Mit der Richtlinie (EU) 2022/2555 – NIS-2 – hat die EU verbindliche Vorgaben zur Cybersicherheit und Resilienz geschaffen. Deutschland hat die Umsetzungsfrist zwar verpasst, aber am 30. Juli 2025 den Kabinettsbeschluss zum „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2UmsuCG) gefasst. Dieser Entwurf liegt den weiteren Ausführungen zu den acht Phasen der Resilienz zugrunde.
Der Entwurf konkretisiert Pflichten zu Registrierung, Risikomanagement, Meldung von Sicherheitsvorfällen, Business-Continuity-Plänen und Schulung. Rund 30.000 Unternehmen aus 18 Sektoren werden betroffen sein; verschärfte Bußgelder und Aufsichtspflichten machen ein strukturiertes Vorgehen unverzichtbar.
Risikomanagementmaßnahmen
Wir haben aus Art. 2 Nr. 2 der RCE-Richtlinie acht Phasen eines belastbaren Systems abgeleitet: 1) Verhindern, 2) Schützen, 3) Reagieren, 4) Abwehren, 5) Folgen begrenzen, 6) Auffangen, 7) Bewältigen, 8) Erholen.
Werfen wir vor diesem Hintergrund einen Blick auf § 30 NIS2UmsuCG:
§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die nach Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. […]
Leider hat der Gesetzgeber es versäumt, die Umsetzungen der RCE- und NIS-2-Richtlinien zu vereinheitlichen, insbesondere die wesentlichen Grundlagen der Resilienz zu transferieren.
Wenn man den § 30 Abs. 1 jedoch genau liest, stellt man fest, dass die Grundsätze der Resilienz – so, wie wir sie definiert haben – den Regelungen zugrunde liegt. Wir werden im Folgenden sehen, dass je nach Gesetz die Schutzziele der Resilienz unterschiedlich sind, die Methodik hingegen gleichbleibt.
Das Schutzziel der Umsetzung der NIS-2-Richtlinie in Deutschland ist der Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Netzwerken und Informationssystemen, insbesondere kritischer Infrastrukturen und wichtiger Einrichtungen, vor Cyberangriffen und IT-Sicherheitsvorfällen.
Nachstehend wird gezeigt, wie die acht Phasen auch mit den Anforderungen des NIS-2-Regierungsentwurfs verknüpft sind und am Beispiel der Maschinenbau Müller GmbH (Sie erinnern sich?) angewendet werden.
Phase 1: Verhindern – Antizipation als erste Verteidigungslinie
Zunächst ist zu prüfen, ob die Maschinenbau Müller GmbH (im folgenden Müller GmbH) in den Anwendungsbereich fällt. Gemäß Art. 3 ff. NIS-2 und § 33 NIS2UmsuCG müssen Einrichtungen prüfen und registrieren, ob sie als „wesentlich“ oder „wichtig“ gelten.
Betroffenheitsprüfung
Hier hilft die NIS-2-Betroffenheitsprüfung des BSI (https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html).
Die Müller GmbH – ein mittelständischer Anlagenbauer mit 250 Mitarbeitenden und europaweitem Vertrieb – erfüllt die rechtlichen Voraussetzungen und dokumentiert dies mit dem BSI-Online-Tool.[1]
Am Beginn steht nach § 30 also die Verpflichtung, sämtliche Risiken durch eine umfassende Prozess- und Risikoanalyse zu erfassen und angemessen zu gewichten. Die Müller GmbH erarbeitet eine Prozesslandkarte, überführt diese in ein Risikomanagementsystem, und feilt an Vorbeugungsmaßnahmen für zentrale Geschäfts- sowie IT-Prozesse.
Die Bewertung von Lieferanten, externen Partnern und IT-Dienstleistern zählt ebenso zur Umsetzung wie interne Schwachstellenanalysen. Neben der technischen Bewertung ist hier auch die Dokumentation aller Erkenntnisse und Maßnahmen wesentlich (§30 Abs. 1).
NIS-2-Schutzziele
Die präventiven Maßnahmen der Müller GmbH – wie das frühzeitige Erkennen von Risiken, die Reduzierung deren Eintrittswahrscheinlichkeit und das Implementieren von Schutzvorkehrungen für Produktion, Vertrieb und IT – stehen in direktem Zusammenhang mit den Schutzzielen der NIS-2-Richtlinie. Zentral für NIS-2 sind die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit aller relevanten Geschäfts- und IT-Prozesse durch ein strukturiertes Risikomanagement und gezielte Prävention.
Konkret umfasst dies unter anderem die Bewertung von Lieferketten, das Screening externer Partner, die Festlegung von Maximum Tolerable Downtime (MTD) sowie Recovery Time Objectives (RTO), und eine Priorisierung von Präventions- und Schutzmaßnahmen. Diese Maßnahmen sollen sicherstellen, dass Risiken effektiv identifiziert, bewertet und durch gezielte Vorkehrungen proaktiv minimiert werden. Die kontinuierliche Schwachstellenanalyse und Dokumentation aller getroffenen Maßnahmen – wie sie auch §30 Abs. 1 fordert – sind darüber hinaus nicht nur gesetzliche Pflicht, sondern auch Grundpfeiler zur nachhaltigen Sicherstellung der NIS-2-Schutzziele im operativen Alltag.
Somit spiegeln die organisatorischen und technischen Vorkehrungen der Müller GmbH exakt den risikobasierten Ansatz der NIS-2-Richtlinie wider: Ein wirkungsvolles Zusammenspiel aus Prävention, Analyse und Priorisierung gewährleistet die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit aller kritischen Prozesse und bildet damit die Grundlage für die Cyberresilienz und Rechtssicherheit moderner Unternehmen.
Phase 2: Schützen – Umsetzung von Sicherheitsmaßnahmen
In dieser Phase erfolgt die gezielte Abschirmung wertvoller Assets wie Produktionsdaten, Steuerungssoftware und Infrastruktur. Die Müller GmbH definiert verbindliche Sicherheitsziele für diverse Unternehmensbereiche, darunter Authentifizierungskonzepte, Verschlüsselung, Zugriffsrechte und Redundanzmechanismen.
Die Sicherheitsmaßnahmen werden durch Firewalls, verschlüsselte Datenübertragung, rollenbasierte Zugriffskontrolle und regelmäßige Backups ergänzt. Eine Schulung des Personals sowie die Bereitstellung einer gesicherten Notstromversorgung runden die Schutzstrategie ab. Alle getroffenen Maßnahmen unterliegen einer regelmäßigen Auditierung und werden im unternehmensinternen IT-Sicherheitskonzept dokumentiert.
Die Umsetzung von Schutzmaßnahmen, etwa Firewalls, Verschlüsselung und Zugriffskontrollen, wird in § 30 ausgeführt. Die Dokumentation und kontinuierliche Verbesserung der Schutzmechanismen sind hier ebenfalls verpflichtend. Besonders wichtig ist die Nachweisbarkeit gegenüber den Behörden und das Prinzip der Verhältnismäßigkeit, das im Gesetz explizit gefordert wird.
Phase 3: Reagieren – Vorfallmanagement und Meldepflichten
Für das Incident Management gilt § 32: Im Fall eines Sicherheitsvorfalls ist eine gestufte Meldepflicht innerhalb von 24 Stunden an das BSI (§ 32 Abs. 1 und 2) verpflichtend. Im Unternehmen organisiert das Notfallteam die Sofortmaßnahmen im Sinne dieser Vorgabe.
Im Falle eines Sicherheitsvorfalls aktiviert also die Müller GmbH ein Notfall- und Krisenmanagementsystem. Ein interdisziplinäres Notfallteam analysiert den Angriff, leitet Sofortmaßnahmen wie Quarantäne betroffener Systeme ein und priorisiert die interne und externe Kommunikation. Die strukturierte und schnelle Reaktion auf die Bedrohung dient dazu, den Schaden möglichst gering zu halten und die Handlungsfähigkeit des Unternehmens zu sichern.
Phase 4: Abwehren – technische und organisatorische Gegenmaßnahmen
Die Abwehrphase ist eng mit der Reaktionsphase verbunden. Während Phase 2 und Phase 3 im Prinzip die Abwehrmaßnahmen „vorgedacht“ haben, wird nun gehandelt. Konkret bedeutet dies die Isolierung infizierter Systeme, Entfernung von Schadsoftware und Aktivierung gesicherter Backups. Zugriffe auf sensible Daten werden kurzfristig unterbunden, Notfallzugänge eingerichtet und alternative Server aktiviert.
Die Koordination erfolgt durch ein spezialisiertes Security-Team, das nötigenfalls externe Expertise hinzuzieht. Dokumentation der ergriffenen Schritte sichert die Nachweisbarkeit und Compliance gegenüber Aufsichtsbehörden.
Phase 5: Folgen begrenzen – Business Continuity und Schadensminimierung
Notfallpläne, Ausweichproduktion und Kommunikation sind nach § 30 Abs.2 Nr. 2 und 3 vorgeschrieben. Unternehmen müssen Vorkehrungen treffen, um die Auswirkungen von Vorfällen auf ein Minimum zu begrenzen und relevante Stakeholder zu informieren.
Das Unternehmen muss also fortgeschrittene Business-Continuity-Maßnahmen bereitstellen, etwa den sofortigen Wechsel auf Reserveproduktion, Nutzung alternativer Lieferanten und eine gezielte externe sowie interne Kommunikation. Schadensbegrenzung, rechtliche Prüfung und Bilanzierung aller Auswirkungen sind ebenso zentrale Bestandteile.
Phase 6: Auffangen, Dokumentation, Betreuung, Nachsorge
Sobald ein Vorfall abgeschlossen ist, beginnt die systematische Sammlung und Aufbereitung der Schäden, Erkenntnisse und Maßnahmen in einer umfassenden Dokumentation. Für Versicherungen und Behörden werden Debriefings und Berichte verfasst und die psychologische Betreuung der betroffenen Mitarbeitenden sorgt für die Resilienz der „Human Firewall“. Die Einbindung der „Lessons learned“ in bestehende Notfallroutinen sichert zukünftige Verbesserungen.
Phase 7: Bewältigen, Re-Organisation und Verbesserung
Die Bewältigungsphase dreht sich um die Wiederinbetriebnahme beschädigter IT- und Produktionssysteme. Rückstaus werden aufgearbeitet, ausgelassene Lieferungen nachgeholt und Betriebsabläufe flexibel angepasst. Ein Team aus unterschiedlichen Fachbereichen organisiert den Wiedereinstieg und kooperiert mit spezialisierten Dienstleistern. Prozessnachbearbeitung und Evaluierung sind entscheidend, damit Verbesserungen umgehend im Resilienzmanagement verankert werden können.
Phase 8: Erholen – Verbesserung und strategische Weiterentwicklung
Das kontinuierliche Lernen aus Vorfällen, die strategische Anpassung der Prozesse und die permanente Weiterentwicklung von Schutzmaßnahmen sind in § 30 Abs. 2 geregelt. Unternehmen sind gesetzlich verpflichtet, die „Lessons learned“ zu dokumentieren und die Schutzmechanismen fortlaufend auf einem aktuellen Stand zu halten.
Dieses Modell zeigt, wie die acht Phasen der Resilienz und die NIS-2-Anforderungen in Deutschland durch das Umsetzungsgesetz mit konkreten Paragraphen (insbesondere § 28–§ 39) systematisch operationalisiert werden – und macht die Vorgaben für Unternehmen verständlich und überprüfbar.
[1] Hier soll nicht im Einzelnen auf die Betroffenheitsprüfung eingegangen werden, da es den Umfang des Beitrages sprengen würde.
