NIS2 in der Praxis: Von der Meldepflicht zum belastbaren Nachweis
Seit Dezember 2025 ist NIS2 deutsches Recht. Was Monitoring, Meldung und Logging im Prüfungsfall wirklich belegen müssen, und wo Unternehmen jetzt stehen.
Seit dem 6. Dezember 2025 ist NIS2 in Deutschland geltendes Recht. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag beschlossen, am 20. November vom Bundesrat bestätigt und ist ohne Übergangsfrist in Kraft getreten. Betroffen sind rund 29.500 Unternehmen in 18 Sektoren. Die BSI-Registrierungsfrist am 6. März 2026 ist verstrichen, eine verspätete Registrierung bleibt möglich und ist ratsam.
Viele Häuser haben die Umsetzung als Registrierungs- und Dokumentationsaufgabe behandelt. Der schwierigere Teil beginnt danach: im Ernstfall belegen zu können, was passiert ist.
Die Uhr läuft in Stunden, nicht in Wochen
Die Meldepflichten (§32) sind gestuft und eng getaktet. Bei einem erheblichen Sicherheitsvorfall gilt: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Diese Fristen lassen sich nur halten, wenn ein Vorfall schnell erkannt und nachvollziehbar rekonstruiert werden kann. Wer erst beim Schreiben der Meldung merkt, dass die nötigen Daten fehlen, hat die Frist faktisch schon gerissen.
Was der Prüfer sehen will
§30 verlangt Risikomanagementmaßnahmen: Monitoring, Logging, Incident Handling, Business Continuity und Lieferkettensicherheit. Der entscheidende Unterschied liegt zwischen “wir betreiben Monitoring” und “wir können belegen, was wann passiert ist”. Eine Aufsicht akzeptiert keine Absichtserklärung, sie will Evidenz.
Belastbar ist ein Nachweis dann, wenn er drei Eigenschaften hat:
- Lückenlos: Erkennung, Eskalation und Reaktion sind durchgängig zeitgestempelt, ohne dunkle Phasen im Verlauf.
- Unveränderbar: Logs und Incident-Verläufe liegen append-only vor, nachträglich nicht still korrigierbar.
- Rekonstruierbar: Aus dem Trail lässt sich die Vorfallchronik so ableiten, dass sie auf die 24-, 72- und 30-Tage-Fristen abbildet.
Genau hier scheitern viele Setups: Monitoring ist vorhanden, aber die Daten liegen verstreut, sind überschreibbar oder lassen sich nicht zu einer prüffesten Chronik zusammenfügen.
Verantwortung lässt sich nicht delegieren
§38 nimmt die Geschäftsleitung in die Pflicht, die Maßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Verantwortung ist nicht an die IT abtretbar. §65 setzt den Rahmen mit Bußgeldern von bis zu 10 Millionen Euro. Das verschiebt NIS2 von einer technischen zu einer Leitungsaufgabe.
Was jetzt sinnvoll ist
Drei Schritte zahlen unmittelbar ein: die eigenen Pflichten sauber auf §30 und §32 mappen; die Erkennung so aufstellen, dass die 24-Stunden-Frühwarnung realistisch erreichbar ist; und die Protokollierung auf unveränderbare, ausreichend lang aufbewahrte Trails umstellen. Ein einmal durchgespielter Meldeablauf zeigt schnell, wo die Chronik reißt.
In unserem Modul Datargo Monitor sind Monitoring, Security Posture und ein append-only Audit-Trail so verbunden, dass sich NIS2-Evidenz on demand erzeugen lässt. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich Erkennung und Protokollierung so zu führen, dass am Ende eine prüffeste Chronik steht und nicht eine Sammlung verstreuter Logzeilen.
NIS2 fragt nicht, ob Sie Monitoring betreiben. Es fragt, ob Sie es beweisen können.