Prüfen Sie, ob Ihr Unternehmen unter Berücksichtigung branchenspezifischer Kriterien in den Anwendungsbereich des BSIG n. F. fällt. Ist dies der Fall, bereiten Sie die Registrierung bei der gemeinsamen Registrierungsstelle von BSI vor und benennen Sie eine interne Kontaktstelle.

Zu Beginn erfolgt eine umfassende Analyse der bestehenden Sicherheits-, Compliance- und Governance-Strukturen. Dazu gehören die Prüfung relevanter Dokumentationen sowie strukturierte Interviews mit Schlüsselrollen aus IT, Security, Recht, Einkauf, Risiko und Management.

Auf Grundlage des Assessments wird eine praxisnahe, risikoorientierte Roadmap entwickelt. Diese enthält fachliche, organisatorische und technische Maßnahmen, priorisiert nach Wirksamkeit, Aufwand, Abhängigkeiten und geschäftskritischen Risiken. Budgets, Rollen, Zeitpläne sowie notwendige Skills oder Partnerressourcen werden festgelegt.

In dieser Phase werden Zielprozesse (z. B. Incident Handling, Reporting, Monitoring), Rollenmodelle sowie technische und organisatorische Kontrollen nach NIS2 definiert und stufenweise implementiert. Dazu zählen u. a den Aufbau oder Anpassung eines Informationssicherheits-Managementsystems (ISMS) nach den BSIG-neu-Vorgaben; dokumentierte Policies, Verantwortlichkeiten und Prozesse.

Nach der Implementierung werden die Systeme, Prozesse und Kontrollen in den Regelbetrieb überführt und kontinuierlich überwacht. Dazu gehören KPI-gestütztes Reporting, regelmäßige Reviews, Audits, Übungen (z. B. Tabletop- oder Red-Team-Simulationen) sowie die fortlaufende Optimierung gemäß aktueller Bedrohungslage, regulatorischer Änderungen und Lessons Learned. 

Beginnen Sie frühzeitig damit, Dokumentationen, Logs, Berichte und weitere Nachweise zu sammeln, die die Einhaltung der Sorgfaltspflichten („Due Care“) belegen. Ziehen Sie zudem eine ISO-27001-Zertifizierung in Betracht. Dazu sollten Sie Prozesse für zeitnahe Erfassung, Klassifikation und Meldung von Sicherheitsvorfällen etablieren und Schnittstellen zu Behörden definieren.

Anforderungen von Kunden, Partnern und Versicherungen auf NIS2-Konformität prüfen und vertraglich absichern. Prüfen Sie die Cybersicherheitsmaßnahmen Ihrer zentralen Dienstleister und Lieferanten durch regelmäßige Audits. Legen Sie zudem vertragliche Sicherheitsanforderungen fest, die sich an den künftigen NIS2-Pflichten orientieren.

Etablieren Sie kontinuierliche Detection-, Threat-Hunting- und Response-Fähigkeiten. Richten Sie Ihre Sicherheitsstrategie konsequent auf Cyberresilienz aus. Unternehmen, die jetzt proaktiv handeln, stärken die operative Resilienz und verschaffen sich strategische Vorteile gegenüber Wettbewerbern.