Seit einem halben Jahr ist das NIS-2-Umsetzungsgesetz in Kraft. Kommunen selbst sind bundesweit ausgenommen — ihre Eigenbetriebe, Stadtwerke und Mischgesellschaften mit kommunaler Beteiligung in Sektoren wie Energie, Wasser oder digitaler Infrastruktur jedoch nicht. Wer dort die Schwellenwerte des §28 NIS2UmsuCG erreicht, muss sich beim BSI registrieren, Sicherheitsvorfälle in einem dreistufigen Verfahren melden und Risikomanagementmaßnahmen in zehn Bereichen nachweisen. Insgesamt fallen rund 29.500 Organisationen in Deutschland unter das Gesetz — die BSI-Registrierungsfrist ist bereits im März 2026 abgelaufen. Das BSI hat im März 2026 eine FAQ speziell für die öffentliche Verwaltung veröffentlicht, gegliedert nach den gesetzlichen Anforderungen an Bund, Länder, Kommunen und Justizverwaltung. Parallel hat die Behörde angekündigt, mit öffentlichen IT-Dienstleistern von Ländern und Kommunen den Einsatz von Datensensorik auszubauen — als Grundlage für Echtzeitanalysen und ersten Schritt in Richtung eines bundesweiten Cyberdomes. Wer den eigenen Sicherheitsreifegrad nicht kennt, hat damit ein doppeltes Problem: rechtlich und strategisch. Das Jenaer IT-Sicherheitsunternehmen Enginsight hat dafür einen NIS2 Readiness Check entwickelt — ein anonymes Online-Assessment, das in acht Minuten eine strukturierte Einschätzung der NIS2-Umsetzungsfähigkeit liefert. Sieben Kategorien bilden die Grundlage, alle direkt aus den Anforderungen der Richtlinie abgeleitet: Governance und Management-Reporting, Angriffserkennung, Backup und Disaster Recovery, Risikoanalyse, Incident-Response-Vorbereitung, Schulungen und Awareness sowie technische Schutzmaßnahmen. Der Ergebnisbericht vergleicht den eigenen Reifegrad mit dem anderer Einrichtungen derselben Branche, benennt drei priorisierte Sofortmaßnahmen mit grobem Zeitrahmen und liefert eine betriebswirtschaftliche Risikoabschätzung — inklusive einer Return-on-Security-Investment-Berechnung und einer Einschätzung des Bußgeldrisikos bei Nicht-Compliance. Zu jeder Bewertungsfrage enthält der Bericht praktische Hinweise, etwa zu sinnvollen Kennzahlen wie der Patchquote oder der MFA-Abdeckung. Der Nutzen liegt vor allem in der strukturierten Bestandsaufnahme. Wer nicht weiß, in welchen Bereichen das eigene Sicherheitsniveau den gesetzlichen Anforderungen entspricht, kann weder Haushaltsmittel sinnvoll priorisieren noch im Ernstfall belegen, dass angemessene Vorkehrungen getroffen wurden. Kommunale IT-Dienstleister, die für mehrere Verwaltungen tätig sind und selbst unter §28 NIS2UmsuCG fallen können, benötigen dafür einen nachvollziehbaren Ausgangspunkt. Das Tool ist anonym nutzbar, es werden keine Unternehmensdaten übermittelt. Es versteht sich als Einstieg, nicht als Ersatz für eine vollständige Sicherheitsprüfung. Wer auf Basis der Ergebnisse weitergehende Maßnahmen plant, kann diese innerhalb der Enginsight-Plattform anschließen, die Asset Discovery, Schwachstellenerkennung, automatisierte Penetrationstests und SIEM-gestützte Angriffserkennung kombiniert. Der NIS2 Readiness Check ist hier kostenlos zugänglich. Vertiefende Einblicke in die Materie und konkrete Hilfestellungen bietet zudem ein flankierendes Webinar mit dem Titel „NIS2 Cyberblackout – mit Sicherheit nicht!“. In der Video-Aufzeichnung der Veranstaltung sowie den dazugehörigen Vortragsfolien im Handout-Format werden die regulatorischen Anforderungen für kritische Infrastrukturen und kommunale Akteure detailliert aufbereitet und praxisnahe Lösungswege aufgezeigt. (DEKOM, 26.05.2026) Mehr Infos hier…
