NIS2 ist die europäische Cybersicherheitsrichtlinie, die in Deutschland über das NIS2-Umsetzungsgesetz in Kraft gesetzt wird. Schätzungen zufolge sind rund 30.000 deutsche Unternehmen betroffen, ein Vielfaches der bisherigen KRITIS-Regulierung, darunter viele Mittelständler, die nie zuvor unter Cybersicherheitsrecht fielen. Dieser Leitfaden erklärt, wer betroffen ist, was das Gesetz verlangt, und was das konkret für Ihr Logging und Monitoring bedeutet.
Von der Richtlinie zum NIS2-Umsetzungsgesetz
NIS2 (Richtlinie (EU) 2022/2555) ist die Nachfolgerin der ersten NIS-Richtlinie. Deutschland setzt sie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) um, im Kern einer umfassenden Novelle des BSI-Gesetzes (BSIG). Das Gesetz wurde im Dezember 2025 verkündet und ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist für die Sicherheitsmaßnahmen.
Das heißt: Die Pflichten gelten jetzt. Die dreimonatige Registrierungsfrist beim BSI ist im März 2026 abgelaufen; wer betroffen ist und sich noch nicht registriert oder die Maßnahmen noch nicht umgesetzt hat, sollte das nicht auf die lange Bank schieben, sondern priorisiert nachholen.
Die größte Verschiebung gegenüber der bisherigen Rechtslage: Die KRITIS-Regulierung erfasste einzelne kritische Anlagen ab Schwellenwerten. NIS2 erfasst ganze Sektoren nach Unternehmensgröße und zieht damit einen erheblichen Teil des deutschen Mittelstands in die Pflicht.
Bin ich betroffen?
Das Gesetz kennt zwei Kategorien mit unterschiedlicher Aufsicht und unterschiedlichen Bußgeldern:
- Besonders wichtige Einrichtungen: große Unternehmen in Sektoren wie Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum, sowie KRITIS-Betreiber.
- Wichtige Einrichtungen: mittlere und große Unternehmen unter anderem in Post- und Kurierdiensten, Abfallwirtschaft, Chemie, Lebensmitteln, verarbeitendem Gewerbe (darunter Medizinprodukte und Elektronik), bei digitalen Diensten und in der Forschung.
Die Größenschwelle liegt in der Basis bei etwa 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Kleinere Unternehmen können dennoch betroffen sein, etwa als einziger Anbieter eines wesentlichen Dienstes. Es gilt außerdem eine Registrierungspflicht beim BSI; die reguläre Frist dafür (drei Monate nach Inkrafttreten) ist im März 2026 abgelaufen, Nachzügler sollten die Registrierung umgehend nachholen.
Im Zweifel: Das BSI stellt eine offizielle NIS-2-Betroffenheitsprüfung online bereit, mit der Sie in wenigen Minuten prüfen, ob und in welcher Kategorie Ihr Unternehmen betroffen ist.
Die Pflichten: Risikomanagement nach Stand der Technik
Kern des Gesetzes sind verhältnismäßige technische und organisatorische Maßnahmen nach dem Stand der Technik, um die Risiken für Ihre Netz- und Informationssysteme zu beherrschen. Die Richtlinie nennt ausdrücklich unter anderem:
- Risikoanalyse und Sicherheitskonzepte;
- Bewältigung von Sicherheitsvorfällen: erkennen, analysieren, eindämmen, wiederherstellen, und all das belegen können;
- Betriebskontinuität, Backups und Krisenmanagement;
- Sicherheit der Lieferkette;
- Sicherheit bei Entwicklung, Beschaffung und Wartung;
- Verfahren zur Messung der Wirksamkeit der Maßnahmen;
- Cyberhygiene und Schulungen;
- Kryptografie und, wo angemessen, Verschlüsselung;
- Zugriffskontrolle, Personalsicherheit und Asset-Management;
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation.
Neu ist die persönliche Verantwortung der Geschäftsleitung: Sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Bei grober Pflichtverletzung droht die persönliche Haftung.
Für KRITIS-Betreiber gilt zusätzlich bereits heute die Pflicht zu Systemen zur Angriffserkennung (§ 8a BSIG): eine ausdrückliche gesetzliche Anforderung an Protokollierung, Detektion und Reaktion, die das BSI in einer Orientierungshilfe konkretisiert hat.
Die Meldepflicht: 24 Stunden, 72 Stunden, ein Monat
Erhebliche Sicherheitsvorfälle melden Sie an das BSI, in drei Stufen:
- Binnen 24 Stunden: eine Erstmeldung mit einer ersten Einschätzung, ob ein rechtswidriger oder böswilliger Akt vorliegt und ob grenzüberschreitende Auswirkungen möglich sind.
- Binnen 72 Stunden: eine vollständige Meldung mit einer ersten Bewertung von Schweregrad und Auswirkungen sowie, soweit vorhanden, Kompromittierungsindikatoren (IOCs).
- Binnen eines Monats: ein Abschlussbericht mit detaillierter Beschreibung des Vorfalls, der mutmaßlichen Ursache, der ergriffenen Maßnahmen und etwaiger grenzüberschreitender Auswirkungen.
Diese Fristen sind kurz. Wer erst nach einem Vorfall anfängt, Logs zu sammeln, verpasst sie: Binnen 24 Stunden etwas Belastbares über böswilliges Handeln zu sagen setzt voraus, dass die relevanten Logs bereits vorliegen, durchsuchbar sind, und dass die Detektion den Vorfall überhaupt bemerkt hat.
Aufsicht, Bußgelder und Haftung
Zentrale Aufsichts- und Meldebehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders wichtige Einrichtungen unterliegen proaktiver Aufsicht (Nachweise und Prüfungen), wichtige Einrichtungen reaktiver Aufsicht (nach Hinweisen oder Vorfällen).
Die Bußgelder liegen auf DSGVO-Niveau:
- besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes;
- wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes.
Daneben kann die Aufsicht verbindliche Anweisungen erteilen; die Geschäftsleitung haftet bei grober Verletzung ihrer Billigungs- und Überwachungspflichten persönlich.
Was das konkret für Logging und Monitoring bedeutet
Logging und Monitoring tauchen in fast jeder Pflicht auf: Ohne die richtigen Logs können Sie keinen Vorfall erkennen, keine 24-Stunden-Meldung begründen und keinen Abschlussbericht schreiben. Praktisch heißt das:
Logs zentralisieren
Logs von Servern, Netzwerkgeräten, Identity-Providern, Cloud-Diensten und Anwendungen gehören in ein durchsuchbares System. Einen Vorfall über zehn Einzelsysteme hinweg zu rekonstruieren gelingt nicht binnen 72 Stunden.
Lang genug aufbewahren, nachweisbar
Das Gesetz nennt keine feste Frist; der Maßstab ist, dass Sie Vorfälle untersuchen und melden können. Üblich sind 6 bis 18 Monate, mit einer durchsuchbaren Hot-Ebene und einem günstigeren Archiv. Dokumentieren Sie Ihre Entscheidung und Begründung, genau danach fragt eine Aufsichtsbehörde.
In Echtzeit überwachen, nicht rückwirkend
Die Meldefristen setzen voraus, dass Sie Vorfälle sehen, während sie passieren. Das verlangt Detektionsregeln auf Ihren Logs (fehlgeschlagene Anmeldungen, ungewöhnliches Verhalten, verdächtige Netzwerkverbindungen) und Alarmierung, die einen Menschen rechtzeitig erreicht, ohne im Fehlalarm unterzugehen. Für KRITIS-Betreiber ist genau das mit der Pflicht zu Systemen zur Angriffserkennung schon heute ausdrücklich vorgeschrieben.
Einen Audit-Trail führen
Wer hat wann was getan, auch in Ihrer Logging-Plattform selbst? Ein manipulationssicherer Audit-Trail stützt sowohl Ihre Meldungen als auch Ihre Rechenschaft gegenüber der Aufsicht.
Das ist die Seite, die LogPulse abdeckt: zentralisiertes Log-Management mit konfigurierbarer Aufbewahrung, über 50 eingebaute Detektionen mit MITRE-ATT&CK-Zuordnung, risikobasierte Alarmierung, die eine Handvoll echter Vorfälle liefert statt tausender Meldungen, und Compliance-Berichte, die Detektionen und Daten NIS2-Anforderungen zuordnen. Alle Daten bleiben in der EU (GCP Amsterdam), was Verarbeitungsverträge und die Rechenschaft gegenüber der Aufsicht erheblich vereinfacht.
Schritt für Schritt: so gehen Sie es an
- Betroffenheit klären mit der offiziellen BSI-Betroffenheitsprüfung, einschließlich der Kategorie.
- Geschäftsleitung einbinden: Sie trägt die persönliche Verantwortung und muss den Ansatz billigen.
- Risikoanalyse durchführen und kritische Systeme und Lieferanten identifizieren.
- Logging zentralisieren und Detektion aufbauen: das Fundament sowohl der Risikomanagement- als auch der Meldepflichten.
- Den Meldeprozess üben: Wer informiert binnen 24 Stunden das BSI, und mit welchen Informationen?
- Alles dokumentieren: Maßnahmen, Entscheidungen, Aufbewahrungsfristen, Übungen. Compliance, die Sie nicht belegen können, existiert für eine Aufsichtsbehörde nicht.
Mehr dazu, wie LogPulse die Logging-, Detektions- und Berichtsseite abdeckt: NIS2-Compliance mit LogPulse, oder starten Sie kostenlos und richten Sie Ihre ersten Detektionen noch heute ein.