NIS-2-Umsetzung in Bayern: Strategischer Leitfaden

2.1 Von NIS-1 zu NIS-2: Die Evolution des Sicherheitsrechts

Die ursprüngliche NIS-Richtlinie von 2016 (in Deutschland umgesetzt durch das IT-Sicherheitsgesetz 1.0 und 2.0) war ein erster Schritt, zeigte jedoch in der Praxis Schwächen. Die Identifikation der Betreiber war zu inkonsistent über die EU-Mitgliedstaaten verteilt, und die Sicherheitsniveaus divergierten stark. NIS-2 adressiert diese Defizite durch drei wesentliche Hebel:

1. Ausweitung des Anwendungsbereichs: Die Sektoren wurden massiv erweitert, und die Betroffenheit wird nun primär durch objektive Größenkriterien (Size-Cap) bestimmt, nicht mehr durch komplexe Schwellenwertberechnungen der Versorgungsleistung. ¹
2. Harmonisierung der Pflichten: Es gelten europaweit einheitlichere Anforderungen an Risikomanagement und Meldewesen.
3. Verschärfung der Aufsicht: Einführung drastischer Sanktionen und einer persönlichen Haftung der Geschäftsleitung, um Cybersicherheit zur Chefsache zu machen.¹

2.2 Der nationale Gesetzgebungsprozess: Stand Dezember 2025

Nach einer erheblichen Verzögerung – die Umsetzungsfrist der EU lief bereits am 17. Oktober 2024 ab – hat der deutsche Gesetzgeber im Herbst 2025 Fakten geschaffen.

• 13. November 2025: Der Deutsche Bundestag verabschiedet das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in 2. und 3. Lesung. ⁶
• 21. November 2025: Der Bundesrat stimmt dem Gesetz zu. Damit ist das parlamentarische Verfahren abgeschlossen. ²
• Inkrafttreten: Die Verkündung im Bundesgesetzblatt steht unmittelbar bevor. Das Gesetz tritt am Tag nach der Verkündung in Kraft, was für Ende 2025 oder spätestens Januar 2026 erwartet wird. ⁷

Für bayerische Unternehmen bedeutet dies: Die Phase der Unsicherheit ist beendet. Das Gesetz gilt ab dem Tag X ohne generelle Übergangsfristen für die Umsetzung der Maßnahmen.10 Lediglich für die Registrierung und Nachweiserbringung existieren enge Zeitfenster.

2.3 Systematik des NIS2UmsuCG

Das NIS2UmsuCG ist ein Artikelgesetz, das primär das BSI-Gesetz (BSIG) neu fasst. Es integriert die Anforderungen der Richtlinie in das bestehende deutsche IT-Sicherheitsrecht und harmonisiert es mit spezialgesetzlichen Regelungen wie dem Energiewirtschaftsgesetz (EnWG) oder dem Telekommunikationsgesetz (TKG). ⁶
Zusätzlich flankiert wird NIS-2 durch das KRITIS-Dachgesetz, welches den physischen Schutz kritischer Infrastrukturen regelt. Unternehmen müssen daher unterscheiden: Geht es um IT-Sicherheit (NIS-2/BSIG) oder um physische Resilienz (KRITIS-DachG)? In der Praxis betreffen beide Gesetze oft dieselben Akteure.⁶

Die Ermittlung der Betroffenheit ist der erste und kritischste Schritt. Anders als früher erfolgt keine Benachrichtigung durch Behörden ("Ihr seid KRITIS"). Stattdessen gilt das Prinzip der Selbstidentifikation. Unternehmen müssen eigenverantwortlich prüfen, ob sie unter das Gesetz fallen. Eine Fehleinschätzung schützt nicht vor Bußgeldern.

3.1 Die Size-Cap-Regel: Das Ende der Fallschwellen

Grundsätzlich fallen alle Unternehmen unter NIS-2, die:

1. In einem der regulierten Sektoren (siehe 3.2) tätig sind UND
2. Die Schwellenwerte für mittlere Unternehmen überschreiten.

Die Schwellenwerte im Detail:

• Mittlere Unternehmen: Ab 50 Mitarbeitende ODER ab 10 Mio. EUR Jahresumsatz (bei einer Bilanzsumme von bis zu 43 Mio. EUR).sup>1
• Große Unternehmen: Ab 250 Mitarbeitende ODER ab 50 Mio. EUR Jahresumsatz (und > 43 Mio. EUR Bilanzsumme).¹

Wichtige Nuance: Bei der Berechnung der Mitarbeiterzahlen und Finanzdaten sind Partnerunternehmen und verbundene Unternehmen gemäß der KMU-Empfehlung der EU zu berücksichtigen. Ein kleines bayerisches Tochterunternehmen eines internationalen Konzerns kann somit voll unter die Regulierung fallen, auch wenn es lokal nur 20 Mitarbeiter hat.

3.2 Die Sektoren: Anlage 1 und 2 des BSIG

Das Gesetz unterscheidet zwischen Sektoren mit „hoher Kritikalität“ (Anlage 1) und „sonstigen kritischen Sektoren“ (Anlage 2). Diese Unterscheidung ist maßgeblich für die Einordnung als „besonders wichtige“ oder „wichtige“ Einrichtung.

     
Besonders hervorzuheben für Bayern ist der Sektor Verarbeitendes Gewerbe. Viele Maschinenbauer und Zulieferer, die bisher nie als KRITIS galten, sind nun reguliert.13 Auch der Bereich Forschung betrifft die bayerische Hochschul- und Institutslandschaft direkt.

3.3 Die Kategorisierung: Besonders wichtig vs. Wichtig

Das deutsche Gesetz differenziert streng zwischen „Besonders wichtigen Einrichtungen“ (Essential Entities) und „Wichtigen Einrichtungen“ (Important Entities). Diese Unterscheidung bestimmt die Intensität der behördlichen Aufsicht und die Höhe der möglichen Sanktionen.

3.3.1 Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG)

Hierzu zählen:

• Große Unternehmen (≥ 250 MA / ≥ 50 Mio. Umsatz) in Sektoren der Anlage 1.
• Qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister, DNS-Diensteanbieter (unabhängig von der Größe).
• Betreiber kritischer Anlagen (KRITIS im Sinne des bisherigen Gesetzes), unabhängig von der Größe.
• Zentrale öffentliche Verwaltung.
• Einrichtungen, die per Einzelanordnung durch das BSI so eingestuft wurden. ⁶

3.3.2 Wichtige Einrichtungen (§ 28 Abs. 2 BSIG)

Hierzu zählen:

• Mittlere Unternehmen (50-249 MA / 10-50 Mio. Umsatz) in Sektoren der Anlage 1.
• Mittlere und große Unternehmen in Sektoren der Anlage 2.
• Bestimmte Einrichtungen (z.B. Vertrauensdienste), die nicht als „besonders wichtig“ qualifiziert sind.⁶

Sonderfall Telekommunikation: Im finalen Gesetzgebungsverfahren wurde der Schwellenwert von 100.000 Kunden gestrichen. Damit fallen nun fast alle Telekommunikationsanbieter, unabhängig von ihrer Kundenzahl, unter die Regulierung, oft in die Kategorie „besonders wichtig“.¹⁴

Sobald ein Unternehmen feststellt, dass es betroffen ist, greift ein umfassender Pflichtenkatalog. Dieser lässt sich in vier Handlungsfelder unterteilen: Registrierung, Risikomanagement, Meldewesen und Governance.

4.1 Registrierungspflicht: Der erste administrative Schritt

Betroffene Unternehmen müssen sich aktiv beim BSI registrieren. Es gibt keinen Automatismus.

• Frist: Die Registrierung muss spätestens drei Monate nach Inkrafttreten des Gesetzes erfolgen (voraussichtlich bis März/April 2026) oder drei Monate nach Erfüllung der Kriterien.⁷
• Plattform: Die Registrierung erfolgt über das gemeinsame Melde- und Informationsportal (MIP) von BSI und BBK unter https://mip2.bsi.bund.de.¹⁶
• Datenumfang:
  • Name der Einrichtung, Rechtsform, Handelsregisternummer.
  • Anschrift und Kontaktdaten (inkl. E-Mail, Telefon, 24/7-Erreichbarkeit).
  • Zuordnung zu Sektor und Teilsektor sowie NACE-Codes.
  • IP-Adressbereiche (öffentlich).
  • Benennung der gesetzlichen Vertreter.¹⁷

Hinweis: Eine fehlende Registrierung ist eine Ordnungswidrigkeit und kann bereits erste Bußgelder auslösen. Zudem kann das BSI Unternehmen zwangsregistrieren, wenn diese der Pflicht nicht nachkommen.²⁰

4.2 Risikomanagementmaßnahmen (§ 30 BSIG): Das Herzstück

Das Gesetz verlangt die Umsetzung „geeigneter, verhältnismäßiger und wirksamer technischer und organisatorischer Maßnahmen“ (TOMs). Diese müssen den Stand der Technik berücksichtigen und einem gefahrenübergreifenden Ansatz folgen („All-Hazards Approach“). § 30 BSIG definiert einen Mindestkatalog von 10 Maßnahmen, die zwingend abzudecken sind.

Detaillierte Analyse der 10 Pflichtmaßnahmen:

1. Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme:
Unternehmen müssen einen formalisierten Prozess etablieren, um Cyberrisiken zu identifizieren, zu bewerten und zu behandeln. Dies entspricht dem Kern eines Information Security Management Systems (ISMS) nach ISO 27001 (Kapitel 6.1).⁶

• Praxis-Tipp: Nutzen Sie Asset-Inventare, um kritische Kronjuwelen zu identifizieren. Ohne Kenntnis der Assets ist keine Risikoanalyse möglich.

2. Bewältigung von Sicherheitsvorfällen (Incident Management):
Es müssen Prozesse existieren, um Vorfälle nicht nur zu erkennen (Detection), sondern auch strukturiert abzuarbeiten (Response). Dies umfasst Eskalationspläne, Forensik-Readiness und Reporting-Linien.²²

3.    Aufrechterhaltung des Betriebs (Business Continuity Management - BCM):
Im Falle eines erfolgreichen Angriffs (z.B. Ransomware-Verschlüsselung) muss der Betrieb wiederhergestellt werden können.

• Backup-Management: Offline-Backups (Immutable Storage) sind Pflicht gegen Ransomware.
• Disaster Recovery: Pläne für den Wiederanlauf von IT-Systemen.
• Krisenmanagement: Strategische Steuerung der Krise jenseits der IT (Kommunikation, Stakeholder-Management).¹⁸

4.    Sicherheit der Lieferkette (Supply Chain Security):
Dies ist eine der größten Herausforderungen von NIS-2. Unternehmen müssen Sicherheitsaspekte in ihre Verträge mit Zulieferern und Dienstleistern (insb. IT-Dienstleister, Cloud-Provider) aufnehmen.

• Implikation: Große bayerische OEMs werden diese Anforderungen kaskadenartig an ihre KMU-Zulieferer weitergeben ("Supply Chain Ripple Effect").¹

5.    Sicherheit bei Erwerb, Entwicklung und Wartung:
Dies adressiert den gesamten Lebenszyklus von IT-Systemen.

• Secure Software Development Lifecycle (SSDLC): Sicherheit muss bereits im Design von Software berücksichtigt werden.
• Schwachstellenmanagement: Prozesse zum zeitnahen Einspielen von Sicherheitsupdates (Patch-Management).⁶

6.    Wirksamkeitsprüfung:
Maßnahmen dürfen keine "Papiertiger" sein. Ihre Wirksamkeit muss regelmäßig überprüft werden, z.B. durch interne Audits, Penetrationstests oder externe Zertifizierungen.18
7.    Cyberhygiene und Schulungen:

• Hygiene: Basisabsicherung wie Netzwerksegmentierung, Rechte-Management (Least Privilege), Deaktivierung unnötiger Dienste.
• Schulung: Verpflichtende Awareness-Schulungen für alle Mitarbeiter und gesonderte Schulungen für die Geschäftsleitung (siehe Kap. 5). ⁵

8.    Kryptografie:
Konzepte für den Einsatz von Verschlüsselung (Data at Rest, Data in Transit). Der Einsatz von Ende-zu-Ende-Verschlüsselung wird explizit gefördert.²²
9.    Personalsicherheit und Zugriffskontrolle:
Konzepte für den Zugriff auf Daten. Wer darf was? Wie wird das Ausscheiden von Mitarbeitern (Offboarding) sicherheitstechnisch begleitet? Einsatz von rollenbasierten Zugriffskontrollen (RBAC).¹⁸
10.    Multi-Faktor-Authentifizierung (MFA):
Die Verwendung von MFA ist für den Zugriff auf Netze und Systeme faktisch verpflichtend vorgeschrieben, insbesondere für Remote-Zugriffe. Zudem müssen gesicherte Kommunikationskanäle (Sprache, Video, Text) für den Notfall bereitstehen, wenn das reguläre E-Mail-System kompromittiert ist.

Tabelle: Mapping der NIS-2 Maßnahmen auf ISO 27001

4.3 Meldepflichten (§ 32 BSIG): Die 24-Stunden-Kaskade

Eines der schärfsten Schwerter des neuen Gesetzes ist das straffe Meldewesen für „erhebliche Sicherheitsvorfälle“. Ein Vorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen verursacht, finanzielle Verluste nach sich zieht oder Dritte (z.B. Kunden, Bürger) beeinträchtigt.¹⁸
Der Meldeprozess ist dreistufig und duldet keinen Aufschub:

1.    Frühwarnung (24 Stunden): Innerhalb von 24 Stunden nach Kenntnisnahme muss eine erste Meldung an das BSI erfolgen.

• Inhalt: Verdacht auf böswillige Handlung? Grenzüberschreitende Auswirkungen?
• Prinzip: „Schnelligkeit vor Vollständigkeit“. Es geht um die Alarmierung des Lagezentrums, nicht um perfekte Forensik. ²³

2.    Meldung (72 Stunden): Innerhalb von 72 Stunden muss eine Bewertung des Vorfalls nachgereicht werden.

• Inhalt: Schweregrad, Auswirkungen, Kompromittierungsindikatoren (IoCs), Status des Vorfalls. ²³

3.    Abschlussbericht (1 Monat): Spätestens einen Monat nach der Meldung (oder nach Bewältigung des Vorfalls) muss ein detaillierter Bericht vorliegen.

• Inhalt: Ausführliche Beschreibung, Ursachenanalyse (Root Cause), getroffene Abhilfemaßnahmen, Lessons Learned. ²³

Praktische Implikation: Unternehmen müssen eine 24/7-Reaktionsfähigkeit sicherstellen. Wenn ein Ransomware-Angriff am Freitagabend um 20:00 Uhr entdeckt wird, muss die Meldung bis Samstagabend 20:00 Uhr beim BSI sein. Dies erfordert interne Bereitschaftsdienste oder entsprechende Verträge mit Dienstleistern. ²³

§ 38 BSIG markiert einen kulturellen Wandel in der Unternehmensführung. Die Verantwortung für Cybersicherheit wird untrennbar mit der Geschäftsleitung verknüpft und ist nicht delegierbar.

5.1 Billigungs- und Überwachungspflicht

Geschäftsleiter (Geschäftsführer GmbH, Vorstand AG) müssen die Risikomanagementmaßnahmen nach § 30 BSIG explizit billigen und deren Umsetzung überwachen.1 Es genügt nicht, das Budget freizugeben. Die Geschäftsleitung muss sich aktiv vergewissern, dass die Maßnahmen greifen (z.B. durch regelmäßige Reports, Einsicht in Audit-Ergebnisse).

5.2 Schulungspflicht

Mitglieder der Leitungsorgane sind gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen. Ziel ist es, sie in die Lage zu versetzen, Cyberrisiken eigenständig zu bewerten und die richtigen strategischen Entscheidungen zu treffen.¹

5.3 Das scharfe Schwert der Haftung (§ 38 Abs. 2)

Verletzt die Geschäftsleitung diese Pflichten schuldhaft, haftet sie der Einrichtung gegenüber für den entstandenen Schaden mit ihrem Privatvermögen.

• Kein Verzicht: Die Gesellschaft kann auf diese Ersatzansprüche nicht verzichten. Ein Vergleich ist nur bei unklarer Rechtslage oder drohender Insolvenz des Geschäftsführers zulässig. ⁵
• Beweislastumkehr: Faktisch muss der Geschäftsführer dokumentieren, dass er seine Sorgfaltspflichten erfüllt hat („Exkulpation“). Eine lückenlose Dokumentation der Entscheidungsfindung und Überwachung ist daher die "Lebensversicherung" für jeden Manager. ²⁹
• D&O-Versicherung: Die Rolle der Directors-and-Officers-Versicherung ist kritisch. Während der Gesetzgeber die Versicherbarkeit nicht ausschließen will, warnen Experten, dass Versicherer bei "wissentlicher Pflichtverletzung" (z.B. Ignorieren von NIS-2-Mängeln trotz interner Warnungen) die Deckung verweigern könnten. Dies führt zu einer gefährlichen Deckungslücke. ³⁰

Unternehmen in Bayern profitieren von einer besonderen Unterstützungsstruktur. Während das BSI als Bundesbehörde die regulatorische Aufsicht führt, agiert das Bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) als Partner für die bayerische Wirtschaft, insbesondere für Kommunen und öffentliche Unternehmen.

6.1 BSI vs. LSI: Wer macht was?

• BSI (Bund): Zuständig für die Registrierung (MIP), Meldungen von NIS-2-Einrichtungen, Sanktionierung und Aufsicht (Ex-ante/Ex-post) für alle NIS-2-betroffenen Unternehmen.
• LSI (Bayern): Berät und unterstützt bayerische Kommunen und Betreiber kritischer Infrastrukturen auf Basis des Bayerischen Digitalgesetzes. Das LSI bietet präventive Beratung, Warnmeldungen und Unterstützung bei der Vorfallsbewältigung durch das Bayern-CERT. ³²

6.2 Das LSI-Vorgehensmodell (für KMU)

Da viele bayerische Unternehmen "Hidden Champions" im Mittelstand sind und nun erstmals reguliert werden, hat das LSI spezifische Hilfsmittel entwickelt. Das „Vorgehensmodell für KMU“ und die „NIS-2-Checkliste“ sind zentrale Werkzeuge. ²²

Das Modell strukturiert die abstrakten Gesetzesanforderungen in 12 Cluster mit konkreten Maßnahmen:

1. Informationssicherheitsmanagement: Leitlinien, Verantwortlichkeiten.
2. Asset Management: Inventarisierung von Hard- und Software.
3. Risikomanagement: Identifikation und Bewertung von Bedrohungen.
4. Personalsicherheit: Schulungen, Vertraulichkeitsvereinbarungen.
5. Physische Sicherheit: Zutrittskontrolle, Umgebungsbedingungen.
6. Zugriffskontrolle: Identitätsmanagement, Passwortrichtlinien, MFA.
7. Kryptografie: Verschlüsselung von Daten und Kommunikation.
8. Betriebssicherheit: Malware-Schutz, Backups, Logging.
9. Kommunikationssicherheit: Netzwerksicherheit, Segmentation.
10. Systembeschaffung & Wartung: Sicherheit im Lebenszyklus, Patching.
11. Lieferantenbeziehungen: Sicherheit in der Lieferkette.
12. Incident Management & BCM: Meldewesen und Notfallplanung.

Diese Struktur ermöglicht es KMU, die NIS-2-Compliance schrittweise („step-by-step“) zu erreichen, ohne sofort ein vollumfängliches ISO 27001 Zertifikat anstreben zu müssen, wenngleich das Zielniveau kompatibel ist. ³³

Das NIS2UmsuCG unterscheidet bei der Aufsicht massiv zwischen den beiden Einrichtungs-Kategorien. Dies ist entscheidend für das Risikomanagement im Unternehmen.

7.1 Besonders wichtige Einrichtungen: Ex-ante Aufsicht

Diese Unternehmen stehen unter ständiger Beobachtung (§ 61 BSIG).

• Regelmäßige Prüfungen: Das BSI kann (und wird) regelmäßig Nachweise (Audits, Zertifikate) anfordern, typischerweise alle 2-3 Jahre. ⁶
• Vor-Ort-Kontrollen: Das BSI darf Betriebsräume betreten und Prüfungen vor Ort durchführen, auch ohne konkreten Anlass.
• Sanktionen: Bei Verstößen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt). ¹

7.2 Wichtige Einrichtungen: Ex-post Aufsicht

Diese Unternehmen (der Großteil des Mittelstands) werden reaktiv überwacht (§ 62 BSIG).

• Anlassbezogene Prüfung: Das BSI wird in der Regel erst tätig, wenn ein Sicherheitsvorfall gemeldet wurde oder konkrete Hinweise (z.B. durch Whistleblower oder Partner) auf Missstände vorliegen. ¹²
• Sanktionen: Bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. ¹

Wichtig: Auch bei der Ex-post-Aufsicht muss die Dokumentation sofort vorliegen, wenn das BSI anklopft. Es gibt keine Zeit, diese erst im Krisenfall zu erstellen.

Angesichts des Inkrafttretens Ende 2025/Anfang 2026 ist Eile geboten. Folgender Projektplan skizziert den Weg zur Compliance.

Phase 1: Initialisierung & Governance (Monat 1 - Sofort)

• Betroffenheitsanalyse: Dokumentieren Sie schriftlich, ob und warum Sie (nicht) betroffen sind (Size-Cap, Sektor). Nutzen Sie die BSI-Checklisten. ³⁶
• Budget & Mandat: Die Geschäftsleitung muss das Projekt „NIS-2“ offiziell starten, Budget freigeben und einen Projektverantwortlichen (CISO) benennen.
• Gap-Analyse: Führen Sie einen Soll-Ist-Vergleich gegen die 10 Maßnahmen des § 30 BSIG durch (nutzen Sie die LSI-Checkliste).

Phase 2: Quick Wins & Registrierung (Monat 2-3)

• Registrierung: Melden Sie das Unternehmen im MIP-Portal des BSI an (Frist beachten!).
• Meldewege: Etablieren Sie einen Prozess für die 24/7-Meldung. Wer hat die Zugangsdaten zum Portal? Wer darf entscheiden, ob gemeldet wird?
• Hygiene: Schließen Sie offene Flanken (MFA für alle Fernzugriffe aktivieren, Backups auf Unveränderbarkeit prüfen).

Phase 3: Strukturelle Umsetzung (Monat 4-9)

• Lieferketten: Starten Sie die Bewertung Ihrer IT-Dienstleister. Versenden Sie Fragebögen, fordern Sie Zertifikate an. Passen Sie Verträge an.
• Risikomanagement: Etablieren Sie den formalen Prozess der Risikoanalyse.
• Schulung: Führen Sie die Pflichtschulung für die Geschäftsleitung durch und dokumentieren Sie diese revisionssicher.

Phase 4: Betrieb & Optimierung (laufend)

• Audits: Planen Sie interne Audits zur Wirksamkeitsprüfung.
• Übungen: Führen Sie eine Table-Top-Übung durch („Was tun bei Ransomware?“), um den Meldeprozess zu testen.
• PDCA: Integrieren Sie die Erkenntnisse in einen kontinuierlichen Verbesserungsprozess (Plan-Do-Check-Act).

Die Umsetzung von NIS-2 ist für bayerische Unternehmen weit mehr als eine bürokratische Pflichtübung. Sie ist eine strategische Notwendigkeit in einer digitalisierten Weltwirtschaft. Das Gesetz erzwingt eine Professionalisierung der IT-Sicherheit, die angesichts der realen Bedrohungslage überfällig war.

Die Geschäftsleitung rückt dabei ins Zentrum der Verantwortung. Wegschauen oder Delegieren ist keine Option mehr; persönliche Haftung und drastische Bußgelder sind reale Risiken. Doch Unternehmen, die diese Transformation proaktiv angehen, stärken nicht nur ihre Abwehrkräfte. Sie sichern sich auch ihre Position als vertrauenswürdige Partner in den Lieferketten der Zukunft. Nutzen Sie die Zeit bis zum vollen Wirksamwerden der Aufsicht, um Ihre Organisation resilient aufzustellen. Das LSI Bayern und etablierte Standards wie ISO 27001 bieten dabei den notwendigen Kompass.

Referenzen

¹    Europäische NIS-2-Richtlinie - PwC, Zugriff am Dezember 1, 2025, https://www.pwc.de/de/cyber-security/europaeische-nis-2-richtlinie-implikationen-fuer-unternehmen-und-institutionen.html
²    Umsetzung der NIS-2-Richtlinie beschlossen - Bundesregierung, Zugriff am Dezember 1, 2025, https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174
³    NIS 2-Richtlinie: Zusammenfassung und Umsetzung für Deutschland - Fraunhofer IESE, Zugriff am Dezember 1, 2025, https://www.iese.fraunhofer.de/blog/nis-2-richtlinie-zusammenfassung-umsetzung-deutschland/
<sup4< sup="">    EU NIS2 Direktive: Cybersecurity in Kritischen Infrastrukturen - OpenKRITIS, Zugriff am Dezember 1, 2025, https://www.openkritis.de/eu/eu-nis-2-direktive-kritis.html
⁵    NIS-2 in der Praxis: Was §38 BISG von der Geschäftsleitung verlangt - Althammer & Kill, Zugriff am Dezember 1, 2025, https://www.althammer-kill.de/aktuelles/news/detail/nis-2-geschaeftsleitung
⁶    NIS2-Umsetzungsgesetz in Deutschland 2025 - OpenKRITIS, Zugriff am Dezember 1, 2025, https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
⁷    NIS-2 beschlossen: Pflichten, Fristen, To-dos für Unternehmen - MPC Service GmbH, Zugriff am Dezember 1, 2025, https://www.mpcservice.com/aktuell-nis-2-beschlossen/
⁸    Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung - Bundesrat, Zugriff am Dezember 1, 2025, https://www.bundesrat.de/SharedDocs/drucksachen/2025/0301-0400/369-1-25.html
⁹    NIS-2 - aktueller Stand der Umsetzung - ra-steinkuehler.de, Zugriff am Dezember 1, 2025, https://ra-steinkuehler.de/nis-2-aktueller-stand-der-umsetzung/
¹⁰    Was NIS-2 für Ihr Unternehmen bedeutet - IHK Südlicher Oberrhein, Zugriff am Dezember 1, 2025, https://www.ihk.de/freiburg/innovation-und-umwelt/digitale-transformation/cyber-sicherheit/gesetze-6097568
¹¹    Allgemeine FAQ zu NIS-2 - BSI, Zugriff am Dezember 1, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-FAQ/NIS-2-FAQ-allgemein/FAQ-zu-NIS-2_node.html
¹²    NIS2-Umsetzungsgesetz und Kritis-Dachgesetz erklärt - Kritisschutz.de, Zugriff am Dezember 1, 2025, https://www.kritisschutz.de/faq/
¹³    NIS-2, Kritis: Pflichten für wichtige und besonders wichtige Unternehmen - Industrie, Zugriff am Dezember 1, 2025, https://www.ihk.de/nordschwarzwald/innovationn/innovation/aktuelles/nis-6207054
¹⁴    Updates zur NIS-2 Umsetzung in Deutschland - THE BRISTOL GROUP, Zugriff am Dezember 1, 2025, https://www.bristol.de/updates-zur-nis-2-richtlinie-in-deutschland/
¹⁵    NIS-2 in der Praxis: Von der Planung bis zur Umsetzung | Bitkom Akademie, Zugriff am Dezember 1, 2025, https://bitkom-akademie.de/workshop/NIS-2-in-der-praxis
¹⁶    Registrierung - Melde- und Informationsportal (MIP) des BSI, Zugriff am Dezember 1, 2025, https://mip2.bsi.bund.de/de/authentifizierung/registrieren/
¹⁷    NIS2: Jetzt registrieren! - Tech-Nachrichten, Zugriff am Dezember 1, 2025, https://tech-nachrichten.de/108862-2/
¹⁸    NIS-2-Pflichten - BSI, Zugriff am Dezember 1, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Pflichten/nis-2-pflichten_node.html
¹⁹    NIS-2: Pflichten für Betroffene - dhpg, Zugriff am Dezember 1, 2025, https://www.dhpg.de/de/newsroom/blog/nis-2-pflichten-fuer-betroffene
²⁰    NIS-2, Kritis: Pflichten für wesentliche und wichtige Unternehmen, Zugriff am Dezember 1, 2025, https://www.ihk-muenchen.de/ratgeber/digitalisierung/informationssicherheit/nis-2-kritis/
²¹    NIS2 Mapping mit ISO 27001 für ein sicheres ISMS - Proliance, Zugriff am Dezember 1, 2025, https://www.proliance.ai/blog/nis2-mapping
²²    NIS-2-Checkliste - Landesamt für Sicherheit in der Informationstechnik, Zugriff am Dezember 1, 2025, https://www.lsi.bayern.de/kritis/nis-2/checkliste/index.html
²³    NIS2 Regierungsentwurf - Eine Meldepflichten für Unternehmen - fuentis Suite, Zugriff am Dezember 1, 2025, https://fuentis.com/nis2-regierungsentwurf-eine-meldepflichten-fuer-unternehmen/
²⁴    Muster: IT-Notfallplan | IHK München, Zugriff am Dezember 1, 2025, https://www.ihk-muenchen.de/ratgeber/digitalisierung/informationssicherheit/muster-it-notfallplan/
²⁵    nis2know: NIS-2-Meldepflicht - BSI, Zugriff am Dezember 1, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Meldepflicht/NIS-2-Meldepflicht_node.html
²⁶    nis2know: NIS-2-Meldepflicht - BSI, Zugriff am Dezember 1, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Meldepflicht/NIS-2-Meldepflicht.html
²⁷    NIS2-Leitfaden: Pflichten, Fristen und Umsetzung der EU-Cybersicherheitsrichtlinie, Zugriff am Dezember 1, 2025, https://www.rechenzentren.org/news/nis2-leitfaden-pflichten-fristen-und-umsetzung-der-eu-cybersicherheitsrichtlinie/
²⁸    NIS2-Meldeprozess - SRC Consulting, Zugriff am Dezember 1, 2025, https://www.src-consulting.com/nis2/nis2-meldeprozess
²⁹    NIS2: Geschäftsführer in der Haftungsfalle? | Opexa Advisory®, Zugriff am Dezember 1, 2025, https://www.opexaadvisory.de/fachbeitrag/nis2-gesch%C3%A4ftsf%C3%BChrer-in-der-haftungsfalle
³⁰    NIS2-Verstöße: Risiken für Unternehmen und Geschäftsleitung, Zugriff am Dezember 1, 2025, https://nis2-umsetzung.com/konsequenzen-der-nichteinhaltung-der-nis2-verpflichtungen-durch-die-geschaeftsleitung/
³¹    NIS-2: Die neue Geschäftsführerhaftung und ihre Tücken - indevis, Zugriff am Dezember 1, 2025, https://www.indevis.de/blog/nis-2-und-die-neue-geschaeftsfuehrerhaftung
³²    NIS-2 - Landesamt für Sicherheit in der Informationstechnik, Zugriff am Dezember 1, 2025, https://www.lsi.bayern.de/kritis/nis-2/index.html
³³    Cybersicherheit ist Chefsache: Gezielte Vorbereitung auf NIS-2!, Zugriff am Dezember 1, 2025, https://www.ihk-muenchen.de/ihk/Digitalisierung/Veranstaltungen/CSD2025/Workshop-OK-LSI-20250129_Cybersecurity_Day-OK-Ver%C3%B6ffentlichung.pdf
³⁴    Downloads - Landesamt für Sicherheit in der Informationstechnik, Zugriff am Dezember 1, 2025, https://www.lsi.bayern.de/aktuelles/downloads/
³⁵    Cybersicherheits-Richtlinie NIS 2 und NISG 2026 - WKO, Zugriff am Dezember 1, 2025, https://www.wko.at/it-sicherheit/nis2-uebersicht
³⁶    NIS-2 - was tun? - BSI, Zugriff am Dezember 1, 2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html</sup4<>