Bekleidung & Ausstattung Digitalisierung & IT Gebäude & Arbeitsplatz Gesundheit & Erste Hilfe Management & Verwaltung Mitarbeitervorteile Mitgliederservice Mobilität Personalmanagement Pflege & Kita Telekommunikation Verpflegung Versicherung Werbemittel
Magazin
Termine
Newsletter
Unternehmen
Unternehmen
Unsere Aufgabe Unsere Online-Portale Kundenmagazin NEWS Nachhaltigkeit Stellenangebote
Alle Portale:
DRK-Einkaufsportal Rotkreuzshop DRK-Intern DRK-Mitgliederbrief DRK-Printshop
DRK-Service
|
Magazin
|

NIS-2-Gesetz: Neue Pflichten zur Informationssicherheit, Fristen und Verantwortlichkeiten

|
Grafische Darstellung von Hochhäusern und Symbolen mit Schloss und Schutzschild

Orientierung für DRK-Organisationen

Mit der Umsetzung der EU-Richtlinie NIS-2 (Netz- und Informationssicherheits-Richtlinie 2) in Deutschland wurden die Anforderungen an die Informationssicherheit deutlich ausgeweitet. Ziel der Regelungen ist es, die Cyberresilienz von Organisationen zu stärken – insbesondere in Bereichen, die für die Versorgung der Bevölkerung von besonderer Bedeutung sind.

Dieser Beitrag gibt eine fachliche Orientierung, welche Organisationen grundsätzlich betroffen sein können, welche Fristen relevant sind und welche Themen jetzt adressiert werden sollten. Er ersetzt keine individuelle Rechts- oder Fachberatung, sondern dient als strukturierter Überblick für Verantwortliche im DRK-Verbund.

Warum ist das Thema für DRK-Organisationen relevant?

Das Gesetz zur Umsetzung der NIS-2-Richtlinie ist am 6. Dezember 2025 in Kraft getreten. Seitdem gelten – abhängig von der individuellen Betroffenheit – neue Pflichten, unter anderem zu:

  • Risikomanagement und technischen Schutzmaßnahmen
  • Meldepflichten bei Sicherheitsvorfällen
  • organisatorischen Verantwortlichkeiten und Nachweisführung

Besonders relevant ist NIS-2 für DRK-Einheiten mit Bezug zum Gesundheitswesen und/oder mit größerem IT-Betrieb, zum Beispiel:

  • Krankenhäuser, Pflege- und Gesundheitseinrichtungen
  • Rettungsdienste, Leitstellen, Hausnotruf
  • Katastrophenschutz- und Krisenstrukturen
  • zentrale IT-, Plattform- oder Rechenzentrumsbetriebe

Diese Organisationen sollten ihre mögliche Betroffenheit jetzt aktiv prüfen.

Wer fällt grundsätzlich unter NIS-2?

Die NIS-2-Regelungen unterscheiden zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Vereinfacht gesagt können Organisationen betroffen sein, wenn:

  • sie einem definierten Sektor angehören (u. a. Gesundheitswesen), und
  • bestimmte Größenmerkmale erfüllen (z. B. ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz – abhängig von Sektor und Einstufung).

Auch KRITIS-Organisationen müssen die Anforderungen der NIS2 erfüllen – ergänzend zu bestehenden Verpflichtungen, etwa nach § 8a BSIG.

Wichtig:
Die Betroffenheit ist nicht pauschal, sondern muss von jeder Organisation eigenständig geprüft und nachvollziehbar dokumentiert werden.

Zentrale Fristen und Termine

  • Seit 6. Dezember 2025
    Inkrafttreten der nationalen Umsetzung – es gibt keine Übergangsfrist. Pflichten gelten grundsätzlich sofort.
  • Seit 6. Januar 2026
    Freischaltung des BSI-Meldeportals zur Registrierung.
  • Bis spätestens 6. März 2026
    Registrierungspflicht für NIS-2-pflichtige Organisationen beim BSI.

Kernthemen der NIS2-Anforderungen

NIS-2 fordert die Umsetzung „geeigneter und verhältnismäßiger“ Maßnahmen. Zu den zentralen Themenfeldern zählen unter anderem:

  • Risikomanagement und Schwachstellenmanagement
  • Verantwortung der Unternehmens- bzw. Einrichtungsleitung
  • Meldepflichten und Incident Handling
  • Business Continuity, Notfall- und Krisenmanagement
  • Identitäts- und Zugriffsmanagement (IAM) sowie Asset Management
  • Lieferanten- und Dienstleistermanagement
  • Schulungen und Awareness-Maßnahmen

In der Praxis bedeutet dies einen Mix aus organisatorischen Regelungen, Prozessen, technischen Maßnahmen und Qualifizierung.

Zur strukturierten Umsetzung ist in der Regel ein Informationssicherheitsmanagementsystem (ISMS) erforderlich. Hierfür kommen unterschiedliche Frameworks in Betracht (z. B. ISO 27001, BSI IT-Grundschutz oder weitere). Welche Struktur geeignet ist, hängt von Größe, Aufgaben und Risikoprofil der jeweiligen Organisation ab.

Informationssicherheit als Leitungsaufgabe

NIS2 macht Informationssicherheit ausdrücklich zur Chefsache:

  • Leitungsorgane müssen Sicherheitsmaßnahmen billigen und überwachen.
  • Bei Verstößen können persönliche Haftungsrisiken entstehen.
  • Schulungen für Leitungsebenen sowie regelmäßige Awareness-Maßnahmen für Mitarbeitende sind vorgesehen.

Mögliche Sanktionen

Bei Verstößen oder fehlender Umsetzung sieht das Gesetz empfindliche Sanktionen vor:

  • Besonders wichtige Einrichtungen:
    bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen:
    bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Was wir DRK-Organisationen jetzt empfehlen

  • Betroffenheit prüfen und das Ergebnis dokumentieren
  • Falls betroffen: Registrierung beim BSI vorbereiten und fristgerecht umsetzen
  • Verantwortlichkeiten festlegen (NIS-2-Ansprechperson, Stellvertretung, Meldewege)
  • Frühzeitig mit der Umsetzung beginnen (Maßnahmenplan, Prioritäten, erste „Quick Wins“)

Weiterführende Informationsquellen

Hinweis

Dieser Beitrag dient ausschließlich der fachlichen Orientierung. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung oder Beratung durch entsprechend qualifizierte Stellen.

Sie benötigen Unterstützung beim Thema NIS2?

Im DRK-Einkaufsportal stehen verschiedene Rahmenvertragspartner zur Verfügung, die das DRK bei der Umsetzung von NIS-2-Richtlinien unterstützen können. Bitte prüfen Sie die Angebote und Partneraktionen im Portal hinsichtlich der individuellen Anforderungen Ihrer Gliederung.

zur Suche im DRK-Einkaufsportal

© KI-generiertes Bild mit Open AI