BSI leitet NIS2-Durchsetzung ein: Was deutsche Unternehmen vor dem Audit tun müssen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine ersten formellen NIS2-Durchsetzungsmaßnahmen im Rahmen des IT-Sicherheitsgesetzes 3.0 eingeleitet. Dies markiert einen entscheidenden Wandel von beratender Übergangsunterstützung hin zu aktiver aufsichtsrechtlicher Durchsetzung. Die Compliance-Uhr für essentielle und wichtige Einrichtungen tickt nicht länger theoretisch — sie läuft.

Der Wandel — Von der Beratung zum Audit

Das BSI veröffentlichte seine formalen Auditkriterien Ende 2025 und schuf damit die methodische Grundlage für eine risikobasierte Aufsicht über in Deutschland tätige Unternehmen (BSI, 2025). Die Veröffentlichung dieser Kriterien war das Signal: Die Übergangsphase endet. Was folgt, ist die Durchsetzungsphase.

Dieses Muster ist nicht auf Deutschland beschränkt. Die französische ANSSI leitete ihr erstes NIS2-Formalverfahren im dritten Quartal 2025 ein, ebenfalls gestützt auf den Artikel-21-Risikomanagementrahmen, gegen den das BSI nun prüft (ANSSI, 2025). Das spanische INCIBE führte seit Anfang 2025 Vor-Ort-Inspektionen bei kritischen Energieunternehmen durch. Der Umsetzungsbericht der Europäischen Kommission vom Januar 2026 bestätigte, dass 19 der 27 Mitgliedstaaten nun aktive Aufsichtsmechanismen aktiviert haben — gegenüber nur sechs im Jahr 2024 (Europäische Kommission, 2026).

Dies ist eine koordinierte, EU-weite Aktivierung. Deutsche Unternehmen, die annahmen, das BSI würde sich Zeit lassen, sollten ihre Einschätzung überdenken. Die Durchsetzungsinfrastruktur ist einsatzbereit.

Was der BSI-Prüfungsumfang abdeckt

Der Prüfungsrahmen des BSI ist an Artikel 21 der NIS2-Richtlinie (EU) 2022/2555 verankert, der die Risikomanagementmaßnahmen definiert, die essentielle und wichtige Einrichtungen umsetzen müssen. In der Praxis prüft ein Audit typischerweise fünf Bereiche:

1. Risikomanagementmaßnahmen (Artikel 21): Richtlinien zur Risikoanalyse, Sicherheit von Netz- und Informationssystemen, Incident-Handling, Geschäftskontinuität, Lieferkettensicherheit, Sicherheitserwerb, Hygiene, kryptografische Kontrollen und Personalsicherheit. Prüfer fordern Dokumentation an — nicht Präsentationen.

2. Asset-Inventar: Artikel 21(1) erfordert ein vollständiges Inventar der Vermögenswerte. Die Inventarpflicht erstreckt sich auf physische Hardware, Software, Datenflüsse und Betriebstechnologie (OT). Unternehmen müssen nachweisen, dass das Inventar gepflegt wird — nicht nur, dass es zu einem bestimmten Zeitpunkt existierte.

3. Incident-Response-Verfahren: Die Dokumentation muss ein definiertes Verfahren zur Erkennung, Analyse und Meldung von Vorfällen aufzeigen. Die 24-Stunden-Frühwarnpflicht gemäß Artikel 23 fällt in den Prüfungsumfang. Das BSI erwartet Nachweise, dass das Verfahren getestet wurde.

4. Governance-Dokumentation auf Vorstandsebene: NIS2 führt eine explizite Rechenschaftspflicht für Leitungsorgane ein. Artikel 20(1) verlangt, dass die Leitungsorgane die Cybersicherheits-Risikomanagementmaßnahmen genehmigen und überwachen. Vorstandsprotokolle, Beschlüsse und Delegationsstrukturen sind primäre Nachweise.

5. Lieferkettenbewertungen: Artikel 21(2) verlangt von Unternehmen, die Sicherheit ihrer Lieferkette zu bewerten — insbesondere IKT-Drittparteienbeziehungen. Kritische Lieferanten müssen identifiziert und Bewertungen dokumentiert werden.

Audit-Bereitschaft — Der Mindeststandard

Ein Unternehmen besteht ein NIS2-Audit nicht durch gute Absichten, sondern durch Nachweise. Die folgende Fünf-Punkte-Checkliste stellt den Mindeststandard dar:

1. Governance-Dokumentation: Vom Vorstand genehmigte Cybersicherheitsrichtlinie. Vorstandsprotokolle, die eine aktive Aufsicht über IKT-Risiken belegen. Benannter Sicherheitsbeauftragter oder Datenschutzbeauftragter mit dokumentierter Berichtslinie an die Geschäftsleitung.

2. Risikobewertung: Aktuelle, dokumentierte Risikobewertung (innerhalb von 12 Monaten). Muss alle NIS2-relevanten Vermögenswerte und Bedrohungsszenarien abdecken. Vom Vorstand geprüft und genehmigt.

3. Asset-Inventar: Vollständiges, gepflegtes Inventar von Hardware, Software, Netzwerkkomponenten und OT/IoT-Geräten. Datum der letzten Aktualisierung dokumentiert. Mit der Risikobewertung verknüpft.

4. Incident-Response-Plan und Testhistorie: Incident-Response-Plan dokumentiert. Tabletop-Übung innerhalb von 24 Monaten durchgeführt. Datum, Teilnehmer und Verbesserungsmaßnahmen dokumentiert.

5. Lieferkettenregister: IKT-Drittparteienregister vollständig. Kritische Lieferanten identifiziert. Mindestens Sicherheitsbewertungen oder Zertifizierungen für kritische Anbieter vorhanden.

Fehlt zu einem dieser fünf Punkte ein datiertes Dokument, hat das Unternehmen bereits vor Eintreffen des Prüfers eine offene Feststellung.

Wie Makler dies mit Kunden nutzen können

Für Makler, die Cyber-Deckung für deutsche Kunden platzieren, ändert das Durchsetzungssignal das Gespräch. Ein Kunde, der die NIS2-Compliance bisher als regulatorische Last abtat, steht nun vor einem konkreten Audit-Risiko mit sechsstelligem Bußgeldpotenzial.

Die richtigen Fragen bei der nächsten Verlängerung:

• Hat Ihr Vorstand in den letzten 12 Monaten formell eine Cybersicherheits-Risikomanagementrichtlinie genehmigt?
• Verfügen Sie über dokumentierte Nachweise einer Tabletop-Incident-Response-Übung innerhalb der letzten 24 Monate?
• Ist Ihr IKT-Lieferkettenregister vollständig und aktuell?

Lautet die Antwort auf eine dieser Fragen “wir arbeiten daran”, empfehlen Sie Abhilfe vor Vertragsabschluss. Eine Deckung für einen Kunden inmitten der Sanierung schafft ein Risiko der wesentlichen nicht offengelegten Änderung, das die Deckung nach einem Vorfall gefährden kann.

Die Aktivierung des BSI sollte die Gemüter schärfen. Die 10-Millionen-Euro-Obergrenze für essentielle Einrichtungen ist nicht abstrakt. Die Aufsichtsbehörden haben jetzt das Mandat, die Methodik und das Personal, um sie durchzusetzen.

Berechnen Sie die maximale Bußgeldhöhe Ihres Kunden: NIS2-Strafrechner

Holen Sie sich die vollständige Checkliste: NIS2-Compliance-Checkliste PDF

Deutsche Geschäftsführungen müssen sich auf persönliche NIS2-Haftung vorbereiten, einschließlich Bußgeldern und möglichen Management-Verboten.

Verwandte NIS2-Länderführer:

• NIS2 Frankreich (ANSSI) | NIS2 Italien (ACN) | NIS2 Niederlande (NCSC-NL) | NIS2 Spanien (INCIBE) | NIS2 Polen (NCSA) | NIS2 Belgien (CCB) | NIS2 Österreich (NISG 2026) | NIS2 Schweden (MCF) | NIS2 Dänemark (CFCS) | NIS2 Tschechien (NÚKIB) | NIS2 Portugal (CNCS) | NIS2 Irland (NCSC) | NIS2 Finnland (Traficom) | NIS2 Rumänien (ANSI)