NIS2 (Richtlinie (EU) 2022/2555) ist die EU-Richtlinie zur Cybersicherheit von Netz- und Informationssystemen. In Deutschland wurde sie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in das BSI-Gesetz (BSIG) übernommen. Adressiert sind besonders wichtige Einrichtungen und wichtige Einrichtungen in 18 Sektoren, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und produzierendes Gewerbe.
Die Registrierungspflicht beim BSI lief am 6. März 2026 aus. Seit Mai 2026 befindet sich das BSI in der operativen Prüfphase. Persönliche Haftung der Geschäftsleitung nach §38 BSIG ist seit 6. Dezember 2025 in Kraft.
Stand 18. Mai 2026: Nach öffentlich zitierten BSI-Angaben (über heise online, mehrfach referenziert) liegt die Registrierungsquote bei rund 38,5 Prozent. Von geschätzt 29.500 verpflichteten Einrichtungen sind etwa 11.500 registriert, rund 18.000 nicht. In Q4 2025 versandte das BSI bereits 47 formale Hinweise wegen fehlender Registrierung (securitytoday.de, 3. Mai 2026).
Für SAP-Anwender ist NIS2 nicht nur ein IT-Security-Thema. Die Anforderungen aus §30 BSIG (Risikomanagementmaßnahmen) treffen den Change-Prozess direkt: Zugriffskontrolle, Kryptografie, Schwachstellenmanagement, Sicherheitsschulungen, geordnete Veränderungsprozesse sind explizit gefordert. Wer Changes über Cloud ALM und ChaRM in einer hybriden Landschaft betreibt, ohne den Pfad nachweisbar zu auditieren, bekommt aus §30 ein Problem.
Belgien hat den Maßstab vorgegeben: erste CCB-Frist 18. April 2026, mit drei Konformitätspfaden (CyFun-Konformität, ISO 27001 Zertifizierung oder direkte CCB-Inspektion). Österreich folgt mit NISG 2026 (in Kraft 1. Oktober 2026). Deutschland steht damit unter Beobachtungsdruck der Nachbarstaaten.
Die zentralen Anker im BSIG für SAP-Anwender:
| Norm | Anforderung | SAP-Bezug |
|---|---|---|
| §30 BSIG | Risikomanagementmaßnahmen: Kryptografie, Zugriffskontrolle, Schwachstellenmanagement, Sicherheitsschulungen, geordnete Change-Prozesse | Audit-Trail von Change Request bis Deployment, SoD im Transport-Workflow, dokumentierte Notfall-Changes |
| §32 BSIG | Meldepflichten erheblicher Sicherheitsvorfälle | Frühwarnung innerhalb 24 Stunden, Folge-Meldung innerhalb 72 Stunden, Abschlussbericht innerhalb eines Monats |
| §38 BSIG | Persönliche Haftung der Geschäftsleitung | Nachweisbare Aufsichtspflicht, Schulungspflicht für die Leitungsebene |
| §61 Abs. 9 BSIG | Ultima Ratio: Aussetzung der Betriebsgenehmigung, Untersagung der Geschäftsführer-Tätigkeit | Kann bei wiederholter Nichtbefolgung von BSI-Anordnungen greifen |
| §65 BSIG | Bußgeldrahmen | Bis 10 Mio. EUR oder 2 % des Welt-Jahresumsatzes für besonders wichtige Einrichtungen, jeweils der höhere Wert |
Für die SAP-Change-Praxis bedeutet das vier konkrete Forderungen: lückenloser Audit Trail, technisch durchgesetzte Funktionstrennung, dokumentierte Notfall-Change-Prozesse, regelmäßige Sicherheitsschulung der Change-Verantwortlichen.
Cloud ALM allein deckt §30 nicht ab. Die strukturellen Lücken von SAP Cloud ALM bei Transport Sequencing, Segregation of Duties im Transport-Workflow und Objekt-Audit-Trail sind in mehreren unabhängigen Quellen dokumentiert (CoreALM 2026, REALTECH Januar 2026, blue.works ALM Coffee Party IX März 2025). Für NIS2-pflichtige Einrichtungen, die ChaRM 2027 verlieren, wird die Frage akut: Wie sieht der NIS2-konforme Change-Pfad nach SolMan aus?
Persönliche Haftung verändert das Eskalationsverhalten. §38 BSIG legt Pflichten bei der Leitungsebene ab. Das ist neu in der deutschen IT-Sicherheitslandschaft. CISOs und CIOs, die regulatorische Bedenken bisher in eine Beratungsfunktion delegierten, müssen jetzt die Geschäftsleitung dokumentiert in den Entscheidungspfad einbinden. Eine Change-Architektur, die diese Eskalation strukturell unterläuft, schafft persönliches Risiko.
Der nicht-auditable Pfad zwischen Cloud ALM und ChaRM. In hybriden Landschaften, die typisch für SAP-Bestandskunden sind, läuft ein produktiver Change oft durch mehrere Tools: Cloud ALM erfasst die Anforderung, ChaRM (oder Drittsystem) verwaltet den Transport, ein ITSM-System (Jira, ServiceNow, TOPdesk) bedient den Service-Request. Wenn an einer Schnittstelle der Audit-Trail bricht, kann §30 BSIG bei einer Aufsichtsprüfung nicht plausibel erfüllt werden.
Aufsicht in Vorbereitungsphase, nicht in Endphase. Zwischen 11. und 18. Mai 2026 wurden keine namentlich gemeldeten BSI-Bußgeldbescheide aus DACH öffentlich identifiziert. Trend Micro (Mai 2026, Pressemitteilung) und securitytoday.de erwarten die erste Welle systematischer Aufsichtsprüfungen für Q3 2026. Wer das als Entspannung liest, übersieht die Ankündigungslogik: Vorgespanne Hinweise sind das standardisierte Vorfeld großer Bußgeldverfahren.
Eine SAP-spezifische NIS2-Roadmap für Bestandskunden:
NIS2 ist in Deutschland aus der Vorbereitungsphase in die Durchsetzungsphase übergegangen. Die Aufsicht bewegt sich noch in Stichproben und Hinweisschreiben, aber die rechtlichen Voraussetzungen für Bußgelder bis 10 Mio. EUR und persönliche Haftung der Geschäftsleitung sind seit Dezember 2025 wirksam. Für SAP-Anwender wird §30 BSIG zur architektonischen Frage: Wer in einer hybriden Landschaft den Change-Pfad nicht lückenlos auditieren kann, kann die Anforderung nicht plausibel erfüllen. Die Wahl der SolMan-Nachfolge bekommt damit eine neue Dimension. Es geht nicht mehr nur um Funktionsparität zu ChaRM, sondern um die Nachweisbarkeit gegenüber Aufsicht und Geschäftsleitung. Wer Q3 2026 als Stichtag der ersten Aufsichtswelle abwartet, hat die Vorbereitungszeit, die noch bleibt, nicht zu seinem Vorteil genutzt.