Die EU-Richtlinie NIS-2 verschärft die Anforderungen an die Cyber-Sicherheit in Europa deutlich – und betrifft mehr Unternehmen, als viele Experten zunächst vermutet haben. Auch wir bei NETHINKS haben uns intensiv mit der Frage beschäftigt, ob und wann wir unter die NIS-2-Regulierung fallen. Das Ergebnis der offiziellen Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war eindeutig: NETHINKS ist bereits jetzt NIS-2-reguliertes Unternehmen.

Warum wir frühzeitig gehandelt haben, wie die Registrierung beim BSI abläuft und welche strategischen Konsequenzen wir daraus ziehen, erläutern wir in diesem Blog-Artikel.

Keyfacts – NIS-2 & NETHINKS auf einen Blick 

• NETHINKS hat sich bereits 2020 strategisch auf den ISO 27001-Standard ausgerichtet
• Die offizielle Betroffenheitsprüfung des BSI ergab: NETHINKS ist NIS-2-reguliert
• Die Registrierung erfolgt über das neue BSI-Portal – mit Authentifizierung via ELSTER-Zugang
• Informationssicherheit ist für NETHINKS kein Compliance-Projekt, sondern gelebte Praxis

NIS-2 & KRITIS: Warum wir frühzeitig gehandelt haben

Bereits im Jahr 2020 war für uns absehbar, dass die regulatorischen Anforderungen im Bereich KRITIS und NIS-2 deutlich steigen werden. Als ITK-Dienstleister mit Fokus auf sichere Netzwerkinfrastrukturen, Managed Services und IT-Security wurde für uns schnell klar: Informationssicherheit wird vom Wettbewerbsvorteil zur regulatorischen Pflicht. Deshalb haben wir uns frühzeitig entschieden, die ISO 27001-Zertifizierung strategisch anzugehen, noch lange bevor konkrete gesetzliche Verpflichtungen in Aussicht standen. Unser erfolgreiches Re-Audit nach ISO 27001:2022 bestätigt diesen Weg.

Gleichzeitig sind wir – offen gesagt – nicht davon ausgegangen, bereits so schnell unmittelbar unter die NIS-2-Richtlinie zu fallen. Die erweiterten Definitionen der „wichtigen Einrichtungen“ führen jedoch dazu, dass deutlich mehr Unternehmen betroffen sind als noch unter der bisherigen KRITIS-Regulierung.

Die offizielle NIS-2-Betroffenheitsprüfung des BSI

Der Vortrag eines Partnerunternehmens zur NIS-2-Regelung gab den entscheidenden Impuls. Am Ende stand für uns eine klare Erkenntnis: „Wir prüfen uns selbst.“ Mit der Betroffenheitsprüfung, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt wird, konnten wir daraufhin strukturiert analysieren, ob wir als Unternehmen unter die NIS-2-Regelung fallen. Das Ergebnis war eindeutig: NETHINKS erfüllt die Kriterien einer NIS-2-regulierten Einrichtung. Diese Klarheit ist wichtig, denn NIS-2 verpflichtet betroffene Unternehmen unter anderem zu:

• strukturiertem Risikomanagement
• dokumentierten Sicherheitsmaßnahmen
• Meldepflichten bei Sicherheitsvorfällen
• Benennung verantwortlicher Personen
• Nachweisfähigkeit gegenüber der Aufsichtsbehörde

Viele dieser Anforderungen sind durch die ISO 27001, unser Risikomanagement (z.B. NT:RiskMan) und unsere Sicherheitsarchitektur für uns bereits gelebter Standard.

Wie läuft die Registrierung über das BSI-Portal ab?

Neben der Betroffenheitsprüfung stellt das BSI seit 2026 zudem ein zentrales Portal zur Registrierung von Unternehmen bereit, die unter die NIS-2-Regelung fallen. Die Registrierung erfolgt digital – und aus unserer Sicht durchaus bemerkenswert – über eine Authentifizierung mittels ELSTER-Zugangsdaten.

So läuft die Registrierung ab:

1. Anmeldung über das bekannte ELSTER-Portal
2. Verknüpfung mit steuerlichen Unternehmensdaten
3. strukturierte Erfassung der NIS-2-relevanten Informationen
4. Übermittlung an die zuständige Registrierungsstelle

Auf der einen Seite zeigt das: Die Behörden arbeiten zunehmend vernetzt und digital zusammen. Auf der anderen Seite wirft es natürlich auch interessante Fragen auf, etwa zur Effizienz der Durchsetzung regulatorischer Anforderungen. Wenn steuerliche Identitäten und Sicherheitsregistrierungen technisch verbunden sind, wird Compliance messbar transparenter. Wir haben uns ordnungsgemäß registriert und warten derzeit auf die formale Rückmeldung des BSI.

Was NIS-2 für uns als ITK-Dienstleister bedeutet

Für uns ist NIS-2 kein „Bürokratiemonster“, sondern eine wichtige und logische Weiterentwicklung einer europäischen Cyber-Sicherheitsstrategie, die sich mit immer neuen digitalen Bedrohungen beschäftigen muss. Als ITK-Dienstleister mit eigenem Backbone, eigenen Sicherheitslösungen und zertifizierten Prozessen verstehen wir uns nicht nur als Betroffener, sondern auch als Vorbild für unsere Kunden. Denn viele Unternehmen stehen aktuell vor denselben Fragen:

• Sind wir von der NIS-2-Regelung betroffen?
• Welche Maßnahmen müssen wir konkret umzusetzen?
• Wie bauen wir ein revisionssicheres Risikomanagement auf?
• Welche Rolle spielt ISO 27001 als strategische Grundlage?

Unsere Erfahrung zeigt: Unternehmen, die bereits strukturiert auf Informationssicherheit gesetzt haben, sind klar im Vorteil. Doch auch Unternehmen, die erst jetzt aktiv werden (müssen), können mit einem strukturierten Ansatz die NIS-2-Anforderungen erfolgreich erfüllen.

Wie geht es jetzt weiter? Der strategischer Blick nach vorne

Mit der NIS-2-Regelung wird Cyber-Sicherheit endgültig zur unternehmerischen Kernverantwortung. Die Geschäftsleitung trägt künftig eine deutlich stärkere Haftung. Verstöße können nicht nur zu empfindlichen Bußgeldern, sondern auch zu erheblichen Reputationsschäden führen. Wie streng die Aufsichtspraxis im Detail ausgestaltet wird, bleibt abzuwarten. Klar ist jedoch schon heute: NIS-2 verpflichtet Unternehmen dazu, ihre Sicherheitsorganisation strukturiert und nachweisbar aufzubauen. Risikomanagement, Incident-Response-Prozesse, Dokumentation und klare Verantwortlichkeiten sind keine „Best Practices“ mehr – sie werden zur regulatorischen Erwartung. Gleichzeitig wirkt die Richtlinie entlang der gesamten Lieferkette. Wer selbst reguliert ist, wird Sicherheitsstandards auch bei seinen Dienstleistern einfordern. Cyber-Sicherheit entwickelt sich damit zum verbindlichen Qualitätskriterium im B2B-Umfeld.

Für uns steht jedoch im Mittelpunkt: Sicherheit entsteht nicht durch Angst vor Sanktionen, sondern durch klare Prozesse, Transparenz und gelebtes Verantwortungsbewusstsein. NIS-2 ist deshalb für uns kein reines Compliance-Thema, sondern ein weiterer konsequenter Schritt in einer langfristigen Strategie für stabile, resiliente und nachvollziehbare IT-Strukturen – für uns selbst und für unsere Kunden.

Fazit: Gute Vorbereitung zahlt sich aus

Die offizielle Einstufung als NIS-2-reguliertes Unternehmen bestätigt für uns, dass wir frühzeitig die richtigen strategischen Entscheidungen getroffen haben. Unsere Investitionen in die ISO 27001, das strukturierte Risikomanagement und belastbare Sicherheitsprozesse zahlen sich heute aus. Gleichzeitig verstehen wir die NIS-2-Richtlinie nicht nur als regulatorische Verpflichtung, sondern als Chance: als Impuls, Sicherheitsstrukturen weiter zu professionalisieren, Verantwortlichkeiten klar zu definieren und Cyber-Resilienz messbar zu machen. Für uns bei NETHINKS bedeutet das: Wir übernehmen Verantwortung – für unsere eigene Infrastruktur ebenso wie für die unserer Kunden.

Sie möchten wissen, ob Ihr Unternehmen von NIS-2 betroffen ist oder wie sich regulatorische Anforderungen effizient und praxisnah umsetzen lassen? Unsere NETHINKS-Experten stehen Ihnen gerne zur Verfügung.

FAQ zur NIS-2-Richtlinie

Wer ist von der NIS-2-Richtlinie betroffen?
Betroffen sind „wesentliche“ und „wichtige“ Einrichtungen in definierten Sektoren, darunter IT-Dienstleister, Energieversorger, Gesundheitswesen, Transport, öffentliche Verwaltung und weitere kritische Bereiche. Maßgeblich sind Branche, Unternehmensgröße und Rolle in der Wertschöpfungskette.

Ist eine ISO-27001-Zertifizierung Pflicht unter NIS-2?
Nein, die ISO 27001 ist nicht verpflichtend. Sie gilt jedoch als anerkannter Standard zur Umsetzung der geforderten Sicherheitsmaßnahmen und erleichtert den Nachweis gegenüber Behörden erheblich.

Wie erfolgt die Registrierung nach NIS-2?
Die Registrierung erfolgt über das zentrale BSI-Portal. Die Authentifizierung wird über das ELSTER-Verfahren durchgeführt. Unternehmen müssen dort ihre Betroffenheit melden und relevante Informationen hinterlegen.