Am 6. Dezember 2025 hörte NIS2 auf, eine Richtlinie irgendwo in Brüssel zu sein, und wurde verbindliches deutsches Recht. Das NIS2-Umsetzungsgesetz trat ohne Übergangsfrist in Kraft, und die Zahl der Unternehmen unter BSI-Aufsicht sprang von rund 4.500 auf etwa 29.500 in 18 Sektoren1. Viele davon sind mittelständische Hersteller, Zulieferer und Dienstleister, die sich nie als kritische Infrastruktur verstanden haben.
Zugleich wandern KI-Agenten vom Pilot in die Produktion, in der Werkhalle wie im Backoffice. Gartner erwartet, dass bis Ende 2026 40 Prozent der Unternehmensanwendungen aufgabenspezifische KI-Agenten enthalten - von unter 5 Prozent im Jahr 202518. Ein Agent ist kein Chatbot. Er liest aus Ihrem ERP, schreibt in Ihre Systeme, hält Zugangsdaten und führt Aktionen aus. Das macht ihn zur am schnellsten wachsenden Angriffsfläche in der Unternehmens-IT - und gleichzeitig zu einem Asset, das nun mitten in einem BSI-regulierten ISMS liegt.
Dieser Leitfaden richtet sich an den CISO, CTO oder Geschäftsführer, der beides zugleich leisten muss: KI-Agenten einsetzen, die echten Wert schaffen, und sie innerhalb der Grenzen eines Cybersicherheitsgesetzes halten, das persönliche Haftung mit sich bringt. Keine Angst, kein Hype. Nur was NIS2 tatsächlich verlangt, wo Agenten das Bild verändern und wie Sie ein Deployment bauen, das vom ersten Pilot an konform ist.
Kurzfassung
NIS2 ist jetzt verbindlich - das deutsche Umsetzungsgesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft und stellt rund 29.500 Unternehmen unter BSI-Aufsicht.
KI-Agenten sind standardmäßig betroffen - es gibt keine KI-Ausnahme. Ein Agent, der Ihre Systeme berührt, fällt unter Ihr Risikomanagement nach Paragraph 30 und in Ihr ISMS.
Agenten sind eine doppelte Exposition - eine neue Angriffsfläche (weitreichende Berechtigungen, Prompt Injection, Schatten-KI) und zugleich ein neu reguliertes Asset.
Die Uhr läuft real - erhebliche Vorfälle, auch Agenten-Fehler, lösen eine 24-Stunden-Frühwarnung, eine 72-Stunden-Meldung und einen Abschlussbericht binnen eines Monats an das BSI aus.
Die Geschäftsleitung haftet persönlich - Paragraph 38 BSIG verlangt, dass Geschäftsführer Maßnahmen billigen, überwachen und an Cybersicherheitsschulungen teilnehmen. Das lässt sich nicht wegdelegieren.
Die doppelte Exposition: Angriffsfläche und reguliertes Asset
Die meisten Beiträge behandeln KI-Agenten und NIS2 als zwei getrennte Projekte. Das sind sie nicht. Ein KI-Agenten-Deployment verändert Ihr Cyberrisiko und Ihre regulatorische Lage in ein und demselben Schritt - deshalb braucht es einen einzigen, zusammengeführten Plan.
- Agenten vergrößern die Angriffsfläche - 48 Prozent der Cybersicherheitsfachleute nennen agentische KI und autonome Systeme als den Top-Angriffsvektor für 2026, vor Deepfakes und anderen Risiken17.
- Agenten handeln mit echten Berechtigungen - anders als ein reiner Lese-Chatbot authentifiziert sich ein Agent, hält Zugangsdaten und führt Aktionen über Systeme hinweg aus; eine Kompromittierung ist dann keine verratene Antwort, sondern eine ausgeführte Transaktion22.
- Schatten-KI ist längst drin - schätzungsweise 68 Prozent der Beschäftigten nutzen KI-Tools ohne IT-Freigabe und schaffen Agenten und Integrationen, die kein ISMS erfasst21.
- Agenten entgleisen im Feld - 80 Prozent der IT-Fachleute berichten, KI-Agenten bei unautorisierten oder unerwarteten Aktionen beobachtet zu haben21.
- Derselbe Agent ist nun reguliert - wenn Ihr Unternehmen betroffen ist, ist dieser Agent Teil der Netz- und Informationssysteme, die das BSI nach Paragraph 30 BSIG beaufsichtigt3.
- Die Kosten sind messbar - eine agentenbezogene Datenpanne wird für 2026 im Schnitt auf 4,7 Millionen Dollar geschätzt, noch vor jedem Bußgeld17.
Warum das jetzt zählt
Einen Agenten ohne NIS2-Brille einzusetzen spart keine Zeit - es verschiebt die Arbeit auf einen schlechteren Zeitpunkt. Least-Privilege-Zugriff, Protokollierung und einen Notfallplan nachträglich auf einen laufenden Agenten aufzusetzen, der bereits weitreichende Zugangsdaten hält, ist langsamer und riskanter, als beides vom ersten Pilot an einzubauen. Die doppelte Exposition schließt man am günstigsten, bevor der Agent live geht.
| Dimension | Chatbot / Copilot | KI-Agent | NIS2-Relevanz |
|---|---|---|---|
| Zugriff | Liest Kontext, antwortet | Liest und schreibt über Systeme | Zugriffskontrolle, MFA (Paragraph 30) |
| Aktion | Schlägt vor | Führt Transaktionen aus | Vorfallpotenzial, Meldepflicht |
| Zugangsdaten | Meist die Nutzersitzung | Eigene Identität und Geheimnisse | Identitäts-Governance, Logging |
| Schadensradius | Eine falsche Antwort | Eine falsche Aktion in Maschinentempo | Business Continuity, Eindämmung |
| Lieferkette | Eine Modell-API | Modell, Tools, Konnektoren, Host | Lieferkettenpflicht |
Was NIS2 jetzt verlangt (in Klartext)
NIS2 lebt in Deutschland im geänderten BSIG. Fünf Paragraphen tragen den größten Teil des Gewichts, und es lohnt sich, sie nach Nummer zu kennen, weil das BSI und Ihre Auditoren sie direkt zitieren werden.
- Paragraph 28 - Geltungsbereich - legt fest, wer als besonders wichtige oder wichtige Einrichtung gilt, anhand von Sektor, Mitarbeiterzahl und Umsatz5.
- Paragraph 30 - Risikomanagement - die zehn technischen und organisatorischen Mindestmaßnahmen, die jede betroffene Einrichtung umsetzen muss4.
- Paragraph 32 - Meldepflichten - die 24-Stunden-, 72-Stunden- und Ein-Monats-Meldepflichten für erhebliche Vorfälle8.
- Paragraph 38 - Geschäftsleitungspflichten - Geschäftsführer müssen Maßnahmen billigen und überwachen und an Schulungen teilnehmen, mit persönlicher Haftung7.
- Paragraph 65 - Bußgelder - bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes für besonders wichtige, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen1.
Die Termine liegen bereits hinter uns, und genau das übersehen viele. Es gab keine Schonfrist.
| Meilenstein | Datum | Was es bedeutet |
|---|---|---|
| Gesetz in Kraft | 6. Dezember 2025 | Risikomanagement-, Melde- und Registrierungspflichten gelten sofort1 |
| BSI-Registrierungsportal live | Ab Dezember 2025 | Betroffene Einrichtungen registrieren sich selbst über das BSI-Portal11 |
| Registrierungsfrist | 6. März 2026 | Drei Monate nach Inkrafttreten; verspätete Registrierung weiterhin möglich10 |
| Nachweispflicht nach Paragraph 39 | Binnen drei Jahren (bis Dezember 2028) | Besonders wichtige Einrichtungen müssen wirksame Maßnahmen per Audit oder Zertifizierung nachweisen9 |
Zentrale Kennzahl
Das BSIG listet in Paragraph 30 zehn Mindestmaßnahmen: Risikoanalyse, Vorfallbehandlung, Business Continuity und Backups, Lieferkettensicherheit, Sicherheit bei Beschaffung und Entwicklung, Wirksamkeitsprüfung, Cyberhygiene und Schulung, Kryptografie, Zugriffskontrolle und Asset-Management sowie Multi-Faktor-Authentifizierung mit gesicherter Kommunikation4. Jede einzelne gilt für einen KI-Agenten, sobald er Ihre Systeme berührt.
Bin ich betroffen? Besonders wichtige vs. wichtige Einrichtungen
Die erste Frage dreht sich gar nicht um Agenten. Sie lautet, ob Ihr Unternehmen reguliert ist. NIS2 sortiert betroffene Organisationen in zwei Stufen, und die Stufe entscheidet, wie hart die Aufsicht zubeißt.
Die zwei Stufen
| Kriterium | Besonders wichtig | Wichtig |
|---|---|---|
| Typische Größe | 250+ Mitarbeiter oder über 50 Mio. Euro Umsatz in hochkritischen Sektoren | 50+ Mitarbeiter oder über 10 Mio. Euro Umsatz |
| Aufsicht | Proaktiv: Audits, Prüfungen, Auskunftsersuchen | Reaktiv: nach einem Vorfall oder Anhaltspunkt |
| Maximales Bußgeld | 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes | 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes |
| Nachweispflicht | Binnen drei Jahren erforderlich (Paragraph 39) | Auf Verlangen |
| Registrierung | Pflicht über das BSI-Portal | Pflicht über das BSI-Portal |
So führen Sie die Betroffenheitsprüfung durch
- Sektor abgleichen - prüfen Sie, ob Ihre Tätigkeit in einen der 18 Sektoren fällt, von Energie, Transport und Fertigung bis zu digitalen Diensten, Abfall, Lebensmitteln und Chemie5.
- Größenschwellen anwenden - kombinieren Sie Mitarbeiterzahl und Umsatz mit den Stufendefinitionen aus Paragraph 28. Konzernstrukturen können eine kleine Tochter in den Geltungsbereich ziehen5.
- Sonderfälle prüfen - manche Einrichtungen sind unabhängig von der Größe betroffen, etwa bestimmte digitale Infrastrukturen und Anbieter der öffentlichen Verwaltung3.
- Im BSI-Portal registrieren - falls betroffen, registrieren Sie das Unternehmen. Die Frist war der 6. März 2026, eine verspätete Registrierung ist weiterhin möglich10.
- Die Feststellung dokumentieren - selbst ein Unternehmen, das sich als nicht betroffen einstuft, sollte die Begründung datiert festhalten. Der Geltungsbereich kann sich mit der nächsten Übernahme oder dem nächsten Umsatzjahr ändern.
Häufige Falle
Viele Mittelstands-Zulieferer nehmen an, NIS2 gelte für Versorger und Banken. Falsch. Fertigung, Lebensmittel, Abfall, Chemie und eine lange Liste von B2B-Dienstleistungssektoren sind erfasst, und die Schwelle beginnt bei 50 Mitarbeitern für wichtige Einrichtungen. Wenn Sie in kritische Sektoren liefern, geben Ihre Kunden ihre Lieferkettenpflicht ohnehin per Vertrag an Sie weiter, ob Sie direkt betroffen sind oder nicht12.
Warum KI-Agenten die Angriffsfläche vergrößern
Ein Agent verdient seinen Wert dadurch, dass er in Ihrem Namen handelt. Genau diese Eigenschaft macht ihn gefährlich, wenn er kompromittiert oder in die Irre geführt wird. Dies sind die Fehlerbilder, deren Steuerung NIS2 erwartet.
- Prompt Injection - eine bösartige Anweisung, versteckt in einer E-Mail, einem Dokument oder einer Webseite, entführt das Ziel des Agenten und macht aus einem Helfer ein Exfiltrationswerkzeug. OWASP führt Goal Hijacking als Top-Risiko für agentische Anwendungen 202621.
- Übermäßige Berechtigungen - Agenten erhalten oft breiten, dauerhaften Zugriff, damit sie einfach funktionieren. Ein einziger kompromittierter Agent erreicht dann weit mehr als jeder einzelne Mitarbeiter22.
- Identitätswildwuchs - Agenten erzeugen Service-Konten, Tokens und Geheimnisse schneller, als IAM-Tools sie nachverfolgen. Gartner warnt, dass Agenten-Wildwuchs ohne Register unsteuerbar wird19.
- Der verwirrte Stellvertreter - ein Agent mit legitimem Zugriff wird dazu verleitet, ihn für die Zwecke eines Angreifers zu nutzen, und die Logs zeigen den Agenten, nicht den Angreifer.
- Datenabfluss über den Kontext - ein Agent, der sensible Datensätze in einen Prompt zieht, kann sie in ein nachgelagertes Tool, ein Log oder ein Drittanbietermodell weiterreichen.
- Lieferkettenkompromittierung - Modell, Tool-Integrationen und Datenkonnektoren sind allesamt Drittkomponenten, die vergiftet oder kompromittiert werden können22.
- Schatten-Agenten - Fachbereiche starten Agenten auf privaten Konten, außerhalb des Blicks der IT, ohne Protokollierung und ohne Verantwortlichen21.
| Agenten-Risiko | Was schiefgeht | NIS2-Kontrolle (Paragraph 30) |
|---|---|---|
| Prompt Injection | Ziel durch nicht vertrauenswürdige Eingabe entführt | Sicherheit in der Entwicklung, Wirksamkeitsprüfung |
| Übermäßige Berechtigungen | Eine Kompromittierung, großer Schadensradius | Zugriffskontrolle, MFA |
| Identitätswildwuchs | Nicht nachverfolgte Agentenkonten und Geheimnisse | Asset-Management, Kryptografie |
| Datenabfluss | Sensible Daten an Dritte weitergereicht | Kryptografie, Lieferkettensicherheit |
| Schatten-Agenten | Ungesteuerte Agenten außerhalb des ISMS | Risikoanalyse, Cyberhygiene und Schulung |
„Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht. Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen.“
- Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI)16
Agenten in Ihr Risikomanagement nach Paragraph 30 bringen
Sie brauchen kein separates KI-ISMS. Sie erweitern das, das Sie bereits betreiben, sodass ein Agent wie jedes andere hochprivilegierte System behandelt wird - nur mit ein paar agentenspezifischen Kniffen. Wenn Sie ISO 27001 halten, beziffern Branchenschätzungen die Überschneidung mit Paragraph 30 auf rund 70 bis 80 Prozent, das meiste ist also Erweiterung, nicht Neuerfindung13.
Die zehn Maßnahmen auf einen Agenten übertragen
- Risikoanalyse - bewerten Sie jeden Agenten als eigenes Asset: was er lesen, schreiben und auslösen kann und was die schlimmste plausible Aktion ist. Nehmen Sie Agenten ins Risikoregister auf.
- Vorfallbehandlung - definieren Sie eine Agenten-Vorfallklasse mit Erkennungssignalen, einem Kill-Switch und einem Verantwortlichen, der den Agenten binnen Minuten anhalten kann.
- Business Continuity - planen Sie für den Fall, dass der Agent falsch liegt oder ausfällt. Halten Sie den manuellen Prozess lauffähig und sichern Sie Konfiguration und Gedächtnis des Agenten.
- Lieferkettensicherheit - bewerten Sie Modellanbieter, Tool-Integrationen, Konnektoren und Host. Verankern Sie Sicherheitsklauseln und Datenstandort im Vertrag12.
- Sicherheit bei Beschaffung und Entwicklung - prüfen Sie Prompts, Tools und Konnektoren wie Code. Testen Sie vor dem Go-live gegen Prompt Injection.
- Wirksamkeitsprüfung - führen Sie regelmäßig Red-Teaming gegen den Agenten durch. Spielen Sie feindliche Eingaben nach und bestätigen Sie, dass Leitplanken nach Modell- oder Prompt-Änderungen noch halten.
- Cyberhygiene und Schulung - schulen Sie die Menschen, die Agenten beaufsichtigen, darin, abnormes Verhalten zu erkennen und zu eskalieren.
- Kryptografie - verschlüsseln Sie die Daten des Agenten bei Übertragung und Speicherung und verwalten Sie seine Geheimnisse in einem Vault, nicht in einem Prompt oder einer Konfigurationsdatei.
- Zugriffskontrolle und Asset-Management - geben Sie dem Agenten eine eigene Identität, Zugriff nach Least-Privilege und mit Zeitbegrenzung sowie einen Eintrag im Asset-Inventar.
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation - schützen Sie die menschlichen und maschinellen Konten rund um den Agenten und leiten Sie seine Aktionen über authentifizierte Kanäle4.
Checkliste: Agent im ISMS
- Jeder produktive Agent hat einen benannten Verantwortlichen und einen Eintrag im Asset-Inventar
- Jeder Agent hat eine eigene Identität, kein geteiltes oder menschliches Konto
- Agenten-Berechtigungen sind Least-Privilege und werden planmäßig überprüft
- Alle Agenten-Aktionen werden manipulationssicher und abfragbar protokolliert
- Ein Kill-Switch kann jeden Agenten binnen Minuten anhalten
- Prompt-Injection-Tests sind Teil des Go-live-Gates
- Der Anbieter des Agenten ist von Ihrer Lieferkettenbewertung erfasst
- Ein Agenten-Fehler ist eine definierte Vorfallklasse in Ihrem Notfallplan
Dauerhaft breiter Zugriff vs. Least-Privilege-Agentenidentität
Least-Privilege-Agentenidentität
- ✓ Kleiner Schadensradius - eine Kompromittierung erreicht nur abgegrenzte Ressourcen
- ✓ Saubere Nachweiskette - Aktionen sind einer Agentenidentität zuordenbar
- ✓ Widerrufbar - einen Agenten stoppen, ohne andere zu brechen
- ✓ Passt zu Paragraph 30 - erfüllt Zugriffskontrolle und Asset-Management
Dauerhaft breiter Zugriff
- ✗ Großer Schadensradius - ein Token öffnet viele Systeme
- ✗ Undurchsichtige Logs - geteilte Konten verschleiern, wer was tat
- ✗ Schwer widerrufbar - Zugriff entziehen bricht unbeteiligte Arbeit
- ✗ Fällt beim Audit durch - keine Least-Privilege-Story fürs BSI
KI-Agenten einsetzen, die ein NIS2-Audit bestehen
Buchen Sie ein 30-minütiges Gespräch. Wir kartieren Ihren wertvollsten Anwendungsfall und die Kontrollen, die er ab Tag eins braucht.

Wenn ein Agent einen Vorfall auslöst: Die 24/72/30-Uhr
Paragraph 32 BSIG setzt für erhebliche Vorfälle eine dreistufige Meldepflicht, und die Uhr beginnt in dem Moment zu laufen, in dem Sie Kenntnis erlangen8. Ein Agent, der Daten abfließen lässt oder eine schädliche Aktion ausführt, kann genau ein solcher Vorfall sein. Der Test schaut auf die Auswirkung auf Ihren Dienst, nicht darauf, ob ein Mensch oder eine Maschine die Ursache war.
Die drei Stufen
| Stufe | Frist | Was Sie einreichen |
|---|---|---|
| Frühwarnung | Binnen 24 Stunden | Erste Meldung: dass ein erheblicher Vorfall vorliegt und ob er bösartig oder grenzüberschreitend wirkt23 |
| Vorfallmeldung | Binnen 72 Stunden | Bewertung: Schwere, Auswirkung, Kompromittierungsindikatoren, erste Eindämmung23 |
| Abschlussbericht | Binnen eines Monats | Ursache, volle Auswirkung, Behebung und Lehren8 |
| Parallele DSGVO-Meldung | Binnen 72 Stunden | Sind personenbezogene Daten betroffen, eine gesonderte Meldung nach Artikel 33 an die Datenschutzbehörde23 |
Ein Notfallplan für Agenten-Vorfälle
- Erkennen - alarmieren Sie bei abnormem Agentenverhalten: Rechteausweitung, ungewöhnliche Datenmengen, Aktionen außerhalb des definierten Geltungsbereichs.
- Eindämmen - drücken Sie den Kill-Switch. Halten Sie den Agenten an, widerrufen Sie seine Tokens und isolieren Sie die berührten Systeme.
- Bewerten - rekonstruieren Sie mit dem Aktionslog genau, was der Agent tat und ob die Auswirkung auf den Dienst erheblich ist.
- Melden - falls erheblich, reichen Sie die 24-Stunden-Frühwarnung beim BSI ein, dann die 72-Stunden-Meldung, dann den Abschlussbericht binnen eines Monats8.
- Wiederherstellen - stellen Sie aus Backups wieder her, beheben Sie die Ursache (ein Prompt, ein Tool, eine Berechtigung) und testen Sie neu, bevor der Agent wieder online geht.
- Lernen - führen Sie den Vorfall zurück ins Risikoregister und in die Wirksamkeitsprüfung, damit derselbe Fehler nicht still wiederkehren kann.
Die 24-Stunden-Regel in der Praxis
Die 24-Stunden-Frühwarnung verlangt keine vollständige Analyse. Das BSI erwartet eine vorläufige Einschätzung, keinen fertigen Forensikbericht. Der Rat aus der Praxis ist unmissverständlich: lieber früh und unvollständig melden als spät und detailliert. Ein Agenten-Vorfall, der noch eingedämmt wird, ist genau das Ereignis, für das die Frühwarnung existiert23.
Lieferkette, Anbieter und Geschäftsleitungshaftung
Zwei der am meisten unterschätzten Teile von NIS2 treffen KI-Agenten-Projekte am härtesten: die Pflicht zur Absicherung der Lieferkette und die persönliche Pflicht der Geschäftsleitung. Ein Agent besteht aus Drittkomponenten und wird von benannten Geschäftsführern gebilligt, also gilt beides unmittelbar.
Die Lieferkette des Agenten
- Jede Schicht bewerten - das Basismodell, das Orchestrierungs-Framework, die Tool- und Konnektor-Integrationen und die Hosting-Umgebung sind allesamt Anbieter nach Paragraph 3012.
- Ein Anbieterzertifikat ist Nachweis, keine Entlastung - ein eigenes ISO 27001 des Anbieters hilft, erfüllt aber für sich genommen nicht Ihre Pflicht; Sie bewerten weiterhin das Risiko für Ihren Dienst14.
- Datenstandort und Verarbeitung klären - wissen Sie, wohin Prompts und Ausgaben gehen, welche Unterauftragsverarbeiter beteiligt sind und ob Daten die EU verlassen.
- Vertragliche Sicherheitsklauseln holen - Meldepflichten, Prüfrechte, Benachrichtigung bei Vorfällen und Zusagen zur sicheren Entwicklung gehören in den Vertrag, nicht auf eine Folie.
- Einen Ausstiegspfad halten - Sie müssen einen kompromittierten Anbieter abschalten oder ersetzen können, ohne Ihren Dienst zum Stillstand zu bringen.
Geschäftsleitungshaftung nach Paragraph 38
- Maßnahmen billigen - die Geschäftsleitung muss die Risikomanagementmaßnahmen nach Paragraph 30 förmlich und schriftlich billigen7.
- Umsetzung überwachen - Billigung genügt nicht; Geschäftsführer müssen überwachen, dass die Maßnahmen tatsächlich bestehen und wirken7.
- An Schulungen teilnehmen - die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen, und das muss dokumentiert sein7.
- Nicht delegierbar - diese Pflichten lassen sich nicht an Dritte auslagern; sie liegen persönlich bei der Leitung7.
- Persönliche Haftung - Geschäftsführer können für Schäden aus einer Pflichtverletzung persönlich haften, und genau das hebt NIS2 auf die Führungsebene7.
Governance von Anfang an vs. später nachrüsten
Governance ab Tag eins
- ✓ Günstiger - eingebaute Kontrollen kosten einen Bruchteil von Nachrüstungen
- ✓ Auditfähig - die Dokumentation existiert, wenn das BSI fragt
- ✓ Schnelleres Skalieren - zweiter und dritter Agent nutzen das Muster
- ✓ Haftungsschutz - die Leitung kann Billigung und Überwachung belegen
Nachrüsten nach Go-live
- ✗ Teuer - den Zugriff eines Live-Agenten umzuschneiden ist störend
- ✗ Lücken gehen live - der Agent läuft in der Zwischenzeit ungesteuert
- ✗ Keine Audit-Story - fehlende Logs lassen sich nachträglich nicht erzeugen
- ✗ Exposition - nicht gemeldete Vorfälle und ungeschulte Leitung bleiben offen
Der 90-Tage-Fahrplan zum NIS2-fähigen Agenten
Ein NIS2-fähiges Deployment ist nicht langsamer als ein normales - es ist ein normales, richtig gemacht. Hier ist ein Weg Woche für Woche, der sowohl einen funktionierenden Agenten als auch den Nachweis erzeugt, den das BSI erwartet.
Phase 1: Geltungsbereich und Design (Wochen 1-4)
- Woche 1: Regulatorischen Geltungsbereich klären - bestimmen Sie Ihre NIS2-Stufe und registrieren Sie sich beim BSI, falls noch nicht geschehen. Dokumentieren Sie die Feststellung in jedem Fall.
- Woche 2: Anwendungsfall und Datenflüsse kartieren - definieren Sie genau, was der Agent lesen, schreiben und auslösen wird und welche Systeme und Daten er berührt.
- Woche 3: Agentenidentität entwerfen - vergeben Sie eine eigene Identität, Least-Privilege-Scopes, Geheimnisspeicher und den Kill-Switch, bevor der Bau beginnt.
- Woche 4: Bedrohungsmodell und Anbieterprüfung - erstellen Sie ein Bedrohungsmodell zu Prompt Injection und Missbrauch und schließen Sie die Lieferkettenbewertung für Modell, Tools und Host ab.
Phase 2: Bauen und testen (Wochen 5-8)
- Woche 5-6: Mit Leitplanken bauen - setzen Sie den Agenten mit abgegrenzten Tools, Eingabevalidierung und vollständigem Aktionslog ab der ersten Zeile um, nicht als Nachgedanke.
- Woche 7: Red-Teaming - greifen Sie Ihren eigenen Agenten mit Injection-, Confused-Deputy- und Exfiltrationsszenarien an. Beheben Sie, was bricht.
- Woche 8: Notfallplan schreiben - finalisieren Sie die Agenten-Vorfallklasse, die Erkennungssignale und die 24/72/30-Meldeschritte. Proben Sie den Kill-Switch.
Phase 3: Ausrollen und nachweisen (Wochen 9-12)
- Woche 9: Kontrollierter Rollout - deployen Sie in begrenztem Umfang mit einem Human-in-the-Loop bei Aktionen mit hoher Auswirkung. Überwachen Sie eng.
- Woche 10-11: Ausweiten und überwachen - weiten Sie den Umfang mit wachsendem Vertrauen aus und halten Sie Logging und Alarmierung aktiv. Schulen Sie das aufsichtführende Team.
- Woche 12: Den Nachweis erzeugen - die Geschäftsleitung billigt die Maßnahmen nach Paragraph 38, dokumentiert die Schulung und legt die Unterlagen ab, die einen späteren Nachweis nach Paragraph 39 stützen.
NIS2-fähiges Go-live-Gate
- Unternehmensgeltungsbereich bestimmt und BSI-Registrierung abgeschlossen
- Agent hat eine eigene Least-Privilege-Identität
- Alle Agenten-Aktionen sind protokolliert und abfragbar
- Prompt-Injection-Red-Teaming bestanden
- Anbieterbewertung abgeschlossen, mit vertraglichen Sicherheitsklauseln
- Notfallplan geschrieben und Kill-Switch geprobt
- Geschäftsleitung hat Maßnahmen gebilligt und Schulung absolviert
- Dokumentation für einen späteren Nachweis nach Paragraph 39 abgelegt
Wie Superkind passt
Superkind baut maßgeschneiderte KI-Agenten für KMU und Konzerne - und baut sie von Anfang an so, dass sie in ein reguliertes Umfeld passen. Der Ansatz ist prozess- und kontrollzuerst: Ihre Workflows und Ihr ISMS formen den Agenten, nicht umgekehrt.
- Eigene Agentenidentität - jeder Agent erhält eine eigene Identität, abgegrenzte Zugangsdaten und Geheimnisspeicher, sodass Zugriffskontrolle und Asset-Management sauber auf Paragraph 30 abbilden.
- Least-Privilege by Design - Agenten erhalten den engsten Zugriff, mit dem der Anwendungsfall funktioniert, und der Zugriff wird überprüft, nicht einmal vergeben und vergessen.
- Vollständiges Aktionslog - jeder Lese-, Schreib- und Auslösevorgang wird in einem abfragbaren, manipulationssicheren Speicher festgehalten, sodass ein Vorfall rekonstruiert und belegt werden kann.
- Kill-Switch und Human-in-the-Loop - Aktionen mit hoher Auswirkung pausieren zur menschlichen Freigabe, und jeder Agent lässt sich binnen Minuten anhalten.
- Härtung gegen Prompt Injection - Agenten werden vor dem Go-live gegen Goal Hijacking und Confused-Deputy-Angriffe gebaut und im Red-Teaming geprüft.
- Läuft auf EU-Infrastruktur - Daten bleiben in Ihrer Infrastruktur oder in EU-gehosteten Umgebungen, mit klarem Datenstandort und verschlüsselten Verbindungen.
- Transparente Lieferkette - klare Dokumentation von Modell, Tools und Konnektoren, damit der Agent in Ihre Lieferkettenbewertung passt.
- Auditfähige Dokumentation - das Deployment erzeugt die Unterlagen, die die Leitung braucht, um Maßnahmen zu billigen und einen Nachweis nach Paragraph 39 zu stützen.
| Ansatz | Generische KI-Plattform | Superkind |
|---|---|---|
| Agentenidentität | Oft ein geteilter Schlüssel oder Nutzerkonto | Eigene Identität und Geheimnisse pro Agent |
| Zugriff | Standardmäßig breit | Least-Privilege, abgegrenzt, überprüft |
| Logging | Grundlegende Nutzungsmetriken | Vollständiges Aktionslog zur Vorfallrekonstruktion |
| Datenstandort | Oft US-gehostet | Ihre Infrastruktur oder EU-gehostet |
| Compliance-Nachweis | Ihr Problem | Teil der Lieferung |
Superkind
Pro
- ✓ NIS2-bewusst by Design - Kontrollen eingebaut, nicht nachgerüstet
- ✓ Passt in Ihr bestehendes ISMS - erweitert, was Sie betreiben, statt ein Silo zu schaffen
- ✓ EU-Datenhaltung - klarer Standort und verschlüsselte Verbindungen
- ✓ Auditfähig - Dokumentation und Logs fürs BSI
Contra
- ✗ Kein Self-Service-Tool - es bedeutet Zusammenarbeit mit unserem Team
- ✗ Braucht Prozesszugang - wir kartieren den echten Workflow, nicht nur Doku
- ✗ Kein Compliance-Dienst - wir bauen konforme Agenten, wir betreiben nicht Ihr ISMS
- ✗ Kapazitätsbegrenzt - wir arbeiten mit einer fokussierten Zahl von Kunden zugleich
Entscheidungsrahmen: einsetzen, härten oder warten
NIS2 ist kein Grund, Agenten nicht mehr einzusetzen. Es ist ein Grund, sie gut einzusetzen. Dieser Rahmen hilft Ihnen zu entscheiden, was Sie mit jeder Agentenidee auf Ihrer Liste tun.
| Situation | Was es bedeutet | Aktion |
|---|---|---|
| Betroffen, neue Agentenidee | Weiße Weste, um Governance einzubauen | Den 90-Tage-NIS2-Fahrplan durchlaufen |
| Betroffen, Agent bereits live | Wahrscheinlich ungesteuerte Exposition | Zugriff und Logging jetzt prüfen, Least-Privilege nachrüsten |
| Schatten-Agenten im Betrieb | Unbekannte Angriffsfläche außerhalb des ISMS | Entdecken, inventarisieren und unter Governance bringen oder abschalten |
| Unsicher, ob betroffen | Geltungsbereichsrisiko wächst mit Umsatz und Übernahmen | Die Betroffenheitsprüfung nach Paragraph 28 durchführen und dokumentieren |
| Zulieferer für kritische Sektoren | Kunden geben ihre Pflicht an Sie weiter | Lieferketten-Nachweise vorbereiten, auch wenn nicht direkt betroffen |
| Autonome Aktion mit hoher Auswirkung | Schadensradius zu groß für volle Autonomie | Einen Human-in-the-Loop halten, bis Kontrollen und Nachweise reifen |
„Unternehmen behandeln die Governance von KI-Agenten binär - entweder abgeriegelt oder voll vertraut - und genau das ist die Wurzel des Scheiterns.“
- Shiva Varma, Senior Director Analyst bei Gartner20
Häufig gestellte Fragen
NIS2 nennt KI-Agenten nicht ausdrücklich, deckt aber die Netz- und Informationssysteme ab, mit denen Sie Ihre wesentlichen und wichtigen Dienste erbringen. Ein KI-Agent, der aus Ihrem ERP liest, Daten zwischen Systemen bewegt oder Aktionen auslöst, ist Teil dieser Systeme. Wenn Ihr Unternehmen betroffen ist, fällt der Agent in Ihr ISMS und unter die Risikomanagementpflichten nach Paragraph 30 BSIG. Eine gesonderte KI-Ausnahme gibt es nicht.
Das NIS2-Umsetzungsgesetz, das das BSIG ändert, wurde verkündet und ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten. Registrierungs-, Melde- und Risikomanagementpflichten galten sofort. Rund 29.500 Unternehmen aus 18 Sektoren stehen nun unter BSI-Aufsicht, gegenüber etwa 4.500 unter dem früheren KRITIS-Regime.
Besonders wichtige Einrichtungen sind die größten oder kritischsten Organisationen und unterliegen der strengsten Aufsicht, einschließlich proaktiver Audits und Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen unterliegen einer leichteren, reaktiven Aufsicht und Bußgeldern bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Die Einstufung hängt von Sektor, Mitarbeiterzahl und Umsatzschwellen ab.
Paragraph 32 BSIG verlangt für erhebliche Vorfälle eine dreistufige Meldung an das BSI. Eine Frühwarnung ist innerhalb von 24 Stunden nach Kenntnisnahme fällig, eine ausführlichere Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Sind personenbezogene Daten betroffen, läuft parallel eine gesonderte Meldung nach Artikel 33 DSGVO innerhalb von 72 Stunden an die Datenschutzbehörde.
Das kann sie sein. Ein Agent, der Daten abfließen lässt, eine schädliche autonome Aktion ausführt oder durch Prompt Injection manipuliert wird, kann eine erhebliche Störung Ihres Dienstes verursachen - und genau das ist der Auslöser für die Meldepflicht. Der Test dreht sich um die Auswirkung auf den Dienst, nicht darum, ob ein Mensch oder ein Agent die Ursache war. Ihr Notfallplan sollte Agenten-Fehler als eigene Vorfallklasse behandeln.
Nein, aber es bringt Sie den größten Teil des Weges. Branchenschätzungen beziffern die Überschneidung zwischen einem reifen ISO-27001-ISMS und den Maßnahmen nach Paragraph 30 auf rund 70 bis 80 Prozent. Die Lücken, die ISO 27001 nicht vollständig abdeckt, sind die ausdrücklichen Lieferkettenpflichten, die festen 24/72/30-Meldefristen, die persönliche Verantwortung der Geschäftsleitung und spezifische Kontrollen wie Multi-Faktor-Authentifizierung. NIS2 macht die Maßnahmen zudem zu einer gesetzlichen Pflicht, nicht zu einem freiwilligen Standard.
Paragraph 38 BSIG legt Pflichten auf die Geschäftsleitung selbst. Geschäftsführer müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Diese Pflichten können nicht an Dritte delegiert werden, und die Geschäftsleitung kann für Schäden aus einer Pflichtverletzung persönlich haften. Deshalb ist NIS2 ein Thema für die Geschäftsführung, nicht nur für die IT.
Sie registrieren das Unternehmen, nicht den einzelnen Agenten. Betroffene Einrichtungen mussten sich innerhalb von drei Monaten nach Inkrafttreten, also bis zum 6. März 2026, über das BSI-Portal registrieren; eine verspätete Registrierung ist weiterhin möglich. Für Agenten kommt es darauf an, dass sie in Ihrem Asset-Inventar auftauchen und von den Risikomanagementmaßnahmen abgedeckt sind, die Sie bestätigen.
Lieferkettensicherheit ist eine der zehn Pflichtmaßnahmen nach Paragraph 30. Sie müssen die Sicherheit Ihrer unmittelbaren Anbieter und Dienstleister bewerten und steuern, einschließlich des Unternehmens, das Ihren KI-Agenten baut oder hostet. Ein eigenes ISO-27001-Zertifikat des Anbieters ist hilfreicher Nachweis, erfüllt aber für sich genommen nicht Ihre Pflicht. Sie brauchen vertragliche Sicherheitsklauseln, Klarheit über den Datenstandort und die Möglichkeit zu prüfen.
Sie tragen zwei sich verstärkende Risiken. Das erste ist das Sicherheitsrisiko eines ungesteuerten Agenten mit weitreichenden Berechtigungen - die am schnellsten wachsende Angriffsfläche in der Unternehmens-IT. Das zweite ist das regulatorische Risiko: nicht gemeldete Vorfälle, fehlendes Risikomanagement und ungeschulte Geschäftsleitung können BSI-Maßnahmen und Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes für besonders wichtige Einrichtungen auslösen.
Ja. NIS2 verbietet keine Agenten und bremst gut geführte Einführungen nicht aus. Es verlangt dasselbe, was eine kompetente Einführung ohnehin tut: einen klaren Geltungsbereich, Zugriff nach dem Least-Privilege-Prinzip, Protokollierung, einen Notfallplan und Lieferantenprüfung. Teams, die das vom ersten Pilot an einbauen, sind später schneller, weil sie Governance nie nachträglich auf einen laufenden Agenten aufsetzen müssen.
Für einen einzelnen Anwendungsfall erreicht ein fokussiertes Team eine NIS2-fähige produktive Einführung in etwa 90 Tagen. Die ersten Wochen kartieren Geltungsbereich, Datenflüsse und das Identitätsmodell des Agenten. Die mittleren Wochen bauen Least-Privilege-Zugriff, Protokollierung und den Notfallplan. Die letzten Wochen führen einen kontrollierten Rollout mit Monitoring durch und erstellen die Dokumentation, die das BSI erwartet. Das Nachrüsten eines ungesteuerten Agenten dauert länger.
Verwandte Artikel
- KI-Agenten-Sicherheit: Prompt Injection, Datenabfluss und die OWASP LLM Top 10 für den Mittelstand
- Agenten-Identität: Wie IT-Teams im Mittelstand Authentifizierung und Zugriff für KI-Agenten steuern
- DSFA für KI-Agenten: Wie der deutsche Mittelstand Artikel 35 DSGVO für Agenten-Rollouts umsetzt
- KI als Compliance-Assistent: Wie der Mittelstand Audit-Trails, Richtlinien und Reporting automatisiert
- Souveränes Unternehmensgehirn: Ihre Wissensschicht auf EU-Boden betreiben, ohne sie in die USA zu senden
Quellen
- Bundesgesetzblatt - Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG)
- Bundesregierung - Umsetzung der NIS-2-Richtlinie beschlossen
- BSI - NIS-2-Pflichten für regulierte Unternehmen
- BSI - NIS-2 Risikomanagementmaßnahmen (#nis2know)
- OpenKRITIS - NIS2-Umsetzungsgesetz in Deutschland
- secjur - NIS2 Anforderungen: 10 Pflicht-Maßnahmen nach Paragraph 30 BSIG
- secjur - NIS2 Haftung Geschäftsführer: Paragraph 38 Pflichten
- secjur - NIS2 Meldepflicht: Fristen, Ablauf und Meldewege
- secjur - NIS2 Umsetzung Deutschland: Gesetz, Fristen und Schritte
- Security-Insider - NIS2: BSI-Registrierung bis 6. März 2026
- dhpg - Registrierungspflicht nach NIS-2: BSI-Portal freigeschaltet
- NIS 2 Directive - Article 21: Cybersecurity risk-management measures
- A-LIGN - ISO 27001: The Gateway to NIS2 Compliance
- Orbiq - ISO 27001 Is Not NIS2 Compliance: What Is Actually Missing
- BSI - Jahresbericht 2025: Fortschritte bei Cybersicherheit, weiterhin hohe Verwundbarkeit
- Forschung IT-Sicherheit - BSI-Präsidentin Plattner zur Bedrohungslage
- Kiteworks - Agentic AI Attack Surface: The #1 Cyber Threat of 2026
- Gartner - 40% of Enterprise Apps Will Feature Task-Specific AI Agents by 2026
- Gartner - Six Steps to Manage AI Agent Sprawl
- Gartner - Uniform Governance Across AI Agents Will Lead to Failure (Shiva Varma)
- Practical DevSecOps - AI Security Statistics 2026
- Bessemer Venture Partners - Securing AI Agents: The Defining Challenge of 2026
- matproof - NIS2-Meldepflicht: 24h, 72h, 1 Monat
Bereit für KI-Agenten, die innerhalb der Grenzen bleiben?
Buchen Sie ein 30-minütiges Gespräch mit Henri. Wir kartieren Ihren wertvollsten Anwendungsfall und die Kontrollen, die er braucht, um ein NIS2-Audit zu bestehen - unverbindlich, ohne Verkaufsgespräch.
Demo buchen →
