NIS2 und SOC: Braucht mein Unternehmen ein Security Operations Center?

Die Mehrheit kleinerer betroffener Unternehmen schätzt ihre NIS2-Pflichten falsch ein. Viele gehen davon aus, dass bestehende Firewalls und ein Virenscanner ausreichen – oder dass NIS2 sie gar nicht betrifft. Seit dem 06.12.2025 ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Es gibt keine Übergangsfrist. Rund 29.500 Unternehmen in Deutschland unterliegen den neuen Pflichten, die BSI-Registrierungsfrist lief am 06.03.2026 ab.

Die zentrale Frage, die sich viele Entscheider stellen: Brauche ich jetzt ein Security Operations Center?

Die Antwort ist differenzierter als ein einfaches Ja oder Nein. NIS2 fordert kein SOC namentlich – das Gesetz ist technologieneutral formuliert. Doch die geforderten Fähigkeiten zur Erkennung, Analyse und Meldung von Sicherheitsvorfällen sind ohne eine SOC-äquivalente Lösung in der Praxis kaum umsetzbar. Dieser Artikel liefert einen sachlichen Entscheidungsrahmen: Welche Anforderungen stellt das Gesetz tatsächlich? Welche SOC-Modelle gibt es, und was kosten sie? Und für welchen Unternehmenstyp ist welcher Ansatz sinnvoll?

Was NIS2 tatsächlich verlangt: §30 BSIG im Detail

Das NIS2UmsuCG verankert die europäischen Vorgaben im deutschen BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Der zentrale Paragraph für Unternehmen ist §30 BSIG, der zehn Risikomanagementmaßnahmen vorschreibt. Nicht alle erfordern unmittelbar ein SOC – aber bei genauerem Hinsehen wird deutlich, wie viele dieser Maßnahmen operative Sicherheitsüberwachung voraussetzen.

Mapping: §30 BSIG-Maßnahmen und ihre SOC-Relevanz

| §30 BSIG-Maßnahme | SOC-Funktion | Relevanz | |---|---|---| | Bewältigung von Sicherheitsvorfällen | Erkennung, Analyse, Eindämmung, Reaktion – die Kernfunktion eines SOC | Hoch | | Aufrechterhaltung des Betriebs | Schnelle Erkennung minimiert Ausfallzeiten, SOC liefert Lagebilder für Business Continuity | Hoch | | Bewertung der Wirksamkeit von Maßnahmen | Monitoring-KPIs, Mean Time to Detect/Respond, kontinuierliche Messung der Sicherheitslage | Hoch | | Sicherheit der Lieferkette | Monitoring von Third-Party-Signalen, Erkennung kompromittierter Zulieferer-Zugänge | Mittel | | Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen | Vulnerability Management, Patch-Monitoring, Schwachstellenscans | Mittel | | Konzepte für Kryptografie und Verschlüsselung | Überwachung der korrekten Implementierung, Erkennung von Zertifikatsanomalien | Niedrig | | Zugriffskontrolle und Management von Anlagen | Privileged Access Monitoring, Erkennung ungewöhnlicher Zugriffsmuster | Mittel | | Multi-Faktor-Authentifizierung und sichere Kommunikation | Überwachung auf Umgehungsversuche, Anomalieerkennung bei Authentifizierung | Niedrig | | Konzepte für Risikoanalyse und IT-Sicherheit | SOC-Daten als Input für Risikoanalysen und Lageberichte | Mittel | | Schulungen und Cyberhygiene | Erkennung von Phishing-Versuchen, Monitoring von Social-Engineering-Angriffen | Niedrig |

Fünf der zehn Maßnahmen haben eine hohe oder mittlere SOC-Relevanz. Besonders die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs sind ohne operative Sicherheitsüberwachung nicht realistisch umsetzbar.

Meldepflichten: Das 24-72-30-Modell

Neben den Risikomanagementmaßnahmen definiert das NIS2UmsuCG strenge Meldepflichten, die bei einem erheblichen Sicherheitsvorfall greifen:

• 24 Stunden: Frühwarnung an das BSI – erste Einschätzung, ob ein erheblicher Vorfall vorliegt
• 72 Stunden: Detaillierte Meldung mit erster Bewertung des Vorfalls, Schweregrad und Auswirkungen
• 1 Monat: Abschlussbericht mit vollständiger Analyse, Ursachen und ergriffenen Maßnahmen

Die 24-Stunden-Frist ist der kritische Engpass. Sie beginnt ab dem Zeitpunkt, an dem der Vorfall erkannt wird. Ohne automatisierte Erkennung und vordefinierte Eskalationsprozesse ist diese Frist – insbesondere an Wochenenden, Feiertagen oder nachts – praktisch nicht einzuhalten. Ein detaillierter Blick auf die operative Umsetzung der NIS2-Meldefrist und wie ein SOC die Einhaltung sicherstellt zeigt die konkreten Herausforderungen.

BSI-Anforderungen: Systeme zur Angriffserkennung (SzA)

Neben dem NIS2UmsuCG selbst sind die Anforderungen des BSI an Systeme zur Angriffserkennung (SzA) ein zentraler Referenzpunkt. Die BSI-Orientierungshilfe zum Einsatz von SzA definiert drei Kernbereiche:

1. Protokollierung: Erfassung sicherheitsrelevanter Ereignisse aus Netzwerken, Systemen und Anwendungen
2. Erkennung: Automatisierte Analyse der protokollierten Daten auf Angriffsmuster und Anomalien
3. Reaktion: Definierte Prozesse zur Behandlung erkannter Angriffe

Für KRITIS-Betreiber besteht die Pflicht zum Einsatz von SzA bereits seit Mai 2023. Mit dem NIS2UmsuCG wird diese Anforderung auf alle NIS2-regulierten Unternehmen ausgedehnt – also auch auf Unternehmen, die keine kritische Infrastruktur betreiben, aber in den Anwendungsbereich der Richtlinie fallen.

Die EU-Durchführungsverordnung (CIR EU 2024/2690) konkretisiert diese Anforderungen weiter. Sie fordert unter anderem "near-real-time analysis" sicherheitsrelevanter Ereignisse, WORM-konforme (Write Once, Read Many) Speicherung von Log-Daten als Nachweismittel und ein Evidence-by-Design-Prinzip, das die Beweissicherung bereits in der Systemarchitektur verankert.

Was bedeutet das konkret? Die Kombination aus Echtzeit-Analyse, revisionssicherer Speicherung und strukturierter Reaktionsfähigkeit beschreibt im Kern die Funktionalität eines SIEM-Systems – und die organisatorische Einbettung eines SIEM erfordert operative Prozesse, die typischerweise von einem SOC bereitgestellt werden.

Braucht mein Unternehmen ein SOC? – Ein Entscheidungsrahmen

Die Frage lässt sich nicht pauschal beantworten. Entscheidend sind Unternehmensgröße, Branche, IT-Komplexität und regulatorischer Status. Die folgenden Faktoren helfen bei der Einordnung.

Faktoren, die für ein SOC sprechen

Einstufung als "besonders wichtige Einrichtung": Unternehmen mit 250 oder mehr Mitarbeitern oder über 50 Millionen Euro Jahresumsatz unterliegen der strengeren Aufsicht. Das BSI kann proaktiv Audits anordnen und Maßnahmen durchsetzen. Die Nachweispflicht gegenüber dem BSI setzt ein dokumentiertes, nachvollziehbares Sicherheitsmonitoring voraus.

KRITIS-Betreiberstatus: Betreiber kritischer Infrastrukturen haben eine explizite Pflicht zum Einsatz von Systemen zur Angriffserkennung und müssen deren Wirksamkeit gegenüber dem BSI nachweisen. Ein SOC ist hier der operative Rahmen, um diese Nachweispflicht zu erfüllen.

24/7-Betrieb: Wenn Geschäftsprozesse rund um die Uhr laufen, muss auch das Sicherheitsmonitoring den operativen Stunden entsprechen. Ein Angriff um 3 Uhr nachts, der erst am nächsten Morgen bemerkt wird, kann die 24-Stunden-Meldefrist bereits verletzen.

OT/IT-Konvergenz: NIS2 umfasst nicht nur klassische IT, sondern ausdrücklich auch Betriebstechnologie (OT). Produzierende Unternehmen mit industriellen Steuerungssystemen (ICS/SCADA) benötigen ein Monitoring, das IT- und OT-Netze gleichermaßen abdeckt. Diese Konvergenz erfordert spezialisierte SOC-Fähigkeiten.

Komplexe Lieferkette: Unternehmen mit vielen Zulieferern und Dienstleistern, die Zugang zu internen Systemen haben, müssen Third-Party-Risiken überwachen. Kompromittierte Zulieferer-Zugänge gehören zu den häufigsten Angriffsvektoren.

Branchensensitivität: Unternehmen in den Sektoren Energie, Gesundheit, Transport, digitale Infrastruktur, Finanzwesen und Trinkwasserversorgung unterliegen besonderer Aufsicht und haben ein erhöhtes Angriffsrisiko.

Faktoren, bei denen ein leichterer Ansatz ausreichen kann

Einstufung als "wichtige Einrichtung": Unternehmen mit 50 bis 249 Mitarbeitern unterliegen einer Ex-post-Aufsicht – das BSI wird erst nach einem Vorfall aktiv. Die Bußgeldobergrenzen sind niedriger, und die Nachweispflichten weniger engmaschig.

Geringe IT-Komplexität: Unternehmen mit einer kleinen, überschaubaren IT-Landschaft und wenigen Endpoints können mit einem schlankeren Ansatz auskommen – etwa einem Managed Detection and Response (MDR) Service ohne vollwertiges SOC.

Vorhandenes reifes ISMS: Unternehmen mit einer bestehenden ISO-27001-Zertifizierung decken bereits 70 bis 80 Prozent der NIS2-Anforderungen ab. Die fehlenden 20 bis 30 Prozent betreffen vor allem die operative Erkennung und Meldung – hier kann ein gezielter Ausbau ausreichen.

Sechs Kernfragen zur Selbsteinschätzung

1. Wie viele Assets und Endpoints müssen überwacht werden? Ab mehreren hundert Endpoints steigt die Komplexität, die ein strukturiertes Monitoring erfordert.
2. Ist 24/7-Monitoring erforderlich? Wenn ja, ist ein SOC oder Managed SOC praktisch alternativlos – internes Personal in drei Schichten vorzuhalten ist für die meisten Unternehmen nicht wirtschaftlich.
3. Kann das bestehende IT-Team Incident Detection und Response absorbieren? In vielen Unternehmen ist das IT-Team bereits mit dem Tagesgeschäft ausgelastet. Sicherheitsmonitoring "nebenbei" führt zu blinden Flecken.
4. Wie sieht die aktuelle Meldefähigkeit aus? Kann Ihr Unternehmen heute – an einem Freitagabend – einen erheblichen Vorfall innerhalb von 24 Stunden erkennen, bewerten und an das BSI melden?
5. Steht Budget für 6 bis 9 SOC-Analysten zur Verfügung? Ein internes SOC im 24/7-Betrieb erfordert mindestens 6 bis 9 Vollzeitkräfte allein für die Analyse – bei einem Personalkostenrahmen von 650.000 bis 1.000.000 Euro pro Jahr.
6. Wie hoch ist die Risikotoleranz? Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes stehen im Raum. Steht dieses Risiko in einem vertretbaren Verhältnis zur Investition in Monitoring?

SOC-Modelle im Vergleich: Intern, Managed oder Hybrid?

Die Entscheidung für ein SOC ist nicht binär. Es gibt verschiedene Betriebsmodelle mit unterschiedlichen Kosten, Aufbauzeiten und Eignungen. Die folgende Übersicht zeigt die gängigsten Optionen.

Vergleichstabelle

| Modell | Jährliche Kosten (ca.) | Aufbauzeit | Geeignet für | |---|---|---|---| | Internes SOC (24/7) | ab 1.086.000 EUR | 18-24 Monate | Konzerne ab 10.000 MA | | Managed SOC / SOCaaS | 120.000-300.000 EUR | 3-6 Monate | Mittelstand / Großunternehmen 250-10.000 MA | | Managed Detection and Response (MDR) | 60.000-180.000 EUR | 1-3 Monate | Fokus auf Detection, schlanke Aufstellung | | Hybrid SOC | 300.000-600.000 EUR | 6-12 Monate | Flexibelster Ansatz, mittlere bis große Unternehmen | | Nur SIEM (ohne SOC) | 40.000-120.000 EUR | 1-3 Monate | Ergänzung, nicht alleinstehend NIS2-konform |

Internes SOC

Ein vollwertiges internes SOC im 24/7-Betrieb erfordert mindestens 6 bis 9 Vollzeitkräfte für die Security-Analyse – verteilt auf drei Schichten, plus Urlaubs- und Krankheitsvertretung. Dazu kommen Teamleitung, Engineering und Management. Die reinen Personalkosten liegen bei etwa 650.000 Euro pro Jahr. Hinzu kommen Infrastrukturkosten für SIEM-Lizenzierung, Threat Intelligence Feeds, Ticketing-Systeme und Schulungen – in Summe weitere 350.000 bis 436.000 Euro.

Der größte Engpass ist der Fachkräftemangel. In Deutschland fehlen über 137.000 IT-Fachkräfte, im Bereich Cybersicherheit ist die Lücke besonders ausgeprägt. Qualifizierte SOC-Analysten zu rekrutieren und zu halten ist für viele Unternehmen eine Herausforderung, die den Aufbau um Monate verzögern kann.

Fazit: Sinnvoll für Konzerne ab 10.000 Mitarbeitern mit entsprechendem Budget und der Fähigkeit, Fachkräfte zu binden. Für Mittelstand und Großunternehmen unterhalb dieser Schwelle überwiegen die Kosten und der Aufwand bei der Personalgewinnung den Nutzen gegenüber einem Managed- oder Hybrid-Ansatz.

Managed SOC / SOC as a Service

Ein Managed SOC wird von einem externen Dienstleister betrieben, der Monitoring, Erkennung und Erstreaktion übernimmt. Die Kostenersparnis gegenüber einem internen SOC liegt bei 70 bis 75 Prozent. Der Start ist innerhalb von 3 bis 6 Monaten möglich, da Infrastruktur und Personal beim Anbieter bereits vorhanden sind.

Wichtig zu verstehen: Die rechtliche Verantwortung für die NIS2-Compliance bleibt vollständig beim Unternehmen. Ein Managed SOC entlastet operativ, entbindet aber nicht von der Pflicht, die Wirksamkeit der Maßnahmen zu überwachen und gegenüber dem BSI nachzuweisen.

Fazit: Der pragmatischste Weg für den Mittelstand. Schneller Start, kalkulierbare Kosten, professionelle Umsetzung.

Managed Detection and Response (MDR)

MDR-Dienste konzentrieren sich auf die Erkennung und Reaktion auf Bedrohungen, ohne den vollen Umfang eines SOC abzubilden. Sie setzen typischerweise auf Endpoint Detection and Response (EDR) als Kerntechnologie und ergänzen diese um menschliche Analyse. MDR kann ein sinnvoller Einstieg sein, deckt aber möglicherweise nicht alle NIS2-Anforderungen ab – insbesondere bei der Netzwerküberwachung und der umfassenden Protokollierung.

Fazit: Geeignet als Einstiegslösung für kleinere betroffene Unternehmen oder als Ergänzung zu bestehenden Maßnahmen.

Hybrid SOC

Das Hybrid-Modell kombiniert interne Security-Kompetenz mit externem Monitoring. Typischerweise beschäftigt das Unternehmen einen CISO oder Security-Manager, der die Sicherheitsstrategie verantwortet, während das operative 24/7-Monitoring an einen Managed-SOC-Anbieter ausgelagert wird. Dieses Modell gewinnt zunehmend an Bedeutung, weil es die strategische Kontrolle im Unternehmen belässt und gleichzeitig die operative Last verteilt.

Fazit: Zunehmend empfohlenes Modell für Unternehmen, die strategische Kontrolle behalten, aber nicht die vollen Kosten eines internen SOC tragen wollen.

Warum "nur SIEM" nicht reicht

Ein verbreiteter Irrtum ist die Annahme, dass die Beschaffung eines SIEM-Systems (Security Information and Event Management) allein die NIS2-Anforderungen erfüllt. Ein SIEM ist ein Werkzeug – ohne definierte Prozesse, geschultes Personal und klare Verantwortlichkeiten bleibt es ein teures Dashboard, das niemand systematisch überwacht.

NIS2 fordert nicht nur Technologie, sondern nachweisbare Prozesse: Wer bewertet Alarme? Wer entscheidet über Eskalationen? Wer erstellt die BSI-Meldung? Wer dokumentiert die Maßnahmen? Diese Fragen muss ein SOC – ob intern oder extern – beantworten.

Die häufigsten Irrtümer zu NIS2 und SOC

Irrtum 1: "NIS2 schreibt ein SOC vor"

Das NIS2UmsuCG ist technologieneutral formuliert. Es fordert Fähigkeiten, keine spezifischen Technologien oder Organisationsformen. Allerdings sind die geforderten Fähigkeiten – kontinuierliche Erkennung, strukturierte Reaktion, nachweisbare Meldeprozesse – in der Praxis ohne SOC-äquivalente Strukturen kaum umsetzbar. Die Technologieneutralität bedeutet Wahlfreiheit bei der Umsetzung, nicht bei der Zielerreichung.

Irrtum 2: "Ein SIEM installieren = NIS2-konform"

Ein SIEM ohne operative Einbettung ist wie ein Rauchmelder ohne Feuerwehr. Die Technologie erkennt Signale, aber ohne Prozesse zur Bewertung, Eskalation und Reaktion fehlt die operative Handlungsfähigkeit. NIS2 fordert nachweisbare Wirksamkeit – und diese entsteht erst durch das Zusammenspiel von Technologie, Prozessen und Personal.

Irrtum 3: "Compliance lässt sich komplett outsourcen"

Managed SOC und MDR-Dienste sind wertvolle Werkzeuge, aber sie übernehmen nicht die rechtliche Verantwortung. Die Geschäftsleitung bleibt nach §30 BSIG persönlich verantwortlich für die Umsetzung angemessener Risikomanagementmaßnahmen. Outsourcing entlastet operativ, entbindet aber nicht von der Überwachungspflicht.

Irrtum 4: "Kleine Unternehmen unter 250 Mitarbeitern brauchen kein SOC"

NIS2 greift nicht erst ab 250 Mitarbeitern. Bereits Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz können als "wichtige Einrichtungen" eingestuft werden. In bestimmten Sektoren – etwa digitale Infrastruktur oder Trinkwasserversorgung – gelten die Pflichten sogar unabhängig von der Unternehmensgröße.

Irrtum 5: "SOC = nur IT-Monitoring"

NIS2 umfasst ausdrücklich IT und OT (Betriebstechnologie). Produzierende Unternehmen mit industriellen Steuerungssystemen (ICS/SCADA) müssen auch diese Umgebungen überwachen. Ein SOC, das nur klassische IT-Systeme abdeckt, hinterlässt eine gefährliche Lücke. Die Erkennung von Ransomware muss sowohl IT- als auch OT-Umgebungen einbeziehen. Moderne Angreifer nutzen zunehmend die Verbindungspunkte zwischen IT und OT als Einfallstor – ein wirksames Monitoring muss diese Konvergenz abbilden.

Geschäftsführerhaftung: Warum SOC-Entscheidungen Chefsache sind

Ein Aspekt, der in der technischen Diskussion häufig untergeht: Die Entscheidung über das Sicherheitsmonitoring ist keine reine IT-Entscheidung. §38 BSIG verankert eine persönliche Verantwortung der Geschäftsleitung für die Umsetzung der Risikomanagementmaßnahmen nach §30.

Die Konsequenzen sind konkret: Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Diese Bußgelder können nicht nur gegen das Unternehmen, sondern auch gegen die verantwortlichen Geschäftsführer persönlich verhängt werden.

Entscheidend ist: Die Haftung lässt sich nicht vollständig delegieren. Auch wenn die operative Umsetzung an einen CISO oder einen externen Dienstleister übertragen wird, muss die Geschäftsleitung die Angemessenheit und Wirksamkeit der Maßnahmen überwachen. Diese Oversight-Pflicht setzt voraus, dass die Geschäftsleitung die Sicherheitslage des Unternehmens kennt – und das erfordert regelmäßige Berichte über den Status des Sicherheitsmonitorings.

Ein weiterer oft übersehener Punkt: Cyberversicherungen decken regulatorische Bußgelder typischerweise nicht ab. Eine Versicherung kann Kosten für Incident Response, Forensik und Betriebsunterbrechung abfedern – aber das Bußgeld wegen mangelhafter Compliance bleibt beim Unternehmen und bei der Geschäftsleitung.

Die Verbindung ist klar: Eine bewusste Entscheidung gegen angemessenes Sicherheitsmonitoring – trotz Kenntnis der gesetzlichen Anforderungen – stellt ein persönliches Haftungsrisiko für die Geschäftsleitung dar. Die Dokumentation dieser Entscheidung (oder deren Ausbleiben) kann im Ernstfall den Unterschied zwischen einem vertretbaren Restrisiko und persönlicher Haftung bedeuten.

Fazit und nächste Schritte

NIS2 fordert SOC-Fähigkeiten, nicht zwingend ein SOC als organisatorische Einheit. Doch ohne eine vergleichbare Lösung – ob intern, extern oder hybrid – ist die Erfüllung der Anforderungen an Erkennung, Reaktion und Meldung in der Praxis unrealistisch. Die Technologieneutralität des Gesetzes gibt Spielraum bei der Umsetzung, nicht bei der Zielerreichung.

Handlungsempfehlung nach Unternehmenstyp

Konzerne und KRITIS-Betreiber (ab 10.000 MA oder KRITIS-Status): Internes oder Hybrid-SOC aufbauen. Die Nachweispflichten gegenüber dem BSI und die proaktive Aufsicht erfordern ein hohes Maß an dokumentierter Sicherheitskompetenz im Unternehmen. Erst ab dieser Größenordnung lohnt sich der Aufbau eines eigenen SOC wirtschaftlich – darunter übersteigen die Kosten für Personal, Infrastruktur und Fachkräftegewinnung den Nutzen gegenüber einem externen Ansatz.

Mittelstand und Großunternehmen (250-10.000 MA): Managed SOC oder Hybrid-SOC als pragmatischster Weg. Innerhalb von 3 bis 6 Monaten betriebsbereit, kalkulierbare Kosten zwischen 120.000 und 300.000 Euro pro Jahr. Die strategische Steuerung sollte intern beim CISO oder IT-Leiter verbleiben.

Kleinere betroffene Unternehmen (50-249 MA): MDR-Dienste kombiniert mit strukturierten Incident-Response-Prozessen als Minimum. Ergänzt durch ein grundlegendes SIEM und klare Verantwortlichkeiten für die Meldeprozesse. Ein Framework wie MITRE ATT&CK kann dabei helfen, die Abdeckung systematisch zu bewerten.

Unabhängig vom gewählten Modell gilt: Die Entscheidung sollte jetzt fallen. Das NIS2UmsuCG ist in Kraft, Übergangsfristen gibt es nicht, und der Aufbau eines wirksamen Sicherheitsmonitorings braucht Zeit – selbst bei einem Managed-Ansatz.

DeltaSecure unterstützt Unternehmen bei der individuellen Bewertung ihrer NIS2-Anforderungen und der Auswahl des passenden SOC-Modells. Vereinbaren Sie ein unverbindliches Erstgespräch, um Ihre spezifische Situation zu analysieren.