NIS2 und KI-Systeme: Was jetzt gilt
NIS2 ist am 6.12.2025 in Kraft getreten – ohne Übergangsfrist. 29.000 deutsche Unternehmen betroffen. Was das für Ihre KI-Systeme bedeutet.
NIS2 ist keine kommende Regulierung mehr. Das Gesetz ist am 6. Dezember 2025 in Kraft getreten – ohne Übergangsfrist.
29.000 deutsche Unternehmen sind betroffen, viele davon erstmals unter BSI-Aufsicht. Und ja: KI-Systeme fallen darunter, wenn sie betriebskritisch sind.
Timeline Deutschland
EU-Deadline verpasst
Nationale Umsetzung hätte fertig sein sollen
EU-Vertragsverletzung
Kommission sendet "reasoned opinion"
Bundestag verabschiedet
NIS2UmsuCG mit Koalitionsmehrheit
In Kraft getreten
Veröffentlichung im Bundesgesetzblatt
Keine Übergangsfrist: Alle Anforderungen gelten ab sofort. ~29.000 deutsche Unternehmen sind betroffen.
Was "ohne Übergangsfrist" bedeutet: Alle Anforderungen gelten ab sofort. Nicht "in Arbeit", nicht "geplant" – compliant. Wer jetzt nicht ready ist, ist bereits im Verstoß.
Wer ist betroffen?
Größenkriterien
Sie fallen unter NIS2, wenn Sie:
- >50 Mitarbeiter ODER
- >10 Mio. € Jahresumsatz ODER
- >10 Mio. € Bilanzsumme
...UND in einem der 18 regulierten Sektoren tätig sind.
Die 18 Sektoren
Wesentliche Einrichtungen (Essential) – strengere Aufsicht:
| Nr. | Sektor | KI-relevant? |
|---|---|---|
| 1 | Energie (Strom, Öl, Gas, Fernwärme) | Prognose-KI, Netzsteuerung |
| 2 | Verkehr (Luft, Schiene, Wasser, Straße) | Routenoptimierung, autonome Systeme |
| 3 | Bankwesen | Betrugserkennung, Scoring |
| 4 | Finanzmarktinfrastruktur | Trading-Algorithmen |
| 5 | Gesundheitswesen | Diagnose-KI, Bildanalyse |
| 6 | Trinkwasser | Qualitätsüberwachung |
| 7 | Abwasser | Prozesssteuerung |
| 8 | Digitale Infrastruktur | Cloud-KI-Services |
| 9 | ICT Service Management (B2B) | Managed AI Services |
| 10 | Öffentliche Verwaltung | Entscheidungsunterstützung |
| 11 | Weltraum | Satellitensteuerung |
Wichtige Einrichtungen (Important):
| Nr. | Sektor | KI-relevant? |
|---|---|---|
| 12 | Post- und Kurierdienste | Routenoptimierung |
| 13 | Abfallwirtschaft | Sortier-KI |
| 14 | Chemie | Prozesssteuerung |
| 15 | Lebensmittel | Qualitätskontrolle |
| 16 | Verarbeitendes Gewerbe | Produktions-KI, Qualitätsprüfung |
| 17 | Digitale Dienste | Plattform-Algorithmen |
| 18 | Forschung | ML-Infrastruktur |
Die Lieferketten-Falle
Auch wenn Sie nicht direkt unter NIS2 fallen: Wenn Sie Zulieferer eines betroffenen Unternehmens sind, werden Sie vertragliche Anforderungen erfüllen müssen.
Beispiel: Ihr Startup liefert eine KI-Komponente an ein Krankenhaus. Das Krankenhaus fällt unter NIS2 (Sektor 5). Sie werden vertraglich verpflichtet, NIS2-konforme Sicherheitsmaßnahmen nachzuweisen – auch wenn Sie selbst unter 50 Mitarbeitern haben.
Wann gilt NIS2 für KI-Systeme?
Die entscheidende Frage: Was passiert, wenn die KI ausfällt? Steht der Betrieb? Sind kritische Dienste betroffen?
| KI-Anwendung | NIS2-relevant? | Begründung |
|---|---|---|
| Energie-Prognose-KI | Ja | Kritisch für Netzstabilität |
| Diagnose-KI (Krankenhaus) | Ja | Kritisch für Versorgung |
| Betrugserkennung (Bank) | Ja | Kritisch für Finanzdienstleistung |
| Produktionssteuerungs-KI | Ja | Kritisch für Fertigung |
| Marketing-KI | Nein | Nicht betriebskritisch |
| HR-Chatbot | Nein | Nicht betriebskritisch |
| Interner Copilot | Kommt drauf an | Abhängig von Integration |
Die 5 NIS2-Anforderungen für KI
1. Risikomanagement (Art. 21)
Was NIS2 fordert:
- Angemessene technische und organisatorische Maßnahmen
- Risikobasierter Ansatz
- Stand der Technik
KI-spezifische Risiken:
| Risikokategorie | Beispiele | Maßnahmen |
|---|---|---|
| Verfügbarkeit | KI-Ausfall = Betriebsausfall | Fallback-Prozesse, Redundanz |
| Integrität | Manipulierte Outputs | Output-Validation, Monitoring |
| Vertraulichkeit | Datenlecks durch Prompts | PII-Filtering, Logging |
| Adversarial | Gezielte Angriffe auf KI | Input-Validation, Anomalie-Detection |
| Supply Chain | LLM-Provider kompromittiert | Vendor Assessment, Alternativen |
2. Incident Response (Art. 21)
Was NIS2 fordert:
- Incident Handling Prozesse
- Business Continuity
- Krisenmanagement
KI-spezifische Incident-Typen:
| Typ | Beschreibung | Meldepflichtig? |
|---|---|---|
| Model Failure | KI liefert fehlerhafte Outputs | Wenn betriebskritisch |
| Model Compromise | Manipulation/Poisoning | Ja |
| Data Breach via KI | Prompts/Training leaken | Ja |
| Availability | LLM-Provider nicht erreichbar | Wenn betriebskritisch |
| Adversarial Attack | Prompt Injection mit Impact | Ja |
3. Meldepflichten (Art. 23)
Die Fristen sind knapp:
| Phase | Frist | Was melden |
|---|---|---|
| Erstmeldung | 24 Stunden | Dass ein Incident vorliegt |
| Folgemeldung | 72 Stunden | Details und erste Einschätzung |
| Abschlussbericht | 30 Tage | Vollständige Analyse, Maßnahmen |
KI-Challenge: Bei KI-Incidents ist Detection oft schwieriger als bei klassischen Breaches. Können Sie einen Model Compromise in 24 Stunden erkennen?
Beispiel meldepflichtiger KI-Incident:
"Diagnose-KI lieferte 6 Stunden lang fehlerhafte Empfehlungen. Ursache: Adversarial Input in Patientendaten. 12 Patienten betroffen, kein Schaden entstanden."
4. Supply Chain Security (Art. 21)
Was NIS2 fordert:
- Bewertung der Lieferketten-Risiken
- Sicherheitsanforderungen an Zulieferer
- Vertragliche Absicherung
Ihre KI-Lieferkette:
| Provider | Risiken | Prüfpunkte |
|---|---|---|
| OpenAI | US-Jurisdiktion, Modell-Updates | SOC 2, Vertragsklauseln |
| Anthropic | US-Jurisdiktion | BAA, DPA |
| Microsoft (Azure OpenAI) | EU-Hosting möglich | Region, Compliance-Zertifikate |
| Google (Vertex AI) | US-Basis | Datenverarbeitung, Retention |
| Self-hosted (Llama, Mistral) | Eigene Verantwortung | Patches, Monitoring |
Die Fragen:
- Haben Sie Ihre LLM-Provider auf Security bewertet?
- Sind die Verträge geprüft (AVV, SLAs, Incident-Notification)?
- Gibt es Alternativen bei Ausfall?
5. Governance (Art. 20)
Was NIS2 fordert:
- Genehmigung der Maßnahmen durch Leitungsorgane
- Schulung der Geschäftsführung
- Persönliche Verantwortung
Das ist neu: Geschäftsführer haften persönlich für NIS2-Verstöße. Das bedeutet:
- C-Level muss KI-Risiken verstehen (nicht delegierbar)
- Entscheidungen zu KI-Security müssen dokumentiert sein
- Restrisiken müssen explizit akzeptiert werden – unterschrieben
Strafen
| Verstoß | Essential | Important |
|---|---|---|
| Nicht-Compliance | €10 Mio. oder 2% Umsatz | €7 Mio. oder 1,4% Umsatz |
| Meldepflicht-Verstoß | Bis €10 Mio. | Bis €7 Mio. |
| Wiederholte Verstöße | + Tätigkeitsverbot möglich | Höhere Strafen |
Neu: Persönliche Haftung der Geschäftsführung. Das Risiko liegt nicht mehr nur beim Unternehmen.
NIS2 + EU AI Act: Doppelte Compliance?
Wenn Ihre KI sowohl unter NIS2 als auch EU AI Act fällt (z.B. Diagnose-KI im Krankenhaus), müssen Sie beide erfüllen.
| Anforderung | NIS2 | EU AI Act |
|---|---|---|
| Risikomanagement | ✓ | ✓ |
| Dokumentation | ✓ | ✓ (detaillierter) |
| Human Oversight | Implizit | ✓ (explizit) |
| Meldepflichten | 24h | Bei schweren Incidents |
| Supply Chain | ✓ | ✓ |
| Governance | ✓ | ✓ |
Die gute Nachricht: Vieles überschneidet sich. Ein integriertes Framework ist effizienter als zwei separate Compliance-Projekte.
Incident Response für KI-Systeme
Detection
0-1h- Monitoring-Alerts
- User Reports
- Anomalie-Detection
- Automatische Checks
Initial Assessment
1-4h- Echtes Incident?
- Welche Kategorie?
- Welcher Impact?
- NIS2-meldepflichtig?
Containment
4-24h- KI-System isolieren/deaktivieren
- Fallback aktivieren
- Impact begrenzen
- Beweise sichern
Remediation
24-72h- Root Cause identifizieren
- Fix entwickeln/deployen
- System wiederherstellen
Post-Incident
1-30 Tage- Lessons Learned
- Präventionsmaßnahmen
- Prozess-Updates
Fallback-Strategie
Für jedes betriebskritische KI-System brauchen Sie eine Antwort auf: "Was tun wir, wenn die KI nicht verfügbar ist?"
| Szenario | Fallback |
|---|---|
| LLM-API nicht erreichbar | Kleineres lokales Modell, manuelle Prozesse |
| Diagnose-KI fehlerhaft | Manueller Review durch Fachpersonal |
| Produktions-KI ausgefallen | Manuelle Steuerung, reduzierte Kapazität |
| Betrugserkennung down | Rule-based Fallback, erhöhte manuelle Prüfung |
Checkliste: Sind Sie compliant?
Betroffenheit
KI-Inventar
Risikomanagement
Incident Response
Supply Chain
Governance
Handlungsbedarf. NIS2 gilt bereits – 19 Punkte sind noch offen.
Die Frage für Ihr nächstes Board-Meeting
"Wenn morgen das BSI anklopft: Können wir nachweisen, dass unsere betriebskritischen KI-Systeme NIS2-konform betrieben werden?"
Wenn die Antwort nicht eindeutig "Ja" ist, haben Sie akuten Handlungsbedarf – NIS2 gilt bereits.
Weiterführend
- EU AI Act – Die andere Regulierung für KI
- AI Risk Assessment – Methodik für Risikobewertung
- KI Security Framework – Technische Umsetzung
- AI-Angriffe 2025 – Aktuelle Bedrohungslandschaft
AI Security Insights
Einmal im Monat. Kein Spam.
Was passiert in der Welt der KI-Security? Welche Risiken sollten Sie kennen? Ich fasse das Wichtigste zusammen - verständlich, pragmatisch, ohne Buzzwords.