Zurück zum Blog

NIS2 trifft KI-Agenten: So sichern Sie Agenten-Deployments unter Deutschlands nun verbindlichem Cybersicherheitsgesetz ab

Henri Jung, Mitgründer bei Superkind
Henri Jung

Mitgründer bei Superkind

Ein Vorhängeschloss sichert eine Reihe identischer KI-Agenten-Module und steht für die NIS2-Governance von Agenten-Deployments

Am 6. Dezember 2025 hörte NIS2 auf, eine Richtlinie irgendwo in Brüssel zu sein, und wurde verbindliches deutsches Recht. Das NIS2-Umsetzungsgesetz trat ohne Übergangsfrist in Kraft, und die Zahl der Unternehmen unter BSI-Aufsicht sprang von rund 4.500 auf etwa 29.500 in 18 Sektoren1. Viele davon sind mittelständische Hersteller, Zulieferer und Dienstleister, die sich nie als kritische Infrastruktur verstanden haben.

Zugleich wandern KI-Agenten vom Pilot in die Produktion, in der Werkhalle wie im Backoffice. Gartner erwartet, dass bis Ende 2026 40 Prozent der Unternehmensanwendungen aufgabenspezifische KI-Agenten enthalten - von unter 5 Prozent im Jahr 202518. Ein Agent ist kein Chatbot. Er liest aus Ihrem ERP, schreibt in Ihre Systeme, hält Zugangsdaten und führt Aktionen aus. Das macht ihn zur am schnellsten wachsenden Angriffsfläche in der Unternehmens-IT - und gleichzeitig zu einem Asset, das nun mitten in einem BSI-regulierten ISMS liegt.

Dieser Leitfaden richtet sich an den CISO, CTO oder Geschäftsführer, der beides zugleich leisten muss: KI-Agenten einsetzen, die echten Wert schaffen, und sie innerhalb der Grenzen eines Cybersicherheitsgesetzes halten, das persönliche Haftung mit sich bringt. Keine Angst, kein Hype. Nur was NIS2 tatsächlich verlangt, wo Agenten das Bild verändern und wie Sie ein Deployment bauen, das vom ersten Pilot an konform ist.

Kurzfassung

NIS2 ist jetzt verbindlich - das deutsche Umsetzungsgesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft und stellt rund 29.500 Unternehmen unter BSI-Aufsicht.

KI-Agenten sind standardmäßig betroffen - es gibt keine KI-Ausnahme. Ein Agent, der Ihre Systeme berührt, fällt unter Ihr Risikomanagement nach Paragraph 30 und in Ihr ISMS.

Agenten sind eine doppelte Exposition - eine neue Angriffsfläche (weitreichende Berechtigungen, Prompt Injection, Schatten-KI) und zugleich ein neu reguliertes Asset.

Die Uhr läuft real - erhebliche Vorfälle, auch Agenten-Fehler, lösen eine 24-Stunden-Frühwarnung, eine 72-Stunden-Meldung und einen Abschlussbericht binnen eines Monats an das BSI aus.

Die Geschäftsleitung haftet persönlich - Paragraph 38 BSIG verlangt, dass Geschäftsführer Maßnahmen billigen, überwachen und an Cybersicherheitsschulungen teilnehmen. Das lässt sich nicht wegdelegieren.

Die doppelte Exposition: Angriffsfläche und reguliertes Asset

Die meisten Beiträge behandeln KI-Agenten und NIS2 als zwei getrennte Projekte. Das sind sie nicht. Ein KI-Agenten-Deployment verändert Ihr Cyberrisiko und Ihre regulatorische Lage in ein und demselben Schritt - deshalb braucht es einen einzigen, zusammengeführten Plan.

  • Agenten vergrößern die Angriffsfläche - 48 Prozent der Cybersicherheitsfachleute nennen agentische KI und autonome Systeme als den Top-Angriffsvektor für 2026, vor Deepfakes und anderen Risiken17.
  • Agenten handeln mit echten Berechtigungen - anders als ein reiner Lese-Chatbot authentifiziert sich ein Agent, hält Zugangsdaten und führt Aktionen über Systeme hinweg aus; eine Kompromittierung ist dann keine verratene Antwort, sondern eine ausgeführte Transaktion22.
  • Schatten-KI ist längst drin - schätzungsweise 68 Prozent der Beschäftigten nutzen KI-Tools ohne IT-Freigabe und schaffen Agenten und Integrationen, die kein ISMS erfasst21.
  • Agenten entgleisen im Feld - 80 Prozent der IT-Fachleute berichten, KI-Agenten bei unautorisierten oder unerwarteten Aktionen beobachtet zu haben21.
  • Derselbe Agent ist nun reguliert - wenn Ihr Unternehmen betroffen ist, ist dieser Agent Teil der Netz- und Informationssysteme, die das BSI nach Paragraph 30 BSIG beaufsichtigt3.
  • Die Kosten sind messbar - eine agentenbezogene Datenpanne wird für 2026 im Schnitt auf 4,7 Millionen Dollar geschätzt, noch vor jedem Bußgeld17.

Warum das jetzt zählt

Einen Agenten ohne NIS2-Brille einzusetzen spart keine Zeit - es verschiebt die Arbeit auf einen schlechteren Zeitpunkt. Least-Privilege-Zugriff, Protokollierung und einen Notfallplan nachträglich auf einen laufenden Agenten aufzusetzen, der bereits weitreichende Zugangsdaten hält, ist langsamer und riskanter, als beides vom ersten Pilot an einzubauen. Die doppelte Exposition schließt man am günstigsten, bevor der Agent live geht.

DimensionChatbot / CopilotKI-AgentNIS2-Relevanz
ZugriffLiest Kontext, antwortetLiest und schreibt über SystemeZugriffskontrolle, MFA (Paragraph 30)
AktionSchlägt vorFührt Transaktionen ausVorfallpotenzial, Meldepflicht
ZugangsdatenMeist die NutzersitzungEigene Identität und GeheimnisseIdentitäts-Governance, Logging
SchadensradiusEine falsche AntwortEine falsche Aktion in MaschinentempoBusiness Continuity, Eindämmung
LieferketteEine Modell-APIModell, Tools, Konnektoren, HostLieferkettenpflicht

Was NIS2 jetzt verlangt (in Klartext)

NIS2 lebt in Deutschland im geänderten BSIG. Fünf Paragraphen tragen den größten Teil des Gewichts, und es lohnt sich, sie nach Nummer zu kennen, weil das BSI und Ihre Auditoren sie direkt zitieren werden.

  • Paragraph 28 - Geltungsbereich - legt fest, wer als besonders wichtige oder wichtige Einrichtung gilt, anhand von Sektor, Mitarbeiterzahl und Umsatz5.
  • Paragraph 30 - Risikomanagement - die zehn technischen und organisatorischen Mindestmaßnahmen, die jede betroffene Einrichtung umsetzen muss4.
  • Paragraph 32 - Meldepflichten - die 24-Stunden-, 72-Stunden- und Ein-Monats-Meldepflichten für erhebliche Vorfälle8.
  • Paragraph 38 - Geschäftsleitungspflichten - Geschäftsführer müssen Maßnahmen billigen und überwachen und an Schulungen teilnehmen, mit persönlicher Haftung7.
  • Paragraph 65 - Bußgelder - bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes für besonders wichtige, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen1.

Die Termine liegen bereits hinter uns, und genau das übersehen viele. Es gab keine Schonfrist.

MeilensteinDatumWas es bedeutet
Gesetz in Kraft6. Dezember 2025Risikomanagement-, Melde- und Registrierungspflichten gelten sofort1
BSI-Registrierungsportal liveAb Dezember 2025Betroffene Einrichtungen registrieren sich selbst über das BSI-Portal11
Registrierungsfrist6. März 2026Drei Monate nach Inkrafttreten; verspätete Registrierung weiterhin möglich10
Nachweispflicht nach Paragraph 39Binnen drei Jahren (bis Dezember 2028)Besonders wichtige Einrichtungen müssen wirksame Maßnahmen per Audit oder Zertifizierung nachweisen9

Zentrale Kennzahl

Das BSIG listet in Paragraph 30 zehn Mindestmaßnahmen: Risikoanalyse, Vorfallbehandlung, Business Continuity und Backups, Lieferkettensicherheit, Sicherheit bei Beschaffung und Entwicklung, Wirksamkeitsprüfung, Cyberhygiene und Schulung, Kryptografie, Zugriffskontrolle und Asset-Management sowie Multi-Faktor-Authentifizierung mit gesicherter Kommunikation4. Jede einzelne gilt für einen KI-Agenten, sobald er Ihre Systeme berührt.

Bin ich betroffen? Besonders wichtige vs. wichtige Einrichtungen

Die erste Frage dreht sich gar nicht um Agenten. Sie lautet, ob Ihr Unternehmen reguliert ist. NIS2 sortiert betroffene Organisationen in zwei Stufen, und die Stufe entscheidet, wie hart die Aufsicht zubeißt.

Die zwei Stufen

KriteriumBesonders wichtigWichtig
Typische Größe250+ Mitarbeiter oder über 50 Mio. Euro Umsatz in hochkritischen Sektoren50+ Mitarbeiter oder über 10 Mio. Euro Umsatz
AufsichtProaktiv: Audits, Prüfungen, AuskunftsersuchenReaktiv: nach einem Vorfall oder Anhaltspunkt
Maximales Bußgeld10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
NachweispflichtBinnen drei Jahren erforderlich (Paragraph 39)Auf Verlangen
RegistrierungPflicht über das BSI-PortalPflicht über das BSI-Portal

So führen Sie die Betroffenheitsprüfung durch

  1. Sektor abgleichen - prüfen Sie, ob Ihre Tätigkeit in einen der 18 Sektoren fällt, von Energie, Transport und Fertigung bis zu digitalen Diensten, Abfall, Lebensmitteln und Chemie5.
  2. Größenschwellen anwenden - kombinieren Sie Mitarbeiterzahl und Umsatz mit den Stufendefinitionen aus Paragraph 28. Konzernstrukturen können eine kleine Tochter in den Geltungsbereich ziehen5.
  3. Sonderfälle prüfen - manche Einrichtungen sind unabhängig von der Größe betroffen, etwa bestimmte digitale Infrastrukturen und Anbieter der öffentlichen Verwaltung3.
  4. Im BSI-Portal registrieren - falls betroffen, registrieren Sie das Unternehmen. Die Frist war der 6. März 2026, eine verspätete Registrierung ist weiterhin möglich10.
  5. Die Feststellung dokumentieren - selbst ein Unternehmen, das sich als nicht betroffen einstuft, sollte die Begründung datiert festhalten. Der Geltungsbereich kann sich mit der nächsten Übernahme oder dem nächsten Umsatzjahr ändern.

Häufige Falle

Viele Mittelstands-Zulieferer nehmen an, NIS2 gelte für Versorger und Banken. Falsch. Fertigung, Lebensmittel, Abfall, Chemie und eine lange Liste von B2B-Dienstleistungssektoren sind erfasst, und die Schwelle beginnt bei 50 Mitarbeitern für wichtige Einrichtungen. Wenn Sie in kritische Sektoren liefern, geben Ihre Kunden ihre Lieferkettenpflicht ohnehin per Vertrag an Sie weiter, ob Sie direkt betroffen sind oder nicht12.

Warum KI-Agenten die Angriffsfläche vergrößern

Ein Agent verdient seinen Wert dadurch, dass er in Ihrem Namen handelt. Genau diese Eigenschaft macht ihn gefährlich, wenn er kompromittiert oder in die Irre geführt wird. Dies sind die Fehlerbilder, deren Steuerung NIS2 erwartet.

  • Prompt Injection - eine bösartige Anweisung, versteckt in einer E-Mail, einem Dokument oder einer Webseite, entführt das Ziel des Agenten und macht aus einem Helfer ein Exfiltrationswerkzeug. OWASP führt Goal Hijacking als Top-Risiko für agentische Anwendungen 202621.
  • Übermäßige Berechtigungen - Agenten erhalten oft breiten, dauerhaften Zugriff, damit sie einfach funktionieren. Ein einziger kompromittierter Agent erreicht dann weit mehr als jeder einzelne Mitarbeiter22.
  • Identitätswildwuchs - Agenten erzeugen Service-Konten, Tokens und Geheimnisse schneller, als IAM-Tools sie nachverfolgen. Gartner warnt, dass Agenten-Wildwuchs ohne Register unsteuerbar wird19.
  • Der verwirrte Stellvertreter - ein Agent mit legitimem Zugriff wird dazu verleitet, ihn für die Zwecke eines Angreifers zu nutzen, und die Logs zeigen den Agenten, nicht den Angreifer.
  • Datenabfluss über den Kontext - ein Agent, der sensible Datensätze in einen Prompt zieht, kann sie in ein nachgelagertes Tool, ein Log oder ein Drittanbietermodell weiterreichen.
  • Lieferkettenkompromittierung - Modell, Tool-Integrationen und Datenkonnektoren sind allesamt Drittkomponenten, die vergiftet oder kompromittiert werden können22.
  • Schatten-Agenten - Fachbereiche starten Agenten auf privaten Konten, außerhalb des Blicks der IT, ohne Protokollierung und ohne Verantwortlichen21.
Agenten-RisikoWas schiefgehtNIS2-Kontrolle (Paragraph 30)
Prompt InjectionZiel durch nicht vertrauenswürdige Eingabe entführtSicherheit in der Entwicklung, Wirksamkeitsprüfung
Übermäßige BerechtigungenEine Kompromittierung, großer SchadensradiusZugriffskontrolle, MFA
IdentitätswildwuchsNicht nachverfolgte Agentenkonten und GeheimnisseAsset-Management, Kryptografie
DatenabflussSensible Daten an Dritte weitergereichtKryptografie, Lieferkettensicherheit
Schatten-AgentenUngesteuerte Agenten außerhalb des ISMSRisikoanalyse, Cyberhygiene und Schulung

„Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht. Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen.“

- Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI)16

Agenten in Ihr Risikomanagement nach Paragraph 30 bringen

Sie brauchen kein separates KI-ISMS. Sie erweitern das, das Sie bereits betreiben, sodass ein Agent wie jedes andere hochprivilegierte System behandelt wird - nur mit ein paar agentenspezifischen Kniffen. Wenn Sie ISO 27001 halten, beziffern Branchenschätzungen die Überschneidung mit Paragraph 30 auf rund 70 bis 80 Prozent, das meiste ist also Erweiterung, nicht Neuerfindung13.

Die zehn Maßnahmen auf einen Agenten übertragen

  1. Risikoanalyse - bewerten Sie jeden Agenten als eigenes Asset: was er lesen, schreiben und auslösen kann und was die schlimmste plausible Aktion ist. Nehmen Sie Agenten ins Risikoregister auf.
  2. Vorfallbehandlung - definieren Sie eine Agenten-Vorfallklasse mit Erkennungssignalen, einem Kill-Switch und einem Verantwortlichen, der den Agenten binnen Minuten anhalten kann.
  3. Business Continuity - planen Sie für den Fall, dass der Agent falsch liegt oder ausfällt. Halten Sie den manuellen Prozess lauffähig und sichern Sie Konfiguration und Gedächtnis des Agenten.
  4. Lieferkettensicherheit - bewerten Sie Modellanbieter, Tool-Integrationen, Konnektoren und Host. Verankern Sie Sicherheitsklauseln und Datenstandort im Vertrag12.
  5. Sicherheit bei Beschaffung und Entwicklung - prüfen Sie Prompts, Tools und Konnektoren wie Code. Testen Sie vor dem Go-live gegen Prompt Injection.
  6. Wirksamkeitsprüfung - führen Sie regelmäßig Red-Teaming gegen den Agenten durch. Spielen Sie feindliche Eingaben nach und bestätigen Sie, dass Leitplanken nach Modell- oder Prompt-Änderungen noch halten.
  7. Cyberhygiene und Schulung - schulen Sie die Menschen, die Agenten beaufsichtigen, darin, abnormes Verhalten zu erkennen und zu eskalieren.
  8. Kryptografie - verschlüsseln Sie die Daten des Agenten bei Übertragung und Speicherung und verwalten Sie seine Geheimnisse in einem Vault, nicht in einem Prompt oder einer Konfigurationsdatei.
  9. Zugriffskontrolle und Asset-Management - geben Sie dem Agenten eine eigene Identität, Zugriff nach Least-Privilege und mit Zeitbegrenzung sowie einen Eintrag im Asset-Inventar.
  10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation - schützen Sie die menschlichen und maschinellen Konten rund um den Agenten und leiten Sie seine Aktionen über authentifizierte Kanäle4.

Checkliste: Agent im ISMS

  • Jeder produktive Agent hat einen benannten Verantwortlichen und einen Eintrag im Asset-Inventar
  • Jeder Agent hat eine eigene Identität, kein geteiltes oder menschliches Konto
  • Agenten-Berechtigungen sind Least-Privilege und werden planmäßig überprüft
  • Alle Agenten-Aktionen werden manipulationssicher und abfragbar protokolliert
  • Ein Kill-Switch kann jeden Agenten binnen Minuten anhalten
  • Prompt-Injection-Tests sind Teil des Go-live-Gates
  • Der Anbieter des Agenten ist von Ihrer Lieferkettenbewertung erfasst
  • Ein Agenten-Fehler ist eine definierte Vorfallklasse in Ihrem Notfallplan

Dauerhaft breiter Zugriff vs. Least-Privilege-Agentenidentität

Least-Privilege-Agentenidentität

  • Kleiner Schadensradius - eine Kompromittierung erreicht nur abgegrenzte Ressourcen
  • Saubere Nachweiskette - Aktionen sind einer Agentenidentität zuordenbar
  • Widerrufbar - einen Agenten stoppen, ohne andere zu brechen
  • Passt zu Paragraph 30 - erfüllt Zugriffskontrolle und Asset-Management

Dauerhaft breiter Zugriff

  • Großer Schadensradius - ein Token öffnet viele Systeme
  • Undurchsichtige Logs - geteilte Konten verschleiern, wer was tat
  • Schwer widerrufbar - Zugriff entziehen bricht unbeteiligte Arbeit
  • Fällt beim Audit durch - keine Least-Privilege-Story fürs BSI

KI-Agenten einsetzen, die ein NIS2-Audit bestehen

Buchen Sie ein 30-minütiges Gespräch. Wir kartieren Ihren wertvollsten Anwendungsfall und die Kontrollen, die er ab Tag eins braucht.

Demo buchen →
Ein gesichertes Tresorschloss steht für Zugriffskontrolle und das verbindliche NIS2-Compliance-Gate für KI-Agenten

Wenn ein Agent einen Vorfall auslöst: Die 24/72/30-Uhr

Paragraph 32 BSIG setzt für erhebliche Vorfälle eine dreistufige Meldepflicht, und die Uhr beginnt in dem Moment zu laufen, in dem Sie Kenntnis erlangen8. Ein Agent, der Daten abfließen lässt oder eine schädliche Aktion ausführt, kann genau ein solcher Vorfall sein. Der Test schaut auf die Auswirkung auf Ihren Dienst, nicht darauf, ob ein Mensch oder eine Maschine die Ursache war.

Die drei Stufen

StufeFristWas Sie einreichen
FrühwarnungBinnen 24 StundenErste Meldung: dass ein erheblicher Vorfall vorliegt und ob er bösartig oder grenzüberschreitend wirkt23
VorfallmeldungBinnen 72 StundenBewertung: Schwere, Auswirkung, Kompromittierungsindikatoren, erste Eindämmung23
AbschlussberichtBinnen eines MonatsUrsache, volle Auswirkung, Behebung und Lehren8
Parallele DSGVO-MeldungBinnen 72 StundenSind personenbezogene Daten betroffen, eine gesonderte Meldung nach Artikel 33 an die Datenschutzbehörde23

Ein Notfallplan für Agenten-Vorfälle

  1. Erkennen - alarmieren Sie bei abnormem Agentenverhalten: Rechteausweitung, ungewöhnliche Datenmengen, Aktionen außerhalb des definierten Geltungsbereichs.
  2. Eindämmen - drücken Sie den Kill-Switch. Halten Sie den Agenten an, widerrufen Sie seine Tokens und isolieren Sie die berührten Systeme.
  3. Bewerten - rekonstruieren Sie mit dem Aktionslog genau, was der Agent tat und ob die Auswirkung auf den Dienst erheblich ist.
  4. Melden - falls erheblich, reichen Sie die 24-Stunden-Frühwarnung beim BSI ein, dann die 72-Stunden-Meldung, dann den Abschlussbericht binnen eines Monats8.
  5. Wiederherstellen - stellen Sie aus Backups wieder her, beheben Sie die Ursache (ein Prompt, ein Tool, eine Berechtigung) und testen Sie neu, bevor der Agent wieder online geht.
  6. Lernen - führen Sie den Vorfall zurück ins Risikoregister und in die Wirksamkeitsprüfung, damit derselbe Fehler nicht still wiederkehren kann.

Die 24-Stunden-Regel in der Praxis

Die 24-Stunden-Frühwarnung verlangt keine vollständige Analyse. Das BSI erwartet eine vorläufige Einschätzung, keinen fertigen Forensikbericht. Der Rat aus der Praxis ist unmissverständlich: lieber früh und unvollständig melden als spät und detailliert. Ein Agenten-Vorfall, der noch eingedämmt wird, ist genau das Ereignis, für das die Frühwarnung existiert23.

Lieferkette, Anbieter und Geschäftsleitungshaftung

Zwei der am meisten unterschätzten Teile von NIS2 treffen KI-Agenten-Projekte am härtesten: die Pflicht zur Absicherung der Lieferkette und die persönliche Pflicht der Geschäftsleitung. Ein Agent besteht aus Drittkomponenten und wird von benannten Geschäftsführern gebilligt, also gilt beides unmittelbar.

Die Lieferkette des Agenten

  • Jede Schicht bewerten - das Basismodell, das Orchestrierungs-Framework, die Tool- und Konnektor-Integrationen und die Hosting-Umgebung sind allesamt Anbieter nach Paragraph 3012.
  • Ein Anbieterzertifikat ist Nachweis, keine Entlastung - ein eigenes ISO 27001 des Anbieters hilft, erfüllt aber für sich genommen nicht Ihre Pflicht; Sie bewerten weiterhin das Risiko für Ihren Dienst14.
  • Datenstandort und Verarbeitung klären - wissen Sie, wohin Prompts und Ausgaben gehen, welche Unterauftragsverarbeiter beteiligt sind und ob Daten die EU verlassen.
  • Vertragliche Sicherheitsklauseln holen - Meldepflichten, Prüfrechte, Benachrichtigung bei Vorfällen und Zusagen zur sicheren Entwicklung gehören in den Vertrag, nicht auf eine Folie.
  • Einen Ausstiegspfad halten - Sie müssen einen kompromittierten Anbieter abschalten oder ersetzen können, ohne Ihren Dienst zum Stillstand zu bringen.

Geschäftsleitungshaftung nach Paragraph 38

  • Maßnahmen billigen - die Geschäftsleitung muss die Risikomanagementmaßnahmen nach Paragraph 30 förmlich und schriftlich billigen7.
  • Umsetzung überwachen - Billigung genügt nicht; Geschäftsführer müssen überwachen, dass die Maßnahmen tatsächlich bestehen und wirken7.
  • An Schulungen teilnehmen - die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen, und das muss dokumentiert sein7.
  • Nicht delegierbar - diese Pflichten lassen sich nicht an Dritte auslagern; sie liegen persönlich bei der Leitung7.
  • Persönliche Haftung - Geschäftsführer können für Schäden aus einer Pflichtverletzung persönlich haften, und genau das hebt NIS2 auf die Führungsebene7.

Governance von Anfang an vs. später nachrüsten

Governance ab Tag eins

  • Günstiger - eingebaute Kontrollen kosten einen Bruchteil von Nachrüstungen
  • Auditfähig - die Dokumentation existiert, wenn das BSI fragt
  • Schnelleres Skalieren - zweiter und dritter Agent nutzen das Muster
  • Haftungsschutz - die Leitung kann Billigung und Überwachung belegen

Nachrüsten nach Go-live

  • Teuer - den Zugriff eines Live-Agenten umzuschneiden ist störend
  • Lücken gehen live - der Agent läuft in der Zwischenzeit ungesteuert
  • Keine Audit-Story - fehlende Logs lassen sich nachträglich nicht erzeugen
  • Exposition - nicht gemeldete Vorfälle und ungeschulte Leitung bleiben offen

Der 90-Tage-Fahrplan zum NIS2-fähigen Agenten

Ein NIS2-fähiges Deployment ist nicht langsamer als ein normales - es ist ein normales, richtig gemacht. Hier ist ein Weg Woche für Woche, der sowohl einen funktionierenden Agenten als auch den Nachweis erzeugt, den das BSI erwartet.

Phase 1: Geltungsbereich und Design (Wochen 1-4)

  1. Woche 1: Regulatorischen Geltungsbereich klären - bestimmen Sie Ihre NIS2-Stufe und registrieren Sie sich beim BSI, falls noch nicht geschehen. Dokumentieren Sie die Feststellung in jedem Fall.
  2. Woche 2: Anwendungsfall und Datenflüsse kartieren - definieren Sie genau, was der Agent lesen, schreiben und auslösen wird und welche Systeme und Daten er berührt.
  3. Woche 3: Agentenidentität entwerfen - vergeben Sie eine eigene Identität, Least-Privilege-Scopes, Geheimnisspeicher und den Kill-Switch, bevor der Bau beginnt.
  4. Woche 4: Bedrohungsmodell und Anbieterprüfung - erstellen Sie ein Bedrohungsmodell zu Prompt Injection und Missbrauch und schließen Sie die Lieferkettenbewertung für Modell, Tools und Host ab.

Phase 2: Bauen und testen (Wochen 5-8)

  1. Woche 5-6: Mit Leitplanken bauen - setzen Sie den Agenten mit abgegrenzten Tools, Eingabevalidierung und vollständigem Aktionslog ab der ersten Zeile um, nicht als Nachgedanke.
  2. Woche 7: Red-Teaming - greifen Sie Ihren eigenen Agenten mit Injection-, Confused-Deputy- und Exfiltrationsszenarien an. Beheben Sie, was bricht.
  3. Woche 8: Notfallplan schreiben - finalisieren Sie die Agenten-Vorfallklasse, die Erkennungssignale und die 24/72/30-Meldeschritte. Proben Sie den Kill-Switch.

Phase 3: Ausrollen und nachweisen (Wochen 9-12)

  1. Woche 9: Kontrollierter Rollout - deployen Sie in begrenztem Umfang mit einem Human-in-the-Loop bei Aktionen mit hoher Auswirkung. Überwachen Sie eng.
  2. Woche 10-11: Ausweiten und überwachen - weiten Sie den Umfang mit wachsendem Vertrauen aus und halten Sie Logging und Alarmierung aktiv. Schulen Sie das aufsichtführende Team.
  3. Woche 12: Den Nachweis erzeugen - die Geschäftsleitung billigt die Maßnahmen nach Paragraph 38, dokumentiert die Schulung und legt die Unterlagen ab, die einen späteren Nachweis nach Paragraph 39 stützen.

NIS2-fähiges Go-live-Gate

  • Unternehmensgeltungsbereich bestimmt und BSI-Registrierung abgeschlossen
  • Agent hat eine eigene Least-Privilege-Identität
  • Alle Agenten-Aktionen sind protokolliert und abfragbar
  • Prompt-Injection-Red-Teaming bestanden
  • Anbieterbewertung abgeschlossen, mit vertraglichen Sicherheitsklauseln
  • Notfallplan geschrieben und Kill-Switch geprobt
  • Geschäftsleitung hat Maßnahmen gebilligt und Schulung absolviert
  • Dokumentation für einen späteren Nachweis nach Paragraph 39 abgelegt

Wie Superkind passt

Superkind baut maßgeschneiderte KI-Agenten für KMU und Konzerne - und baut sie von Anfang an so, dass sie in ein reguliertes Umfeld passen. Der Ansatz ist prozess- und kontrollzuerst: Ihre Workflows und Ihr ISMS formen den Agenten, nicht umgekehrt.

  • Eigene Agentenidentität - jeder Agent erhält eine eigene Identität, abgegrenzte Zugangsdaten und Geheimnisspeicher, sodass Zugriffskontrolle und Asset-Management sauber auf Paragraph 30 abbilden.
  • Least-Privilege by Design - Agenten erhalten den engsten Zugriff, mit dem der Anwendungsfall funktioniert, und der Zugriff wird überprüft, nicht einmal vergeben und vergessen.
  • Vollständiges Aktionslog - jeder Lese-, Schreib- und Auslösevorgang wird in einem abfragbaren, manipulationssicheren Speicher festgehalten, sodass ein Vorfall rekonstruiert und belegt werden kann.
  • Kill-Switch und Human-in-the-Loop - Aktionen mit hoher Auswirkung pausieren zur menschlichen Freigabe, und jeder Agent lässt sich binnen Minuten anhalten.
  • Härtung gegen Prompt Injection - Agenten werden vor dem Go-live gegen Goal Hijacking und Confused-Deputy-Angriffe gebaut und im Red-Teaming geprüft.
  • Läuft auf EU-Infrastruktur - Daten bleiben in Ihrer Infrastruktur oder in EU-gehosteten Umgebungen, mit klarem Datenstandort und verschlüsselten Verbindungen.
  • Transparente Lieferkette - klare Dokumentation von Modell, Tools und Konnektoren, damit der Agent in Ihre Lieferkettenbewertung passt.
  • Auditfähige Dokumentation - das Deployment erzeugt die Unterlagen, die die Leitung braucht, um Maßnahmen zu billigen und einen Nachweis nach Paragraph 39 zu stützen.
AnsatzGenerische KI-PlattformSuperkind
AgentenidentitätOft ein geteilter Schlüssel oder NutzerkontoEigene Identität und Geheimnisse pro Agent
ZugriffStandardmäßig breitLeast-Privilege, abgegrenzt, überprüft
LoggingGrundlegende NutzungsmetrikenVollständiges Aktionslog zur Vorfallrekonstruktion
DatenstandortOft US-gehostetIhre Infrastruktur oder EU-gehostet
Compliance-NachweisIhr ProblemTeil der Lieferung

Superkind

Pro

  • NIS2-bewusst by Design - Kontrollen eingebaut, nicht nachgerüstet
  • Passt in Ihr bestehendes ISMS - erweitert, was Sie betreiben, statt ein Silo zu schaffen
  • EU-Datenhaltung - klarer Standort und verschlüsselte Verbindungen
  • Auditfähig - Dokumentation und Logs fürs BSI

Contra

  • Kein Self-Service-Tool - es bedeutet Zusammenarbeit mit unserem Team
  • Braucht Prozesszugang - wir kartieren den echten Workflow, nicht nur Doku
  • Kein Compliance-Dienst - wir bauen konforme Agenten, wir betreiben nicht Ihr ISMS
  • Kapazitätsbegrenzt - wir arbeiten mit einer fokussierten Zahl von Kunden zugleich

Entscheidungsrahmen: einsetzen, härten oder warten

NIS2 ist kein Grund, Agenten nicht mehr einzusetzen. Es ist ein Grund, sie gut einzusetzen. Dieser Rahmen hilft Ihnen zu entscheiden, was Sie mit jeder Agentenidee auf Ihrer Liste tun.

SituationWas es bedeutetAktion
Betroffen, neue AgentenideeWeiße Weste, um Governance einzubauenDen 90-Tage-NIS2-Fahrplan durchlaufen
Betroffen, Agent bereits liveWahrscheinlich ungesteuerte ExpositionZugriff und Logging jetzt prüfen, Least-Privilege nachrüsten
Schatten-Agenten im BetriebUnbekannte Angriffsfläche außerhalb des ISMSEntdecken, inventarisieren und unter Governance bringen oder abschalten
Unsicher, ob betroffenGeltungsbereichsrisiko wächst mit Umsatz und ÜbernahmenDie Betroffenheitsprüfung nach Paragraph 28 durchführen und dokumentieren
Zulieferer für kritische SektorenKunden geben ihre Pflicht an Sie weiterLieferketten-Nachweise vorbereiten, auch wenn nicht direkt betroffen
Autonome Aktion mit hoher AuswirkungSchadensradius zu groß für volle AutonomieEinen Human-in-the-Loop halten, bis Kontrollen und Nachweise reifen

„Unternehmen behandeln die Governance von KI-Agenten binär - entweder abgeriegelt oder voll vertraut - und genau das ist die Wurzel des Scheiterns.“

- Shiva Varma, Senior Director Analyst bei Gartner20

Häufig gestellte Fragen

NIS2 nennt KI-Agenten nicht ausdrücklich, deckt aber die Netz- und Informationssysteme ab, mit denen Sie Ihre wesentlichen und wichtigen Dienste erbringen. Ein KI-Agent, der aus Ihrem ERP liest, Daten zwischen Systemen bewegt oder Aktionen auslöst, ist Teil dieser Systeme. Wenn Ihr Unternehmen betroffen ist, fällt der Agent in Ihr ISMS und unter die Risikomanagementpflichten nach Paragraph 30 BSIG. Eine gesonderte KI-Ausnahme gibt es nicht.

Das NIS2-Umsetzungsgesetz, das das BSIG ändert, wurde verkündet und ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten. Registrierungs-, Melde- und Risikomanagementpflichten galten sofort. Rund 29.500 Unternehmen aus 18 Sektoren stehen nun unter BSI-Aufsicht, gegenüber etwa 4.500 unter dem früheren KRITIS-Regime.

Besonders wichtige Einrichtungen sind die größten oder kritischsten Organisationen und unterliegen der strengsten Aufsicht, einschließlich proaktiver Audits und Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen unterliegen einer leichteren, reaktiven Aufsicht und Bußgeldern bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Die Einstufung hängt von Sektor, Mitarbeiterzahl und Umsatzschwellen ab.

Paragraph 32 BSIG verlangt für erhebliche Vorfälle eine dreistufige Meldung an das BSI. Eine Frühwarnung ist innerhalb von 24 Stunden nach Kenntnisnahme fällig, eine ausführlichere Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Sind personenbezogene Daten betroffen, läuft parallel eine gesonderte Meldung nach Artikel 33 DSGVO innerhalb von 72 Stunden an die Datenschutzbehörde.

Das kann sie sein. Ein Agent, der Daten abfließen lässt, eine schädliche autonome Aktion ausführt oder durch Prompt Injection manipuliert wird, kann eine erhebliche Störung Ihres Dienstes verursachen - und genau das ist der Auslöser für die Meldepflicht. Der Test dreht sich um die Auswirkung auf den Dienst, nicht darum, ob ein Mensch oder ein Agent die Ursache war. Ihr Notfallplan sollte Agenten-Fehler als eigene Vorfallklasse behandeln.

Nein, aber es bringt Sie den größten Teil des Weges. Branchenschätzungen beziffern die Überschneidung zwischen einem reifen ISO-27001-ISMS und den Maßnahmen nach Paragraph 30 auf rund 70 bis 80 Prozent. Die Lücken, die ISO 27001 nicht vollständig abdeckt, sind die ausdrücklichen Lieferkettenpflichten, die festen 24/72/30-Meldefristen, die persönliche Verantwortung der Geschäftsleitung und spezifische Kontrollen wie Multi-Faktor-Authentifizierung. NIS2 macht die Maßnahmen zudem zu einer gesetzlichen Pflicht, nicht zu einem freiwilligen Standard.

Paragraph 38 BSIG legt Pflichten auf die Geschäftsleitung selbst. Geschäftsführer müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Diese Pflichten können nicht an Dritte delegiert werden, und die Geschäftsleitung kann für Schäden aus einer Pflichtverletzung persönlich haften. Deshalb ist NIS2 ein Thema für die Geschäftsführung, nicht nur für die IT.

Sie registrieren das Unternehmen, nicht den einzelnen Agenten. Betroffene Einrichtungen mussten sich innerhalb von drei Monaten nach Inkrafttreten, also bis zum 6. März 2026, über das BSI-Portal registrieren; eine verspätete Registrierung ist weiterhin möglich. Für Agenten kommt es darauf an, dass sie in Ihrem Asset-Inventar auftauchen und von den Risikomanagementmaßnahmen abgedeckt sind, die Sie bestätigen.

Lieferkettensicherheit ist eine der zehn Pflichtmaßnahmen nach Paragraph 30. Sie müssen die Sicherheit Ihrer unmittelbaren Anbieter und Dienstleister bewerten und steuern, einschließlich des Unternehmens, das Ihren KI-Agenten baut oder hostet. Ein eigenes ISO-27001-Zertifikat des Anbieters ist hilfreicher Nachweis, erfüllt aber für sich genommen nicht Ihre Pflicht. Sie brauchen vertragliche Sicherheitsklauseln, Klarheit über den Datenstandort und die Möglichkeit zu prüfen.

Sie tragen zwei sich verstärkende Risiken. Das erste ist das Sicherheitsrisiko eines ungesteuerten Agenten mit weitreichenden Berechtigungen - die am schnellsten wachsende Angriffsfläche in der Unternehmens-IT. Das zweite ist das regulatorische Risiko: nicht gemeldete Vorfälle, fehlendes Risikomanagement und ungeschulte Geschäftsleitung können BSI-Maßnahmen und Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes für besonders wichtige Einrichtungen auslösen.

Ja. NIS2 verbietet keine Agenten und bremst gut geführte Einführungen nicht aus. Es verlangt dasselbe, was eine kompetente Einführung ohnehin tut: einen klaren Geltungsbereich, Zugriff nach dem Least-Privilege-Prinzip, Protokollierung, einen Notfallplan und Lieferantenprüfung. Teams, die das vom ersten Pilot an einbauen, sind später schneller, weil sie Governance nie nachträglich auf einen laufenden Agenten aufsetzen müssen.

Für einen einzelnen Anwendungsfall erreicht ein fokussiertes Team eine NIS2-fähige produktive Einführung in etwa 90 Tagen. Die ersten Wochen kartieren Geltungsbereich, Datenflüsse und das Identitätsmodell des Agenten. Die mittleren Wochen bauen Least-Privilege-Zugriff, Protokollierung und den Notfallplan. Die letzten Wochen führen einen kontrollierten Rollout mit Monitoring durch und erstellen die Dokumentation, die das BSI erwartet. Das Nachrüsten eines ungesteuerten Agenten dauert länger.

Verwandte Artikel

Henri Jung, Mitgründer bei Superkind
Henri Jung

Mitgründer von Superkind, wo er KMU und Konzernen hilft, maßgeschneiderte KI-Agenten einzusetzen, die wirklich zur Arbeitsweise ihrer Teams passen. Henri treibt an, die Lücke zwischen dem, was KI kann, und dem Wert, den sie in echten Unternehmen schafft, zu schließen. Er ist überzeugt, dass der Mittelstand alles hat, um bei KI voranzugehen - er braucht nur den richtigen Ansatz, und dieser muss heute sicher und konform gedacht sein.

Bereit für KI-Agenten, die innerhalb der Grenzen bleiben?

Buchen Sie ein 30-minütiges Gespräch mit Henri. Wir kartieren Ihren wertvollsten Anwendungsfall und die Kontrollen, die er braucht, um ein NIS2-Audit zu bestehen - unverbindlich, ohne Verkaufsgespräch.

Demo buchen →