NIS2-Anforderungen: Öffentlicher Sektor sollte jetzt handeln
NIS2 Anforderungen
- 03.07.2025
NIS2-Anforderungen: Behörden müssen handeln, obwohl das Gesetz noch nicht verabschiedet ist
Die Umsetzung der NIS2-Richtlinie sorgt in Deutschland weiterhin für Unsicherheit. Obwohl der Regierungsentwurf für das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bereits im Juli 2024 vorlag, bleibt die Verabschiedung bisweilen aus. Die vorgezogene Bundestagswahl im Februar 2025 führte dazu, dass das Gesetzgebungsverfahren neu aufgerollt werden muss. Eine verbindliche gesetzliche Grundlage verzögert sich damit weiter. Die Herausforderungen für Behörden, kommunale Verwaltungen und KRITIS-Unternehmen nehmen dennoch zu. Denn die NIS2-Anforderungen stehen im Raum – ohne abschließend geklärte Umsetzungswege. Die aktuell kursierenden neuen Entwürfe des Umsetzungsgesetzes zeigen, dass hier wieder Bewegung herrscht.Der Bundesrechnungshof warnt bereits vor einem drohenden Flickenteppich: Der aktuelle Entwurf sieht keine einheitlichen IT-Sicherheitsstandards für Behörden vor. Auch für Landesverwaltungen und Kommunen bleibt unklar, in welchem Umfang sie verpflichtet sind, die neuen Vorgaben zu erfüllen. Föderalismus schön und gut, aber Cyberkriminalität nimmt darauf keine Rücksicht. Ohne klare Regelungen drohen unterschiedliche Sicherheitsniveaus innerhalb der öffentlichen Verwaltung. Die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) wachsen hingegen deutlich. Künftig kann das BSI nicht nur regelmäßige Kontrollen durchführen, sondern auch empfindliche Bußgelder verhängen – bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Eine einheitliche Umsetzung rückt damit zwar in den Fokus, bleibt aber strukturell noch offen.
Trotz Unsicherheit: Cybersicherheit muss gestärkt werden
Die NIS2-Richtlinie verpflichtet viele Branchen und auch Behörden zu weitreichenden Risikomanagementmaßnahmen. Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden. Diese Vorgaben erhöhen den Druck auf die Verwaltungen erheblich. Besonders relevant ist dabei die Betonung der persönlichen Verantwortung: Die Geschäftsleitung haftet künftig unmittelbar für die Umsetzung der geforderten Sicherheitsmaßnahmen. Eine stärkere Einbindung der Führungsebene ist damit unausweichlich.Parallel zur NIS2-Richtlinie steigt der regulatorische Druck durch weitere Vorgaben wie den AI-Act. Verwaltungen stehen damit vor der Aufgabe, ihre Digitalisierungsprozesse zu beschleunigen, während gleichzeitig ein belastbares Informationssicherheitsmanagement etabliert werden muss. Vielen Behörden fehlt hierfür noch die geeignete Struktur oder das passende Werkzeug. Die Unsicherheiten bei der Gesetzeslage ändern allerdings nichts an der Tatsache, dass Cybersicherheit bereits jetzt auf ein höheres Niveau gehoben werden muss.
Eine frühzeitige Auseinandersetzung mit den Anforderungen der NIS2-Richtlinie und die Vorbereitung auf deren Umsetzung sind daher essenziell, um die Cybersicherheit in der öffentlichen Verwaltung zu stärken. Doch wie lassen sich die NIS2-Anforderungen in der Praxis systematisch umsetzen?
Geeignete Lösung für Informationssicherheit in Behörden kommt aus München
Im Mittelpunkt steht ein pragmatisches Prozessmanagement, das Behörden bei der Digitalisierung von Sicherheitsprozessen unterstützt. Vorgänge lassen sich systematisch erfassen und bearbeiten, einschließlich der Verwaltung von Sicherheitsvorfällen. Integrierte KI-Module ermöglichen die automatisierte Analyse, wobei sämtliche Funktionen DSGVO- und AI-Act-konform ausgestaltet sind.
Das Informationssicherheitsmanagement orientiert sich an den bekannten Standards ISO 27001, BSI-Grundschutz und branchenspezifischen Sicherheitsstandards (B3S). Die Plattform erfüllt zudem die Anforderungen aus BSIG § 8a und weiteren relevanten Normen. GovernmentOS stellt darüber hinaus auditierbare Strukturen bereit, die eine schnelle und nachvollziehbare Umsetzung der NIS2-Anforderungen erleichtern, die vor allem auf der ISO 27001 basieren.
Effizientes Sicherheitsmanagement durch Automatisierung
GovernmentOS integriert ein vorgefertigtes ISMS-Framework, das auf ISO 27001-konformen Vorlagen basiert. Dadurch verkürzt sich der Weg zur Zertifizierung erheblich. Automatisierte Workflows und Echtzeit-Kollaborationswerkzeuge unterstützen die tägliche Arbeit im Sicherheitsmanagement. Risiken lassen sich schnell erfassen, bewerten und gezielt managen.Eine zentrale Stärke der Lösung ist das Echtzeit-Compliance-Tracking. So herrscht jederzeit ein Überblick über den Fortschritt der Sicherheitsmaßnahmen. Sicherheitsprozesse lassen sich zudem nahtlos in bestehende Systeme auf Basis von Confluence integrieren. Damit entsteht eine zentrale Arbeitsumgebung, die das Informationssicherheitsmanagement strukturiert, transparent abbildet und über den Marketplace vielfältige weitere Optionen bietet.
Weiterhin ist die Plattform skalierbar und kann jederzeit an neue regulatorische Vorgaben flexibel angepasst werden. Auch zukünftige Anforderungen, etwa zum Arbeitsschutz nach ISO 45001 oder zu KI-Management nach ISO 42001, sind bereits in der Weiterentwicklung der Plattform vorgesehen.
