NIS-2 Umsetzungsprojekte in der Automobilindustrie: Lessons Learned und Best Practices

Nachdem die NIS-2-Richtlinie in zahlreichen EU-Mitgliedstaaten – darunter auch Deutschland – mittlerweile durch nationale Umsetzungsgesetze konkretisiert wurde, hat für viele Unternehmen die praktische Umsetzungsphase begonnen. In einigen Ländern sind erste Fristen bereits abgelaufen, insbesondere im Hinblick auf Registrierungspflichten gegenüber den zuständigen Behörden (in Deutschland konkret seit dem 6. März 2026 im BSI-Portal). Andere Unternehmen befinden sich noch mitten in der Umsetzung ihrer NIS-2-Governance oder überprüfen ihre bisherigen Ansätze vor dem Hintergrund spezifizierter behördlicher Vorgaben und erster Praxiserfahrungen.

Auch in der Automobilindustrie beschäftigen sich derzeit zahlreiche Hersteller, Zulieferer, Softwareunternehmen und sonstige Mobilitätsanbieter intensiv insbesondere mit der Frage, welche Gesellschaften innerhalb des Konzerns in den Anwendungsbereich fallen, welche organisatorischen und technischen Maßnahmen erforderlich sind und wie ein belastbares Governance-Modell aufgebaut werden kann. 

Die dabei immer wieder auftretenden Fragestellungen und praktischen Herausforderungen sind  keineswegs auf die Automobilbranche beschränkt. Vielmehrzeigt uns der Austausch mit Projektpartnern und Mandanten in unterschiedlichen Industrien, dass sich die „Pitfalls“ häufig stark ähneln, ganz unabhängig davon, ob es sich um Industrieunternehmen, Technologieanbieter, Dienstleister oder Betreiber kritischer und wichtiger Einrichtungen handelt und welche Ansätze sich in der Praxis bewährt haben.

Nachfolgend geben wir einen Überblick über einige der Fragen, die uns in NIS-2-Projekten derzeit am häufigsten begegnen, sowie über typische „Lessons Learned“ und „Best Practices“ aus der Umsetzungspraxis.

1. Mit welchen Regelungskomplexen der NIS-2-Richtlinie und der nationalen Umsetzungsgesetze tun sich Unternehmen in der Praxis besonders schwer?

Unsere Erfahrungen aus den laufenden NIS-2-Implementierungsprojekten zeigen, dass die größten Herausforderungen regelmäßig nicht im technischen Bereich liegen. Die meisten Automotive-Unternehmen verfügen bereits über etablierte Informationssicherheitsstrukturen, häufig basierend auf TISAX, ISO/IEC 27001, UNECE R155 oder konzernweiten Cybersecurity-Programmen. Häufig wird in diesem Zusammenhang nach dem Verhältnis dieser Zertifizierungen zu den Vorgaben der NIS-2-Richtlinie gefragt.

Besonders anspruchsvoll sind  die organisatorischen und regulatorischen Anforderungen der NIS-2-Richtlinie. Dies betrifft insbesondere:

• die Ermittlung, welche Konzerngesellschaften überhaupt in den Anwendungsbereich fallen;
• die Durchführung der sogenannten Threshold-Analyse;
• die Identifikation der relevanten Sektoren und Untersektoren;
• die Zuordnung von Verantwortlichkeiten innerhalb komplexer Konzernstrukturen;
• die Umsetzung der Managementverantwortung einschließlich Schulungspflichten;
• die Harmonisierung unterschiedlicher nationaler Umsetzungsgesetze;
• die Umsetzung von Lieferketten- und Drittparteienrisiken;
• die Etablierung belastbarer Incident-Response- und Meldeprozesse.

Gerade im Automotive-Sektor besteht häufig die Herausforderung, dass Unternehmen gleichzeitig verschiedene Rollen einnehmen können. Ein Unternehmen kann beispielsweise Fahrzeughersteller sein, zugleich digitale Dienste bereitstellen, Cloud-basierte Plattformen betreiben oder als Managed Service Provider innerhalb des Konzerns agieren. Dadurch entstehen oftmals mehrere potenzielle Anknüpfungspunkte für eine Regulierung.

Viele Unternehmen unterschätzen zudem den Dokumentationsaufwand. Behörden erwarten regelmäßig nicht nur die Existenz von Sicherheitsmaßnahmen, sondern auch deren nachvollziehbare Dokumentation, regelmäßige Überprüfung und eine belastbare Governance-Struktur.

Wie sollte die Threshold-Analyse durchgeführt werden und wann ist der richtige Zeitpunkt hierfür?

Die Threshold-Analyse ist regelmäßig der erste und wichtigste Schritt eines NIS-2-Governance-Projekts. Fehler in dieser Phase ziehen sich häufig durch das gesamte Projekt und führen zu entsprechenden praktischen Umsetzungsschwierigkeiten und Risiken.

In der Praxis empfiehlt sich unserer Erfahrung nach ein mehrstufiges Vorgehen:

Schritt 1: Identifikation aller relevanten Konzerngesellschaften

Zunächst sollte ein vollständiges Bild der (europäischen) Konzernstruktur erstellt werden. Dabei sind nicht nur operative Gesellschaften zu betrachten, sondern auch (und im Hinblick auf die Betroffenheit als Anbieter von Plattform-, Cloud- oder MSP-Diensten) die Shared-Service-Gesellschaften, IT-Gesellschaften, Entwicklungszentren und digitale Plattformbetreiber.

Schritt 2: Zuordnung zu NIS-2-Sektoren

Anschließend ist zu prüfen, ob und aufgrund welcher Tätigkeit(en) die jeweilige Gesellschaft potenziell reguliert ist.
Im Automotive-Sektor erfolgt die Regulierung häufig über die Kategorie „Herstellung von Kraftfahrzeugen“ beziehungsweise über weitere industrielle Tätigkeiten in der Lieferkette.

Daneben können jedoch auch andere Anknüpfungspunkte relevant sein, etwa:

• Cloud-Computing-Services,
• Managed Services,
• Managed-Security-Services,
• Rechenzentrumsleistungen,
• digitale Plattformdienste,
• Forschungs- und Entwicklungsdienstleistungen in kritischen Bereichen.

Dabei ist zu beachten, dass die Auslegung der relevanten Normen oftmals weit erfolgt, unter anderem am Beispiel von Services innerhalb von Unternehmensgruppen (hierzu sogleich). 

Schritt 3: Anwendung der KMU-Regeln

Erst anschließend sollte die eigentliche Threshold-Prüfung erfolgen.

Hier zeigt sich in der Praxis die häufig größte Fehlerquelle: Viele Unternehmen betrachten ausschließlich die jeweilige Gesellschaft isoliert.
Tatsächlich greifen die europäischen Regeln zu verbundenen Unternehmen und Partnerunternehmen. Mitarbeiterzahlen und Umsätze anderer Konzerngesellschaften müssen häufig ganz oder teilweise berücksichtigt werden.

Gerade international aufgestellte Gruppen stellen häufig fest, dass vermeintlich kleine Gesellschaften aufgrund der Einbeziehung anderer Konzerngesellschaften die Schwellenwerte deutlich überschreiten und damit in den Anwendungsbereich fallen können.

Wann sollte die Analyse durchgeführt werden?

Idealerweise:

• Zu Beginn des NIS-2-Governance-Projekts,
• nach größeren M&A-Transaktionen,
• nach Restrukturierungen,
• bei wesentlichen Änderungen des Geschäftsmodells,
• mindestens im Rahmen regelmäßiger Compliance-Reviews.

Viele Unternehmen behandeln die Threshold-Analyse mittlerweile als fortlaufenden Governance-Prozess und nicht mehr als einmalige Übung.

3. Wo unterscheiden sich die nationalen Umsetzungsgesetze, und welche Besonderheiten sollten international tätige Unternehmen kennen?

Viele Unternehmen sind überrascht, dass die NIS-2-Richtlinie trotz ihres Harmonisierungsanspruchs keineswegs vollständig einheitlich umgesetzt wurde.

Bereits heute zeigen sich deutliche Unterschiede hinsichtlich

• Registrierungsverfahren,
• Meldewegen,
• Behördenzuständigkeiten,
• Bußgeldrahmen,
• Fristen,
• Aufsichtspraxis,
• Nachweispflichten.

Besondere Aufmerksamkeit verdienen zudem nationale Sonderregelungen.

Eine Besonderheit des deutschen Umsetzungsgesetzes findet sich z. B. in § 28 Abs. 3 BSIG n. F. Danach können bei der Zuordnung zu einer wichtigen oder besonders wichtigen Einrichtung solche Geschäftstätigkeiten außer Betracht bleiben, die im Verhältnis zur gesamten Geschäftstätigkeit des Unternehmens „vernachlässigbar“ sind. Ziel der Regelung ist es, zu vermeiden, dass eine lediglich geringfügige Nebentätigkeit in einem von NIS-2 erfassten Sektor dazu führt, dass das gesamte Unternehmen in den Anwendungsbereich der Regulierung fällt, was mit dem Verhältnismäßigkeitsgrundsatz nicht vereinbar wäre. Dies kann beispielsweise für Industrieunternehmen relevant werden, die neben ihrem eigentlichen Kerngeschäft nur in sehr begrenztem Umfang Tätigkeiten in einem regulierten Sektor ausüben.

Eine vergleichbare ausdrückliche Ausnahme sieht die NIS-2-Richtlinie selbst jedoch nicht vor und sie findet sich auch nicht in anderen nationalen Umsetzungsgesetzen. Deutschland hat sich hier bewusst für einen Sonderweg entschieden. Ob dieser Sonderweg europarechtskonform ist, bleibt abzuwarten. 

Der Begriff der „Vernachlässigbarkeit“ ist gesetzlich nicht näher definiert. Die Gesetzesmaterialien nennen zwar Kriterien, wie die Anzahl der eingesetzten Mitarbeiter, den Umsatz oder die Bedeutung der betreffenden Tätigkeit für das Gesamtunternehmen. Maßgeblich ist jedoch stets eine Gesamtbetrachtung des Einzelfalls. Gegen eine „Vernachlässigbarkeit“ kann insbesondere sprechen, wenn die betreffende Tätigkeit ausdrücklich zum Unternehmensgegenstand gehört oder einen wesentlichen Bestandteil des Geschäftsmodells darstellt.

Für international tätige Unternehmensgruppen entsteht dadurch eine besondere Herausforderung: Während eine Tätigkeit in Deutschland möglicherweise als „vernachlässigbar“ eingestuft werden kann, kann dieselbe Tätigkeit in anderen Mitgliedstaaten uneingeschränkt zur NIS-2-Betroffenheit führen. Unternehmen sollten daher vermeiden, ihr europäisches NIS-2-Governance-Modell ausschließlich auf die deutsche Ausnahmeregelung zu stützen. 

In der Praxis hat sich vielmehr ein zweistufiger Ansatz bewährt: 

1. Schritt: Zunächst wird auf europäischer Ebene konservativ geprüft, ob die betreffende Tätigkeit grundsätzlich einen NIS-2-Bezug aufweist. 

2. Schritt: Erst anschließend wird bewertet, ob nationale Besonderheiten, wie die deutsche Regelung zu vernachlässigbaren Geschäftstätigkeiten, im Einzelfall zu einer abweichenden Beurteilung führen können. 

Dadurch lassen sich spätere Diskussionen mit Aufsichtsbehörden sowie Anpassungsbedarf infolge neuer Verwaltungspraxis oder europarechtlicher Entwicklungen vermeiden.

In anderen Mitgliedstaaten bestehen zudem besondere Anforderungen an lokale Ansprechpartner oder besondere Vertretungsstrukturen oderstellen detailliertere Anforderungen an die Zusammenarbeit mit Behörden bzw. an die Form der Meldungen.

Hinzu kommt, dass einzelne Aufsichtsbehörden bereits angekündigt haben, unterschiedliche Schwerpunkte bei Prüfungen zu setzen. Während manche Behörden zunächst auf Sensibilisierung und Kooperation setzen (wie wohl das BSI in Deutschland), verfolgen andere einen deutlich strengeren Enforcement-Ansatz.

Für international tätige Automotive-Unternehmen empfiehlt sich daher grundsätzlich kein rein nationales, sondern ein europäisches Compliance-Konzept mit lokalen Ergänzungen.

4. Unterfallen ausschließlich innerhalb einer Unternehmensgruppe erbrachte Dienste den Vorgaben der NIS-2-Richtlinie und deren Umsetzungsgesetzen? 

Diese Frage beschäftigt derzeit zahlreiche Unternehmensgruppen. Hintergrund ist, dass viele Konzerne zentrale IT-, Cybersecurity-, Cloud-, Entwicklungs- oder Shared-Service-Gesellschaften betreiben, die ihre Leistungen ausschließlich für andere Gesellschaften derselben Unternehmensgruppe erbringen und nicht am externen Markt auftreten.

Auf den ersten Blick könnte daher der Eindruck entstehen, dass solche rein konzerninternen Leistungen nicht unter die NIS-2-Regulierung fallen. Eine pauschale Antwort gibt es – wie so oft – nicht.

Besonders relevant ist dies bei:

• konzerninterne IT-Servicegesellschaften,
• Shared-Service-Center,
• Cloud- und Plattformgesellschaften,
• Cybersecurity-Organisationen,
• konzernweite Entwicklungs- und Softwareeinheiten,
• zentralen SOC- oder CERT-Strukturen.

Die europäischen Gesetzestexte und die bisherigen nationalen Umsetzungsgesetze beantworten diese Frage nicht für alle Konstellationen ausdrücklich. Allerdings zeichnet sich bereits jetzt eine Tendenz ab: Viele Behörden betrachten die Bedeutung einer Dienstleistung für die Versorgung kritischer oder wichtiger Einrichtungen zunehmend unabhängig davon, ob diese Leistungen gegenüber externen Kunden oder ausschließlich innerhalb einer Unternehmensgruppe erbracht werden.

Gerade im Automotive-Sektor kann dies erhebliche praktische Auswirkungen haben. Zahlreiche Hersteller und Zulieferer haben ihre IT-, Cloud- oder Cybersecurity-Funktionen in eigenständige Konzerngesellschaften ausgelagert. Würden diese Gesellschaften allein deshalb aus dem Anwendungsbereich herausfallen, weil sie nur interne Kunden bedienen, liefe ein wesentlicher Teil des mit NIS-2 verfolgten Schutzzwecks leer.

Unsere Erfahrung aus den bisherigen Umsetzungsprojekten zeigt daher, dass Unternehmen gut beraten sind, konzerninterne Dienstleister nicht vorschnell als „nicht reguliert“ einzustufen. Vielmehr sollte geprüft werden,

• welche Dienste konkret erbracht werden,
• welche Gesellschaften diese Dienste nutzen,
• welche Bedeutung die Dienste für die Geschäftskontinuität der Gruppe besitzen,
• ob die jeweilige Gesellschaft zentrale Sicherheits- oder Infrastrukturaufgaben wahrnimmt,
• und welche Auffassung die zuständigen nationalen Behörden hierzu vertreten.

In der Praxis verfolgen viele internationale Unternehmensgruppen inzwischen einen pragmatischen Ansatz: Zentrale IT-, Cybersecurity- und Plattformgesellschaften werden unabhängig von verbleibenden Auslegungsfragen freiwillig in das konzernweite NIS-2-Governance-Modell einbezogen. Dies erhöht die Resilienz der gesamten Unternehmensgruppe, vereinfacht die Governance und reduziert das Risiko späterer Neubewertungen durch Aufsichtsbehörden.

5. Wie sieht es mit SaaS-Anbietern und digitalen Diensten aus?

Diese Frage gehört aktuell zu den am häufigsten diskutierten Themen in der Praxis.
Viele Automotive-Unternehmen entwickeln inzwischen umfangreiche digitale Geschäftsmodelle:

• Connected-Car-Plattformen,
• Flottenmanagementsysteme,
• Over-the-Air-Update-Plattformen,
• Datenplattformen,
• Telematikdienste,
• Customer-Portale,
• Mobility-as-a-Service-Angebote.

Oft wird angenommen, dass die NIS-2-Relevanz bereits allein über die Rolle als Fahrzeughersteller abschließend bestimmt wird, was jedoch nicht zwingend der Fall ist.

Vielmehr ist zusätzlich zu prüfen, ob einzelne digitale Leistungen eigenständig als regulierte Dienste zu qualifizieren sind, insbesondere dort, wo die Gruppenunternehmen, die entsprechende digitale Dienste anbieten, selbst nicht als Hersteller von Fahrzeugen agieren. 

Besonders relevant sind dabei:

• Cloud-Computing-Dienste,
• Managed Services,
• Managed Security Services,
• Rechenzentrumsleistungen,
• digitale Infrastrukturen.

Zur Diskussion führt häufig die Frage, ob SaaS-Anbieter automatisch unter die NIS-2-Richtlinie fallen. Diese Frage wurde weder durch die NIS-2-Richtlinie selbst noch durch die Umsetzungsgesetze geregelt. Auch Behördenstellungnahmen fehlen. Ob ein SaaS-Angebot reguliert ist, hängt maßgeblich von seiner konkreten Ausgestaltung und der jeweiligen nationalen Umsetzung ab. Dabei scheint es zumindest vertretbar, SaaS-Anbieter, die für sich genommen die Merkmale der Cloud-Dienste gemäß NIS-2-Richtlinie nicht erfüllen (insbesondere die für den Anwender jederzeit mögliche Skalierbarkeit der Dienste), aus dem Anwendungsbereich auszunehmen.  

Gerade bei Plattform- und Softwareangeboten erfordert dies aber in der Regel eine gesonderte Analyse, je nachdem, in welchem Mitgliedstaat das entsprechende Modell geprüft werden soll.

6. Wer gilt als „Management“ und wer muss in Konzernstrukturen geschult werden?

Die Management-Verantwortung zählt zu den Neuerungen mit den größten praktischen Auswirkungen. Die NIS-2-Richtlinie verlangt ausdrücklich, dass Leitungsorgane die Umsetzung der Cybersicherheitsmaßnahmen überwachen und hierfür angemessen geschult werden. In der Praxis stellt sich daher regelmäßig die Frage, wer konkret als „Management“ anzusehen ist. Die Antwort hängt von der jeweiligen Gesellschaftsstruktur und dem nationalen Umsetzungsrecht ab.

Typischerweise umfasst dies:

• Geschäftsführer,
• Vorstandsmitglieder,
• Managing Directors,
• vergleichbare Leitungsorgane ausländischer Gesellschaftenund/oder
• ggf. weitere Leitungsfunktionen, sofern diese mit entsprechenden Aufgaben und Entscheidungsbefugnissen betraut sind. 

Besonders relevant wird dies in Konzernen. Dort genügt es regelmäßig nicht, lediglich ein zentrales Group-CISO-Team oder eine Konzern-IT zu schulen.
Vielmehr ist zu prüfen, welche Leitungsorgane der jeweils regulierten Gesellschaften die Verantwortung tragen. Dabei können Verantwortlichkeiten auch über Unternehmensgrenzen in der Gruppe hinweg bestehen, sodass der Kreis der einzubeziehenden Adressaten ggf. weiter zu ziehen ist als nur das „lokale“ Management (u.a. im Fall von Holding-Strukturen). In großen internationalen Gruppen kann dies schnell zu einer erheblichen Anzahl von Personen führen.

Bewährt haben sich in der Praxis mehrstufige Schulungskonzepte mit:

• konzernweiten Awareness-Schulungen,
• Management-Briefings,
• rollenbasierten Vertiefungstrainings,
• regelmäßigen Auffrischungen,
• dokumentierten Nachweisen gegenüber Behörden.

7. Wie können international tätige Unternehmen trotz unterschiedlicher nationaler Umsetzungen ein einheitliches NIS-2-Management etablieren?

Die erfolgreichsten Governance-Projekte verfolgen einen „Global Framework – Local Add-ons“-Ansatz. Hierbei werden auf Konzernebene einheitliche Mindeststandards definiert, etwa für:

• Informationssicherheitsmanagement,
• Risikomanagement,
• Lieferketten-Management,
• Incident-Response,
• Meldeverfahren,
• Management-Governance,
• Schulungen,
• Dokumentation.

Anschließend werden diese Standards durch länderspezifische Ergänzungen jeweils erweitert.

Dieser Ansatz bietet mehrere Vorteile:

Erstens können bestehende TISAX-, ISO-27001- oder UNECE-R155-Strukturen weitgehend weiterverwendet werden.

Zweitens wird eine einheitliche Sicherheitskultur innerhalb der Unternehmensgruppe geschaffen.

Drittens lassen sich Unterschiede zwischen den nationalen Umsetzungsgesetzen effizient über lokale Compliance-Matrizen oder Länder-Addenda abbilden.

Unsere Erfahrung zeigt, dass Unternehmen mit einem zentralen europäischen NIS-2-Governance-Modell deutlich schneller auf neue regulatorische Entwicklungen reagieren können als Unternehmen, die für jedes Land vollständig separate Compliance-Strukturen aufbauen.

Gerade in der Automobilindustrie, in der Entwicklungs-, Produktions- und IT-Prozesse typischerweise grenzüberschreitend organisiert sind, stellt ein konzernweiter Ansatz regelmäßig die effizienteste und langfristig nachhaltigste Lösung dar.