Auf den Punkt: NIS-2 verpflichtet Tausende neue Unternehmen zur Cybersicherheit-Compliance; ein ISMS strukturiert die Umsetzung durch risikobasiertes, kontinuierliches Informationssicherheits-Management.
Das novellierte Bundesamt-für-Sicherheit-in-der-Informationstechnik-Gesetz (BSIG) erweitert den Kreis regulierter Unternehmen auf etwa 30.000 Organisationen. Ein Informationssicherheits-Managementsystem (ISMS) bietet den organisatorischen Rahmen, um diese Anforderungen systematisch und nachhaltig zu erfüllen.
Die Europäische Union hat mit der NIS-2-Richtlinie (EU) 2022/2555 die Cybersicherheitsanforderungen für wirtschaftlich und gesellschaftlich relevante Organisationen deutlich verschärft. Mit der Novellierung des BSIG zum 6. Dezember 2025 wurde diese Richtlinie in deutsches Recht umgesetzt. Das BSI fungiert nun als zentrale Melde- und Aufsichtsbehörde.
Der Geltungsbereich hat sich erheblich ausgeweitet: Während die ursprüngliche NIS-1-Richtlinie (2016) nur wenige kritische Sektoren adressierte, erfasst das BSIG nun 18 Sektoren – darunter Öffentliche Verwaltung, IKT-Dienstmanagement (MSPs, Cloud-Provider), Post- und Kurierdienste, Abfallwirtschaft sowie Lebensmittelproduktion und -verarbeitung. Die Regulierung unterscheidet zwischen „besonders wichtigen“ (essential) und „wichtigen“ (important) Einrichtungen basierend auf Branche, Unternehmensgröße und Kritikalität. Etwa 30.000 Unternehmen fallen direkt unter das Gesetz; zusätzlich entfaltet sich über Lieferketten systemischer Druck auf weite Teile der Wirtschaft.
Ein Informationssicherheits-Managementsystem (ISMS) ist nicht Produkt oder Zertifikat, sondern eine organisatorische Herangehensweise zur systematischen Sicherheitssteuerung. Es erfasst Schutzbedarfe der Organisation, identifiziert und priorisiert Risiken und verankert entsprechende Sicherheitsmaßnahmen. Dabei beruht ein ISMS auf einem kontinuierlichen Verbesserungsprozess: Das Managementsystem und seine Bestandteile werden fortlaufend überprüft und angepasst, um eine hohe Wirksamkeit zu gewährleisten und nicht an Organisationsbedarfen vorbeizuarbeiten.
Das BSIG verlangt systematisches, risikobasiertes Informationssicherheits-Management – genau das leistet ein strukturiertes ISMS. Es schafft Transparenz über Sicherheitsrisiken, klärt Verantwortlichkeiten und dokumentiert Compliance nachweisbar – eine notwendige Basis, um die neuen Anforderungen nicht als episodisches Projekt, sondern als dauerhaften organisatorischen Prozess zu verankern.
Quelle: www.it-daily.net · Erschienen 19. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.