NIS-2: Wer ist betroffen und was ist zu tun? – mit Max Beckmann

Autor: Tobias Harmes | 25. März 2026

#podcast
NIS-2-und-SAP

In dieser Folge des SAP-IT-Podcasts spreche ich mit Max Beckmann, IT-Security- und KI-Consultant, darüber, was NIS-2 für Unternehmen in Deutschland konkret bedeutet, warum deutlich mehr Unternehmen ihre Betroffenheit selbst prüfen müssen und was nach Ablauf der Registrierungsfrist zu tun ist. Außerdem sprechen wir darüber, warum NIS-2 nicht nur ein Thema für CISOs ist, sondern auch SAP und das Management betrifft.

…zum Anschauen

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/@sap-it-podcast

…zum Hören

…zum Lesen

Status quo: Darum geht es bei NIS-2

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes ist aus einer europäischen Vorgabe in Deutschland verbindliches Recht geworden. Viele Unternehmen müssen jetzt prüfen, ob sie betroffen sind, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Sicherheitsmaßnahmen nachweisen. Im Podcast macht Max Beckmann deutlich: NIS-2 ist kein reines IT-Thema, sondern betrifft das gesamte Unternehmen.

Was NIS-2 konkret regelt

NIS-2 steht für „Network and Information Security“ und verfolgt ein klares Ziel: ein durchgängiges IT-Sicherheitsniveau in Unternehmen und damit eine robustere digitale Infrastruktur in Deutschland und Europa. Es geht also nicht darum, Unternehmen mit zusätzlichen Regeln zu belasten, sondern darum, wirtschaftlich relevante Organisationen widerstandsfähiger gegen Cyberangriffe, Ausfälle und Sicherheitsvorfälle zu machen.

Gerade in einer stark digitalisierten Wirtschaft ist das nachvollziehbar. Unternehmen hängen heute an ihren IT-Systemen. Fällt die IT aus, stehen häufig Produktion, Logistik, Vertrieb oder Kundenservice still. NIS-2 setzt genau hier an und macht Sicherheitsstandards dort verbindlich, wo bislang oft nur Empfehlungen oder freiwillige Maßnahmen galten.

NIS-2 Gap-Analyse

Schaffen Sie Klarheit, wo Sie in Sachen NIS‑2 wirklich stehen – und welche Maßnahmen den größten Effekt haben. Wir prüfen Ihre Organisation und Ihr IT-/OT-Setup entlang der NIS‑2-Anforderungen, priorisieren Risiken und liefern eine umsetzbare Roadmap – inklusive belastbarer Compliance-Dokumentation.

informieren

Warum die Richtlinie viele Unternehmen unvorbereitet trifft

Viele Unternehmen haben NIS-2 lange beobachtet, statt sich aktiv vorzubereiten. Spätestens mit der Umsetzung in deutsches Recht am 6. Dezember 2025 und der Registrierungspflicht bis zum 6. März 2026 wurde klar: Aus der Ankündigung ist Pflicht geworden. Laut Max Beckmann zeigt die geringe Zahl registrierter Unternehmen jedoch, wie groß die Lücke zwischen Vorgabe und Umsetzung derzeit noch ist.

Wer jetzt selbst prüfen muss, ob er betroffen ist

Der eigentliche Wandel bei NIS-2 liegt in der Eigenverantwortung der Unternehmen: Sie werden nicht einzeln auf ihre Pflichten hingewiesen, sondern müssen selbst aktiv prüfen, ob sie unter die Regulierung fallen, und sich bei Bedarf proaktiv registrieren. Genau das macht NIS-2 für viele so ungewohnt.

Betroffen sind dabei nicht nur klassische KRITIS-Unternehmen. Besonders genau hinschauen sollten vor allem Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Umsatz. Danach entscheidet der jeweilige Sektor. Neben kritischen Infrastrukturen können auch weitere Branchen wie Post, Kurierdienste oder Teile des produzierenden Gewerbes relevant sein.

Der häufigste Irrtum lautet deshalb: „Wir waren nie KRITIS, also betrifft uns das nicht.“ Genau das ist laut Max Beckmann oft falsch und gleichermaßen gefährlich. Wer seiner Registrierungspflicht nicht nachkommt, begeht einen formalen Compliance-Verstoß. Je nach Einstufung des Unternehmens sind laut BSI dafür Bußgelder von bis zu 7 oder 10 Millionen Euro beziehungsweise 1,4 oder 2 Prozent des weltweiten Jahresumsatzes möglich.

Webinar: NIS-2 Update: Compliance-Lücken schließen und pragmatisch umsetzen

NIS-2 ist seit 06.12.2025 in Kraft – jetzt kommt es auf konkrete Umsetzung an. In unserem Webinar zeigen wir, wie Sie Compliance-Lücken schnell schließen und NIS-2 pragmatisch angehen.
Jetzt anmelden

Warum SAP bei NIS-2 mitgedacht werden muss

NIS-2 betrifft alle informationstechnischen Systeme, die für die Wertschöpfung eines Unternehmens wichtig sind. Genau deshalb ist SAP ein zentrales Thema: Dort laufen oft geschäftskritische Prozesse, sensible Daten und finanzrelevante Abläufe zusammen. In vielen Unternehmen werden Infrastruktur-Security und SAP-Security jedoch noch getrennt betrachtet, obwohl NIS-2 ein durchgängiges Sicherheitsniveau verlangt. Konkret geht es dabei um bekannte Sicherheitsdisziplinen wie:

  • Zugriffsmanagement
  • Schwachstellenmanagement
  • sichere Konfigurationen
  • Verschlüsselung
  • Risikomanagement
  • Lieferkettensicherheit
  • Schulungen

Neu ist dabei weniger der Inhalt als die Verbindlichkeit. Auch das Management muss eingebunden werden.

Typische Lücken in der Praxis

Max Beckmann erklärt, es zeigt sich in Projekten häufig ein ähnliches Bild: Viele Unternehmen haben bereits funktionierende Abläufe, aber sie sind nicht sauber dokumentiert oder nicht klar Verantwortlichen zugeordnet. Gute Praxis existiert, ist aber nicht formalisiert.

Hinzu kommen typische technische Lücken, etwa:

  • fehlende Multifaktor-Authentifizierung
  • unzureichendes Schwachstellenmanagement
  • unklare oder nicht dokumentierte Verantwortlichkeiten
  • unterschiedliche Sicherheitsniveaus zwischen Infrastruktur und SAP

Genau deshalb beginnt die praktische Arbeit beim Team rund um Max Beckmann oftmals mit einer Gap-Analyse. Dabei wird geprüft, welche Anforderungen bereits erfüllt sind, wo technische oder organisatorische Lücken bestehen und welche Maßnahmen priorisiert werden sollten. Solche Analysen liefern häufig innerhalb von vier bis sechs Wochen ein belastbares Bild.

NIS-2 Management-Pflichtschulung

Gemäß NIS-2-Richtlinie ist die regelmäßige Schulung der Geschäftsführung ein zentraler Bestandteil der gesetzlichen Pflichten. Diese kompakte Schulung vermittelt Führungskräften die notwendigen Kenntnisse, um Cyberrisiken angemessen zu bewerten, Risikomanagementmaßnahmen zu billigen und deren Wirksamkeit aktiv zu überwachen.

Schulung ansehen

Was nach der Registrierung zählt

Mit der Registrierung ist die Arbeit jedoch noch nicht erledigt. Entscheidend ist, dass Unternehmen ihre Sicherheitsanforderungen nachvollziehbar umsetzen, dokumentieren und priorisieren. Das BSI muss nicht laufend über jede Maßnahme informiert werden, kann aber Prüfungen durchführen.

Wichtig ist außerdem die Meldepflicht bei Sicherheitsvorfällen. Relevante Vorfälle müssen fristgerecht gemeldet werden, wofür es klare Prozesse, feste Zuständigkeiten und ein funktionierendes Incident-Handling benötigt. Genau deshalb ist NIS-2 mehr als ein Technikthema: Auch das Management ist in der Pflicht, weil es um Budgets, Verantwortung und Haftung geht und sollte entsprechend geschult und informiert werden.

Dafür bieten wir eine kompakte Pflichtschulung an, die Führungskräften die nötigen Grundlagen zu NIS-2, Cyberrisiken und Meldepflichten vermittelt.

Was Unternehmen jetzt konkret tun sollten

Aus dem Podcast lassen sich fünf sinnvolle nächste Schritte ableiten:

  1. Betroffenheit prüfen
    Mit dem BSI-Fragenkatalog lässt sich schnell einschätzen, ob das eigene Unternehmen unter NIS-2 fällt.
  2. Registrierung und Zuständigkeiten klären
    Ist die Relevanz gegeben, müssen Registrierung, Kontaktstelle und interne Verantwortung sauber geregelt werden.
  3. Status quo erfassen
    Eine Gap-Analyse zeigt, welche technischen und organisatorischen Anforderungen bereits erfüllt sind und wo Lücken bestehen.
  4. Roadmap aufsetzen
    Entscheidend ist ein realistischer Umsetzungsplan mit Prioritäten, Terminen und Verantwortlichkeiten.
  5. Vorfallprozesse definieren
    Unternehmen müssen in der Lage sein, Sicherheitsvorfälle intern sauber zu bewerten und fristgerecht zu melden.

Fazit

NIS-2 zwingt Unternehmen dazu, ihre IT-Sicherheit strukturierter und verbindlicher anzugehen. Das betrifft nicht nur CISO und Infrastruktur, sondern auch SAP, Prozesse und Management. Wer jetzt prüft, dokumentiert und priorisiert, erfüllt nicht nur regulatorische Anforderungen, sondern stärkt auch die eigene Resilienz.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

IT Security

NIS-2-Richtlinie: Kabinettsbeschluss zur Umsetzung erfolgt

Am 30. Juli 2025 beschloss die Bundesregierung den Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie für mehr Sicherheit im digitalen Raum.
Artikel lesen
IT Security

NIS-2 nimmt Fahrt auf: Bundestag verabschiedet Gesetz zur Umsetzung

Der Bundestag hat den Entwurf zur Umsetzung der europäischen NIS2‑Richtlinie verabschiedet – ein Schritt, der längst überfällig war.
Artikel lesen
IT Security

NIS-2-Umsetzungsgesetz tritt in Kraft

Am 06.12.2025 war es soweit: Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie werden die Anforderungen an die Cybersicherheit der Bundesverwaltung und bestimmter Unternehmen deutlich erhöht.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage