
  2. Leitungsverantwortung
  3. ISMS nachhaltig etabliert?
  4. IT-Dienstleister auf Einhaltung der Informationssicherheit verpflichtet?
  5. Risiken und Schwachstellen bekannt?
  6. BCM/Notfallmanagement
  7. Kontiniuierliche Verbesserung sichergestellt?

Falls eine der Fragen mit NEIN zu beantworten ist, lassen Sie uns miteinander sprechen!

Kontakt aufnehmen

Was passiert, wenn sie nicht handeln?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht die Einhaltung der NIS-2-Richtlinie. Bei Nichteinhaltung der NIS-2-Richtlinie gibt es behördliche Maßnahmen.

Wie können wir Sie unterstützen – NIS-2 Schritt-für-Schritt umgesetzt

  1. Gap-Analyse: Identifizieren Sie bestehende Sicherheitslücken und bewerten Sie den Reifegrad Ihres ISMS.
  2. Zielbild und Roadmap: Entwickeln Sie einen individuellen Maßnahmenplan.
  3. Umsetzung: Verbessern Sie / Etablieren Sie Ihr ISMS, setzen Sie technische und organisatorische Maßnahmen um und schulen Sie Ihre Mitarbeitenden.
  4. Meldeprozesse: Definieren Sie klare Meldewege und Verantwortlichkeiten für Sicherheitsvorfälle.
  5. Lieferantenmanagement: Integrieren Sie Ihre IT-Dienstleister in Ihr Sicherheitsmanagement und regeln Sie Verantwortlichkeiten vertraglich.

Warum ist BearingPoint der richtige Ansprechpartner?

Als BSI‑zertifizierter IT‑Sicherheitsdienstleister begleiten wir Sie mit unseren umsetzungsstarken Teams von der Gap‑Analyse über die Roadmap bis hin zur operativen Umsetzung inklusive Schulungen. Dabei profitieren Sie von unserer langjährigen Erfahrung in der Umsetzung komplexer Projekte sowie in der Konzeption und Etablierung einer ganzheitlichen Cybersicherheit in der Öffentlichen Verwaltung im Bund, in den Ländern und Kommunen.

Ergreifen Sie jetzt Ihre Chance, Ihre Cyberresilienz zu stärken. Nutzen Sie unsere unverbindliche Erstberatung, um Ihren individuellen Handlungsbedarf zu klären und gezielt die nächsten Schritte einzuleiten.

Nehmen Sie Kontakt auf!

Wünschen Sie weitere Informationen?

Wenn Sie mehr über diese Publikation erfahren möchten, wenden Sie sich bitte an unsere Experten, die gerne von Ihnen hören.

Public Sector

Resiliente und nachhaltige öffentliche Dienstleistungen für eine sich ständig verändernde Gesellschaft und Wirtschaft

Unsere Berater:innen im Bereich Öffentliche Verwaltung unterstützen Behörden bei der Transformation hin zu in agilen und widerstandsfähigen Organisationen.

Weiterlesen