NIS2 ist die Richtlinie (EU) 2022/2555, die einen einheitlichen Cybersicherheitsstandard in der EU schafft. Die deutsche Umsetzung erfolgt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), in Kraft seit dem 6. Dezember 2025. Die BSI-Registrierungsfrist nach §§ 33, 34 BSIG endete am 6. März 2026. Seit Mai 2026 befindet sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der operativen Enforcement-Phase.
NIS2 ist keine reine IT-Sicherheitspflicht. Sie ist eine Governance-Pflicht für Geschäftsleitungsorgane. § 38 BSI-Gesetz begründet eine persönliche Haftung der Leitungspersonen besonders wichtiger und wichtiger Einrichtungen. Wer ein SAP-System in einem betroffenen Sektor betreibt, muss die Patch-Management-, Incident-Reporting- und Lieferketten-Sicherheitspflichten dokumentieren können.
Der Wirkungsbereich ist in Deutschland im Vergleich zur Vorgängerrichtlinie deutlich gewachsen. Geschätzt rund 29.500 Einrichtungen sind in Deutschland betroffen, gegenüber etwa 4.500 unter dem alten NIS-Regime. Sektorabdeckung: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Industrie, Forschung, digitale Dienste, herstellendes Gewerbe.
Schwellen für die Anwendbarkeit: Mehr als 50 Beschäftigte oder mehr als 10 Mio. EUR Jahresumsatz, mit sektorspezifischen Sondervorschriften für kritische Einrichtungen. Die Reed-Smith-Analyse vom 23. Januar 2026 weist darauf hin, dass die Mehrheit der mittelständischen SAP-Anwenderunternehmen in den genannten Sektoren in den Wirkungsbereich fällt.
Sanktionsrahmen nach § 65 BSIG: Besonders wichtige Einrichtungen bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 Prozent. Zusätzlich greift § 38 BSIG mit persönlicher Haftung der Geschäftsleitung bei grober Fahrlässigkeit.
Ein operativ wichtiger Punkt: Das BSI hat im vierten Quartal 2025 förmliche Mitteilungen an 47 Einrichtungen mit fehlender Registrierung versandt. Das ist der Beginn der Eskalationskette. Die securitytoday.de-Analyse vom 3. Mai 2026 charakterisiert die belgische Enforcement-Deadline vom 18. April 2026 als DACH-Benchmark für die nächsten Quartale.
Patch-Management-Nachweis. Artikel 21 NIS2 verlangt Maßnahmen zum Risikomanagement der Cybersicherheit, einschließlich Schwachstellenbehandlung und Patch-Management. In SAP-Sprache: Welche SAP-Sicherheitsnotes wurden eingespielt, wann, mit welchem Genehmigungspfad, mit welcher Testabdeckung. Das Patch Day-Ereignis vom April 2026 mit CVE-2026-27681 (CVSS 9.9, SQL Injection in BPC und BW) und CVE-2026-34256 (fehlender AUTHORITY-CHECK in ERP und S/4HANA) ist der konkrete Anlass, an dem ein Auditor diese Nachweise einfordert.
Incident-Reporting-Fristen. § 32 BSIG verlangt eine Frühwarnung innerhalb von 24 Stunden, einen Zwischenbericht innerhalb von 72 Stunden, einen Abschlussbericht spätestens einen Monat nach dem letzten Vorfall. Der Change-Prozess muss damit nicht nur Änderungen logisch dokumentieren, sondern auch sicherheitsrelevante Vorfälle, die durch fehlerhafte Changes ausgelöst wurden, in genau diesem Zeitfenster aufbereiten.
Lieferketten-Sicherheit. Artikel 21 verlangt Anforderungen an die Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Anbietern. Für SAP-Anwenderunternehmen heißt das: SAP selbst, externe Beratungspartner mit Entwicklerzugriff, Open-Source-Komponenten in BTP-Extensions, Community-MCP-Server mit Schreibzugriff auf ABAP-Systeme. Jede Schnittstelle, die Code oder Konfiguration in die SAP-Landschaft befördert, ist Teil der Lieferkette und nachweispflichtig.
Multi-Faktor-Authentifizierung. Die ENISA Technical Implementation Guidance vom Juni 2025, präzisiert im ersten Quartal 2026, hat den Ermessensspielraum bei „where appropriate" deutlich verengt. MFA für privilegierte Zugänge, Remote-Zugänge und Lieferantenzugänge ist praktisch immer angemessen. Auf die SAP-Welt übersetzt: SAP-Basis-Administratoren, externe Berater, Service-Accounts mit produktivem Schreibzugriff, MCP-Server-Verbindungen.
Governance-Pflicht der Geschäftsleitung. § 38 BSIG fordert, dass die Geschäftsleitung die Maßnahmen genehmigt und ihre Umsetzung überwacht. Regelmäßige Schulung der Leitungspersonen wird durch das Gesetz verlangt.
Risiko 1: Veraltete Informationsstände in der Organisation. Vor dem Inkrafttreten des NIS2UmsuCG zirkulierten in vielen DACH-Unternehmen Annahmen, das Gesetz trete erst im Oktober 2026 in Kraft. Diese Annahme ist seit dem 6. Dezember 2025 falsch. Wer die Compliance-Vorbereitung auf den vermuteten Oktober-Termin terminiert hatte und ohne Anpassung weiterläuft, hat die Registrierungsfrist im März 2026 verpasst und ist im operativen Enforcement.
Risiko 2: Fehlende Brücke zwischen Information-Security-Funktion und Change-Management-Funktion. NIS2 ist in vielen Organisationen beim CISO angesiedelt, das SAP-Change-Management beim Programm-Manager oder beim SAP-Basis-Lead. Die Anforderungen nach Patch-Management-Nachweis und Incident-Reporting verlaufen über Systeme, die typischerweise diesen beiden Funktionen separat zugeordnet sind. Ohne eine Brücke fehlt das Audit-Artefakt.
Risiko 3: Unklare Behandlung von Community-MCP-Servern. Mehr als 30 inventarisierte Community-MCP-Server-Projekte für SAP-Systeme (Stand: github.com/marianfoo/sap-ai-mcp-servers, April 2026) bieten Lese- und teilweise Schreibzugriff auf ABAP-Systeme über die ADT-API. Wer in seinem Unternehmen ohne zentrale Genehmigung solche Server betreibt, hat unter NIS2 eine Lieferkettenrisiko-Komponente, die unter Artikel 21 dokumentiert werden muss. ARC-1 (Marian Zeis, 27. April 2026) als enterprise-orientierter MCP-Server mit zentralem Deployment, sicheren Defaults, schichtweiser Sicherheit, nutzerbezogener Identität und Auditierbarkeit ist ein Beispiel für die Richtung, in die sich die Community bewegt, ändert aber nichts an der Berichtspflicht des Betreibers.
Risiko 4: Begrenzte Wirkung reiner SAP-Cloud-ALM-Werkzeuge auf Compliance-Nachweis. SAP Cloud ALM bietet seit Juni 2025 einen ATC-Export-Check in den Transport Checks, mit Roadmap für ein automatisches ATC-Triggern bei Transport Release (Q1/2026 Roadmap). Das ist ein Fortschritt für Clean-Core-Compliance, schließt aber die NIS2-Anforderungen an Incident-Reporting, Lieferketten-Dokumentation und MFA nicht. Diese Bereiche liegen außerhalb der Scope von Cloud ALM.
Risiko 5: Persönliche Haftung als oft unterschätzte Dimension. § 38 BSIG ist nicht nur eine abstrakte Norm. Sie wirkt auf gesellschaftsrechtliche Konstellationen zurück, in denen die Geschäftsleitung mangels nachweisbarer Sorgfalt persönlich für Schäden einsteht, die aus IT-Sicherheitsvorfällen entstehen. Die Greenberg-Traurig-Analyse vom Dezember 2025 und die Freshfields-Analyse vom 6. Dezember 2025 weisen auf die korporative Haftungsverlängerung hin.
Erstens: Registrierungsstatus prüfen. Wer am 6. März 2026 die Registrierung versäumt hat, sollte ohne Verzögerung nachreichen und den Compliance-Befund dokumentieren. Eine nachträgliche Registrierung ist möglich, sie ändert aber nichts daran, dass die Pflichten ab dem 6. Dezember 2025 anwendbar sind. Die DLA-Piper-Analyse vom 11. Februar 2026 ist hier eindeutig.
Zweitens: Audit Trail im SAP-Change-Prozess auf NIS2-Anforderungen ausrichten. Jede Änderung an einem System im Wirkungsbereich (typischerweise S/4HANA, BW, BTP, in regulierten Sektoren auch SuccessFactors und Ariba) sollte folgende Informationen ablegen: Auslöser (Mensch, Agent, Lieferant), Genehmigender, Testabdeckung, sicherheitsrelevante Findings, Deployment-Zeitpunkt, Rollback-Plan (sofern technisch möglich; nach SAP-Hinweis 11599 sind ABAP-Transporte im Produktivsystem irreversibel).
Drittens: Incident-Workflow auf 24/72/Monat ausrichten. Der Change-Audit-Trail allein reicht nicht. Bei einem sicherheitsrelevanten Vorfall, der durch einen Change ausgelöst wurde, müssen Frühwarnung, Zwischenbericht und Abschlussbericht in den vorgeschriebenen Fristen produziert werden können. Das ist ein Prozessbild, das oft mit SOC-Tooling abgedeckt wird, aber nur dann sauber funktioniert, wenn die Change-Pipeline die nötigen Inputs liefert.
Viertens: Lieferanten-Inventar erstellen. Welche externen Parteien haben welchen Zugriff auf welche SAP-Systeme. Berater mit Entwicklerzugriff, Managed-Service-Provider, MCP-Server-Betreiber (intern oder Community), externe BTP-Extension-Lieferanten. Inventar plus Sicherheitsbeurteilung plus Vertragsklauseln. Dies ist die Artikel-21-Lieferkettenpflicht in operativer Form.
Fünftens: MFA flächendeckend. Privilegierte Accounts, Remote-Accounts, Lieferantenaccounts. SAP IDM oder GRC Access Control sind in den meisten Landschaften das geeignete Werkzeug. Für RFC-Verbindungen und Service-User gilt das Trusted-RFC-Prinzip mit Mehrfaktorabsicherung, soweit technisch unterstützt.
Sechstens: Schulungsdokumentation der Geschäftsleitung. § 38 BSIG verlangt regelmäßige Schulungen. Dokumentation der Schulungstermine, Inhalte und Teilnahmen wird im Audit gefragt.
Werkzeuge, die SAP-Anwenderunternehmen bei der NIS2-Operationalisierung im Change-Bereich unterstützen, gliedern sich in vier Funktionsgruppen.
| Anbieter / Werkzeug | Patch-Management-Nachweis | Incident-Workflow | Lieferanten-Inventar | MFA / Privilegienkontrolle |
|---|---|---|---|---|
| SAP GRC Access Control | Eingeschränkt (über Risikoanalyse) | Nicht in Scope | Eingeschränkt | Vollständig |
| SAP IDM | Nicht in Scope | Nicht in Scope | Nicht in Scope | Vollständig |
| Reine SAP Cloud ALM | Teilweise (ATC seit Juni 2025, Auto-Trigger Roadmap Q1/2026) | Nicht in Scope | Nicht in Scope | Nicht in Scope |
| Rev-Trac Platinum | Teilweise (Transport-Level-Audit) | Nicht in Scope | Nicht in Scope | Nicht in Scope |
| Basis Technologies ActiveControl | Teilweise (Transport-Audit, SoD) | Nicht in Scope | Nicht in Scope | Nicht in Scope |
| REALTECH SmartChange | Teilweise (Transport-Audit) | Nicht in Scope | Nicht in Scope | Nicht in Scope |
| ESM Suite (Orchestration Layer)¹ | Objekt-Level-Audit, ATC-Integration über EDO-Modul | Nicht in Scope (Anbindung an SOC-Tooling extern) | Nicht in Scope | Nicht in Scope |
| Onapsis Security Platform | Vollständig (Sicherheitsfokus) | Vollständig | Eingeschränkt | Nicht in Scope |
| SOC-Tools (Splunk, Elastic, IBM QRadar) | Über Datenintegration | Vollständig | Über Datenintegration | Nicht in Scope |
Solutive AG ist Initiator des Change Orchestration Institute. ESM Suite ist ein Produkt der Solutive AG. Die Capability-Aussagen zu ESM Suite sind Anbieterangaben. Externe Kundenattest liegt für Bruker im SOX-Kontext vor (Reduktion ITGC-Audit-Aufwand 70 Prozent).
Die Tabelle zeigt deutlich: Kein einzelnes Werkzeug deckt alle NIS2-relevanten Bereiche im SAP-Kontext ab. Die typische Architektur kombiniert ein Change-Governance-Werkzeug (Audit-Trail-Schicht), ein Security-Werkzeug (Onapsis oder vergleichbar für Vulnerability-Erkennung) und ein SOC-Werkzeug für Incident-Workflow.
Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist endete am 6. März 2026. Seit Mai 2026 ist die operative Enforcement-Phase aktiv, mit ersten formellen Mitteilungen an 47 Einrichtungen Ende 2025 und Belgien als DACH-Benchmark seit dem 18. April 2026. Sanktionsrahmen bis 10 Mio. EUR oder 2 Prozent Jahresumsatz, persönliche Haftung der Geschäftsleitung nach § 38 BSIG.
Für SAP-Anwenderunternehmen ergibt sich daraus eine konkrete Pflichtensumme: Patch-Management-Nachweis, 24/72-Stunden-Incident-Workflow, Lieferketten-Inventar inklusive Community-MCP-Server, MFA für privilegierte und externe Zugänge, dokumentierte Schulung der Geschäftsleitung. Reine SAP-Cloud-ALM-Werkzeuge decken die Anforderungen nicht ab. Die typische Architektur kombiniert Change-Governance, Security-Plattform und SOC-Werkzeug.
Erste Kernaussage: Das NIS2UmsuCG ist in Deutschland seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist. Die BSI-Registrierungsfrist endete am 6. März 2026, die operative Enforcement-Phase ist seit Mai 2026 aktiv. 47 Einrichtungen haben im vierten Quartal 2025 bereits förmliche Mitteilungen erhalten. Wer die Vorbereitung gegen den vermuteten Oktober-2026-Termin terminiert hatte, ist seit März im Verzug.
Zweite Kernaussage: NIS2 trifft fünf operative Bereiche im SAP-Change-Prozess gleichzeitig: Patch-Management-Nachweis (Artikel 21), Incident-Reporting nach 24/72-Stunden-Schema (§ 32), Lieferketten-Sicherheit einschließlich Community-MCP-Server, MFA für privilegierte und externe Zugänge sowie Schulungsdokumentation der Geschäftsleitung (§ 38). Die persönliche Haftung der Leitungspersonen nach § 38 BSIG ist die oft unterschätzte Dimension.
Dritte Kernaussage: Reine SAP-Cloud-ALM-Werkzeuge decken NIS2 nicht ab. Die typische Architektur kombiniert eine Change-Governance-Schicht für den Audit Trail, eine Security-Plattform für Vulnerability-Erkennung und ein SOC-Werkzeug für den Incident-Workflow mit BSI-Schnittstelle.
Bundesamt für Sicherheit in der Informationstechnik, NIS2 Informationsportal. BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG, in Kraft seit 6. Dezember 2025. ENISA, Technical Implementation Guidance NIS2, Juni 2025, präzisiert Q1/2026. Morrison Foerster, „Flipping the NIS2 Switch", 8. Dezember 2025. DLA Piper, „NIS 2 Directive Transposed in Germany", 11. Februar 2026. Reed Smith, „Germany Implements NIS2", 23. Januar 2026. Greenberg Traurig, „NIS2 Implementation Germany", Dezember 2025. Freshfields, NIS2-Umsetzungsgesetz, 6. Dezember 2025. securitytoday.de, „NIS2-Enforcement 2026: BSI-Prüfphase und DACH-Checkliste", 3. Mai 2026. Privacy World, NIS2 Germany, 6. Januar 2026. Richtlinie (EU) 2022/2555 (NIS2), EUR-Lex. SecurityWeek, „SAP April 2026 Patch Day, CVE-2026-27681 und CVE-2026-34256", April 2026. Onapsis, Vulnerability-Analyse April 2026. Pathlock, SAP-Sicherheit Q2/2026. github.com/marianfoo/sap-ai-mcp-servers, Community-MCP-Inventar Stand April 2026. blog.zeis.de, „ARC-1: Secure ADT MCP Server", 27. April 2026. digital-chiefs.de, regulatorische Überlappung NIS2/DORA/EU AI Act, Februar 2026. Computerwoche, DORA-Implementierungs-Survey, Februar 2026. DSAG Investment Report 2026, dsag.de, Februar 2026.
„Audit Trail Cross-Cutting: Wie SAP-Customer EU AI Act, SOX, NIS2 und DORA in einer Architektur abdecken", „SOX und das 4-Augen-Prinzip im SAP-Change-Prozess", „SAP DevOps und CI/CD für ABAP", „Cloud ALM vs ChaRM: Die CSOL-Lücke", „Triple Compliance: NIS2, DORA und EU AI Act im SAP-Change-Management".
Christian Steiger ist Mitgründer und Geschäftsführer der Solutive AG und beschäftigt sich seit über 15 Jahren mit SAP-Application-Lifecycle-Management, Change Orchestration und Transport-Governance in komplexen Landschaften. Seine Schwerpunkte sind die Verbindung von SAP-Basis-Praxis mit modernen Governance-Architekturen und die Integration regulatorischer Anforderungen in operative SAP-Prozesse.
Das Change Orchestration Institute ist eine unabhängige Wissensressource für SAP ALM, Change Orchestration und KI-Governance. Initiator und Research-Partner: Solutive AG, solutive.ag/kontakt.