A

AES ist ein international standardisierter symmetrischer Blockchiffre-Algorithmus, der zur Ver- und Entschlüsselung von Daten verwendet wird.

NIS2UmsuCG §30 (2) 3.

Als Assets werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen, benötigt werden. Der englische Begriff „asset“ wird häufig mit „Wert“ übersetzt. „Wert“ ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff – von der gesellschaftlichen Bedeutung, die einer Sache zukommt, bis hin zur inneren Qualität eines Objekts. Im IT-Grundschutz wird der Begriff „Assets“ in der Bedeutung von „werthaltigen bzw. wertvollen Zielobjekten“ verwendet.

B

In sogenannte „Branchenspezifischen Sicherheitsstandards“ können KRITIS-Betreiber oder deren Verbände konkretisieren, wie die Anforderungen zum Stand der Technik erfüllt werden können. Dabei dürfen Anforderungen eines B3S jedoch nicht hinter anderen gesetzlichen Vorgaben, wie z.B. NIS2, zurückfallen. Eine gesetzliche Pflicht zur Erarbeitung eines B3S besteht indes nicht. B3S können dem BSI zur Feststellung der Eignung vorgelegt werden.

Nicht zu verwechseln mit den IT-Sicherheitskatalogen der Bundesnetzagentur (BNetzA), welche für die Bereiche der öffentlichen Telekommunikation, Energienetze sowie bestimmte Energieanlagen Kataloge mit Sicherheitsanforderungen erstellt hat, welche als Mindestanforderungen von Betreibern einzuhalten sind.

NIS2UmsuCG §30 (2) 2.

Awareness bzw. Bewusstsein für Cybersicherheit ist das Vorhandensein eines Problembewusstseins für Cyber-Sicherheit. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen.

D

Organisation, die Dienstleistungen im Zusammenhang mit dem Domain Name System (DNS) erbringt.

E

NIS2UmsuCG §30 9.

Endpoint Detection and Response (EDR) bezeichnet eine Sicherheitslösung, die durch kontinuierliches Monitoring und Analyse von Endpunktdaten die Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle ermöglicht.
G

NIS2UmsuCG §30 7.

EU Direktive Art. 20

H

Oberbegriff für die physischen Komponenten (die elektronischen und mechanischen Bestandteile) eines datenverarbeitenden Systems.

I

Invasive Testung beinhaltet physische Eingriffe in Hardware zur Überprüfung der Sicherheit.

Incident Response ist die strukturierte Reaktion auf IT-Sicherheitsvorfälle (Analyse, Eindämmung, Beseitigung, Wiederherstellung).

Intrusion Detection Systeme (IDS) überwachen Netzwerke zur Erkennung unautorisierter Zugriffe oder Angriffe.

Incident Management ist der Prozess zur Identifikation, Analyse und Reaktion auf IT-Sicherheitsvorfälle.

Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung einer Institution sorgen und letztlich zur Zielerreichung führen sollen. Der Teil des Managementsystems, der sich mit der Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, ein setzt, durchführt, überwacht und verbessert).

K

Das KRITIS-Dachgesetz reguliert seit September 2025 die Resilienz und physische Sicherheit von kritischer Infrastrukturen (KRITIS). Es zielt darauf ab Regulierungen für kritische Dienstleister zu vereinheitlichen. Das Gesetz setzt dabei die EU RCE-Richtlinie (EU 2022/2557) in Deutschland um und beinhaltet unter anderem Vorgaben zu Meldepflichten, BCM, physische Sicherheit und Krisenmanagement.

Eine „kritische Dienstleistung ist eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“.

vgl. § 2 Absatz 24 BSIG

NIS2UmsuCG §30 8.

NIS2UmsuCG §30 6.

NIS2UmsuCG §30 (2) 1.

NIS2UmsuCG §30 (2) 1.

Kritische Infrastrukturen (KRITIS) sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die Wichtigkeit lässt sich qualitativ bemessen und ist erreicht, wenn die Schwellenwerte gemäß BSI-Kritisverordnung (BSI-KritisV) erreicht oder überstiegen sind.

vgl. Anhang 1 Teil 3 Tabelle „Anlagenkategorien und Schwellenwerte im Sektor Energie“ BSI-KritisV

Kritische Dienstleister stellen für die Bevölkerung wichtige, teils lebenswichtige Dienstleistungen bereit. Bei einer Beeinträchtigung dieser kritischen Dienstleistung (kDL) würden erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder vergleichbare dramatische Folgen eintreten.

Zur Einstufung siehe auch „KRITIS“.

M

Authentifizierungsmethode, bei der neben dem Passwort ein weiterer Faktor zur Identifikation des Nutzers erforderlich ist. Dieser zweite Faktor kann beispielsweise ein Code sein, der auf ein anderes Gerät gesendet wird, ein Fingerabdruckscan oder ein USB-Token. Ziel ist es, die Sicherheit von Online-Konten und vernetzten Geräten erheblich zu erhöhen.

N

Um die Anforderungen aus der NIS2 Richtlinie und dem geplanten Umsetzungsgesetz verständlich und umsetzbar zu machen, haben wir sie in fünf übersichtliche Bereiche gegliedert. So behalten Sie als Unternehmen den Überblick und können gezielt prüfen, wo Handlungsbedarf besteht:

  1. Organisatorische Prävention
    Hier geht es um Regeln, Abläufe und Zuständigkeiten im Unternehmen. Wer ist wofür verantwortlich? Gibt es klare Sicherheitsrichtlinien? Ziel ist es, IT-Sicherheit als festen Bestandteil der Unternehmenskultur zu verankern.

  2. Technische Prävention
    Darunter fallen alle technischen Maßnahmen, mit denen IT-Systeme geschützt werden, zum Beispiel Firewalls, Backups oder aktuelle Softwareupdates. Diese Maßnahmen sollen Angriffe möglichst früh verhindern.

  3. Technisch-organisatorische Prävention
    Manche Maßnahmen brauchen sowohl klare Regeln als auch technische Umsetzung, z. B. beim sicheren Umgang mit Passwörtern oder der Vergabe von Zugriffsrechten. Hier greifen Technik und Organisation ineinander.

  4. Erkennen
    Auch mit guter Prävention kann es zu Sicherheitsvorfällen kommen. In dieser Kategorie geht es darum, Systeme und Prozesse einzurichten, die Angriffe oder Störungen schnell erkennen  z. B. durch Monitoring oder Alarmierungen.

  5. Reagieren
    Wenn etwas passiert, muss schnell und geordnet gehandelt werden. In diesem Bereich geht es um Notfallpläne, Meldungen an Behörden und die Wiederherstellung des Normalbetriebs, damit der Schaden so gering wie möglich bleibt.

Das NIS2-Umsetzungsgesetz zur Umsetzung der EU NIS2-Richtlinie (kurz: NIS2UmsuCG) ist in Deutschland seit dem 05. Dezember 2025 in Kraft. Unter dem Namen „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ löst es auch die bisherige Bezeichnung NIS2UmsuCG ab.

Es ist das nationale Umsetzungsgesetz der europäischen NIS2-Richtlinie (Richtlinie (EU) 2022/2555), welche bereits seit Januar 2023 gilt. Das Gesetz überführt die EU-Mindeststandards für Netz- und Informationssicherheit in deutsche Gesetzgebung.

Ziel ist es, festzulegen, welche Unternehmen und Organisationen in Deutschland bestimmte Anforderungen an die IT-Sicherheit erfüllen müssen. Darunter werden zum Beispiel Risikomanagement, Meldepflichten bei IT-Sicherheitsvorfällen und technische sowie organisatorische Schutzmaßnahmen standardisiert.

Wichtige Hinweise:
Ab 1. Januar 2026 gilt die dreimonatige Registrierungspflicht beim BSI. Hierfür müssen sich Einrichtungen und Betreiber selbst identifizieren und beim BSI registrieren.

Eine genaue Konkretisierung der Maßnahmen durch BSI oder Verbände ist größtenteils noch in Bearbeitung. Dennoch sollten sie sich schnellstmöglich mit den möglichen neuen Pflichten vertraut zu machen.

Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Vorgabe, welche die Cybersicherheit in der EU stärken soll. „NIS“ steht für Netz- und Informationssicherheit. Die Richtlinie ist seit Anfang 2023 in Kraft und ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016.

Seit Oktober 2024 müssen alle Mitgliedsstaaten NIS2 in nationalen Gesetzen umsetzen. In Deutschland geschieht dies mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (ehemals NIS2UmsuCG), welches seit Dezember 2025 in Kraft ist.

Ziel von NIS2 ist es, Unternehmen und öffentliche Stellen besser vor Cyberangriffen und IT-Störungen zu schützen – vor allem in Bereichen, die für das öffentliche Leben besonders wichtig sind (z. B. Energie, Gesundheit, Transport, IT, Wasser, Finanzen).

Was bedeutet das für Unternehmen?
Unternehmen, welche kritische Dienstleistungen in der EU in einem von insgesamt 18 Sektoren erbringen, werden abhängig vom Umsatz reguliert. Sind Unternehmen betroffen, müssen laut NIS2 Maßnahmen zum Schutz ihrer IT-Systeme treffen, Sicherheitsvorfälle melden und ein Risikomanagement einführen. 

Wichtig: Auch kleine und mittlere Unternehmen (KMU) können betroffen sein wenn sie einen Umsatz von >10 Mio. EUR erzielen und wenn sie z.B. digitale Dienste anbieten oder wichtige Lieferanten in kritischen Branchen sind.

Ein Netzplan im Sinne der IT-Sicherheit ist eine grafische Darstellung, die die Struktur eines Netzwerks abbildet. Er zeigt die verschiedenen IT-Komponenten und deren Verbindungen auf, um einen Überblick über die Netzwerkarchitektur zu geben.

Ein Netzwerk (engl. network) ist eine Verbindung mehrerer Computer und/oder anderer Geräte (z. B. Drucker), die es den Teilnehmern ermöglicht, Informationen auszutauschen und Ressourcen gemeinsam zu nutzen.

O

Prozessleit- und Automatisierungstechnik (Operational Technology, OT) umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert.

P

Ein Passkey ist eine moderne, kennwortfreie Authentifizierungsmethode, die auf kryptografischen Schlüsselpaaren basiert. Es ersetzt traditionelle Passwörter und ermöglicht eine sicherere und benutzerfreundlichere Anmeldung bei Online-Diensten.

Ein Penetrationstest (Pentest) ist ein kontrollierter Angriff auf ein IT-System zur Identifikation von Schwachstellen.

Ein Patch ist eine Softwareaktualisierung, die Fehler korrigiert oder Sicherheitslücken schließt.

Perimetersicherheit umfasst Schutzmaßnahmen an den Netzwerkgrenzen, um unautorisierten Zugriff zu verhindern.

Q

Qualifizierte Vertrauensdienste sind digitale Dienste, die besonders hohe Anforderungen an Sicherheit, Zuverlässigkeit und Rechtsverbindlichkeit erfüllen. Sie sind in der eIDAS-Verordnung (EU-Verordnung Nr. 910/2014) geregelt und dürfen nur von qualifizierten Vertrauensdiensteanbietern erbracht werden.

R

RSA ist ein asymmetrisches Kryptosystem, das zur Schlüsselerzeugung, Verschlüsselung und digitalen Signatur genutzt wird. Seine Sicherheit beruht auf der Schwierigkeit der Faktorisierung großer Zahlen.

Das Risikomanagement beinhaltet die Gesamtheit der organisationsweiten Maßnahmen und Prozesse, die das Ziel der Identifikation, Beurteilung, Steuerung und Überwachung von Risiken haben.

S

Ein Security Operations Center (SOC), auf Deutsch auch Sicherheitsbetriebszentrum, ist eine zentrale organisatorische Einheit, die sich aus Menschen, Prozessen und Technologien zusammensetzt. Ziel ist es, die Sicherheitslage einer Organisation rund um die Uhr (24/7) zu überwachen, Cyber-Bedrohungen frühzeitig zu erkennen, Vorfälle zu analysieren und aktiv darauf zu reagieren.

NIS2UmsuCG §30 (2) 5.

NIS2UmsuCG §30 (2) 4.

Software bezeichnet die Gesamtheit aller Programme, die auf einem informationsverarbeitenden System eingesetzt werden.

In einer Strukturanalyse werden die erforderlichen Informationen über den ausgewählten Informationsverbund, die Anwendungen, IT-Systeme, Netze, Räume, Gebäude und Verbindungen erfasst und so aufbereitet, dass sie die weiteren Schritte gemäß IT-Grundschutz unterstützen.
T

TLS (Transport Layer Security) ist ein Protokoll zur Absicherung von Netzwerkverbindungen. Es dient der Verschlüsselung und der Authentisierung zwischen zwei Kommunikationspartnern, insbesondere bei der Übertragung von sensiblen Daten über unsichere Netze wie das Internet.

Anbieter der für die Verwaltung und den Betrieb der Registrierung von Domainnamen unter einer länderspezifischen (ccTLD) oder generischen Top-Level-Domain (gTLD) zuständig ist, einschließlich der Aufrechterhaltung der TLD-Zone.

V

NIS2UmsuCG §30 10.

Ein Virtual Private Network (VPN) ermöglicht über ein öffentliches Netz wie das Internet eine sichere Verbindung zwischen zwei Netzpunkten. Es gewährleistet Vertraulichkeit, Integrität und Authentizität der übertragenen Daten mittels kryptografischer Verfahren. VPNs werden eingesetzt, um z.B. Heimarbeitsplätze oder Außenstellen sicher mit dem Unternehmensnetz zu verbinden.
Z

Der Begriff „Zero Trust“ beschreibt ein aus dem „Assume Breach“-Ansatz entwickeltes Architekturdesign-Paradigma, welches im Kern auf dem Prinzip der minimalen Rechte (engl. „Least Privileges“) aller Entitäten (Nutzer, Geräte, Systeme, …) in der Gesamtinfrastruktur (auf allen Ebenen) basiert. Das heißt, es existiert kein implizites Vertrauen zwischen allen Entitäten.

Bei notwendiger Kommunikation von Entitäten muss ein Vertrauen durch verlässliche Nachweise und Prüfungen jedes Mal neu aufgebaut werden („earned trust“). Durch diese Designprinzipien und mit Hilfe von kontinuierlicher Vertrauensbetrachtung wird das Sicherheitsrisiko für Vertraulichkeit und Integrität minimiert. Einschränkungen bei der Verfügbarkeit werden dabei in Kauf genommen.