NIS2 Forschung: Welche Forschungseinrichtungen betroffen sind und wie Sie die Umsetzung organisieren.

Die Forschung zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für betroffene Forschungseinrichtungen heißt das konkret: Die Umsetzungsfrist der Richtlinie endete am 17. Oktober 2024, in Deutschland gilt der neue BSIG-Rahmen seit dem 6. Dezember 2025, erhebliche Vorfälle sind binnen 24 Stunden anzumelden, und der Sanktionsrahmen reicht unionsrechtlich bis 10 Mio. EUR oder 2 Prozent Jahresumsatz.

Für das Keyword NIS2 Forschung ist die wichtigste Einordnung deshalb nicht theoretisch, sondern operativ. Forschungseinrichtungen arbeiten mit besonders schützenswerten Daten, verteilten Kollaborationen, Labor- und Spezialgeräten, Cloud-Plattformen, Drittmittelprojekten und häufig auch mit internationalen Partnern. Genau diese Mischung macht die Branche unter NIS2 anspruchsvoll: Nicht jede Forschungseinheit ist automatisch betroffen, aber dort, wo die Einstufung greift, reichen allgemeine IT-Sicherheitsfloskeln nicht mehr aus.

Wer zuerst die Rechtsgrundlage sortieren will, sollte die Vergleichsseite zu CRA vs. NIS2, die operative Einordnung von Organhaftung bei IT-Sicherheit, die Glossarbegriffe zu Meldepflicht und Informationssicherheit sowie die CTA zur NIS2 Schulung parallel heranziehen. Für Forschungseinrichtungen ist genau diese Verzahnung aus Recht, Technik, Governance und Schulung entscheidend.

NIS2 in der Forschung-Branche: Überblick

NIS2 reguliert die Forschung in Deutschland ausdrücklich. Anlage 2 BSIG nennt Forschungseinrichtungen als wichtige Einrichtungen. Das ist ein zentraler Unterschied zur alten Wahrnehmung, wonach Cybersicherheitsregulierung nur klassische KRITIS-Betreiber, Energie oder Telekommunikation betreffe. Die Forschung ist heute nicht bloß mittelbar betroffen, sondern ausdrücklich im sektoralen Anwendungsbereich genannt.

Die eigentliche Schwierigkeit liegt aber in der Einzelfallprüfung. § 28 BSIG knüpft die Einordnung wichtiger Einrichtungen grundsätzlich an Größe und an die Frage, ob die betreffende juristische Person anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet. Für die Forschung bedeutet das: Besonders relevant sind private Institute, Auftragsforschung, Prüf- und Laborservices, kliniknahe Forschungsdienstleister, translational arbeitende Organisationen, Forschungsverbünde mit eigenständigen Serviceeinheiten und Ausgründungen mit regulierten Leistungen. Bei rein öffentlich-rechtlichen Hochschulstrukturen, Nebentätigkeiten oder landesrechtlich besonders geregelten Organisationseinheiten ist die Lage deutlich differenzierter.

Die NIS2-Logik ist für die Forschung deshalb zweistufig. Erstens müssen Sie sauber prüfen, ob die Organisation überhaupt als betroffene Einrichtung einzuordnen ist. Zweitens müssen Sie, wenn die Antwort Ja lautet, nicht nur technische Kontrollen einführen, sondern ein dokumentiertes Governance-System aufbauen. Dazu gehören Risikomanagement, Lieferkettensicherheit, Vorfallbearbeitung, Notfallfähigkeit, Zugriffskontrolle, Kryptografie und Schulung. Gerade Forschungsorganisationen unterschätzen häufig, dass NIS2 kein reines CISO-Thema ist, sondern Management, Laborleitung, Einkauf und Projektverantwortliche mit einbindet.

Welche Forschung-Unternehmen sind betroffen?

Betroffen sind vor allem Forschungseinrichtungen, die nicht nur intern experimentieren, sondern nach außen Leistungen erbringen und die Größenkriterien erreichen. Das betrifft in der Praxis besonders:

Die Forschung ist außerdem selten isoliert. Viele Einrichtungen sind gleichzeitig in angrenzende regulierte Umfelder eingebunden, etwa Gesundheitswesen, Pharma, Medizintechnik, digitale Infrastruktur oder öffentliche Verwaltung. Ein biomedizinisches Forschungsinstitut kann beispielsweise nicht nur wegen Anlage 2 BSIG relevant sein, sondern zugleich in Lieferketten für Arzneimittelforschung, Medizintechnik oder Krankenhaus-IT eingebettet sein. Dadurch steigen die faktischen Erwartungen an Sicherheitsorganisation, auch wenn juristisch nur ein Teil der Pflichten unmittelbar aus NIS2 folgt.

Praktisch sollten Sie deshalb nicht nur auf die eigene Bezeichnung schauen. Ein „Institut“, „Center“, „Hub“ oder „Labor“ ist kein Rechtsargument. Entscheidend ist, welche juristische Person welche Dienste anbietet, wie groß sie ist, welche Systeme für diese Dienste erforderlich sind und ob die betreffende Tätigkeit im Verhältnis zur Gesamtgeschäftstätigkeit vernachlässigbar ist. Gerade in Unternehmensgruppen, Hochschulverbünden und Ausgründungsstrukturen ist das die Stelle, an der Fehleinschätzungen entstehen.

Ein häufiger Fehler ist außerdem die Unterschätzung digitaler Abhängigkeiten. Forschung ist heute datenintensiv, cloudgestützt und gerätegetrieben. Wer Sequenzierungsdaten, Studienplattformen, Hochleistungsrechnen, Laborautomatisierung, Remote-Wartung oder internationale Kollaboration nutzt, bewegt sich organisatorisch längst in einer Resilienzlogik, die NIS2 sehr ernst nimmt. Die Frage ist dann nicht mehr, ob Cybersecurity wichtig ist, sondern ob sie belastbar organisiert und nachweisbar gesteuert wird.

Spezifische NIS2-Anforderungen für Forschung

Die Forschung unterliegt keinem komplett eigenen Parallelgesetz, sondern dem allgemeinen NIS2- und BSIG-Maßnahmenrahmen. § 30 BSIG ist dabei die zentrale Vorschrift. Forschungseinrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen dokumentiert umsetzen. Für die Forschung sind daraus besonders fünf Anforderungsblöcke relevant.

Erstens ist Risikoanalyse kein Papier, sondern ein Betriebsmodell. Forschungseinrichtungen müssen verstehen, welche Dienste sie tatsächlich erbringen und welche Systeme dafür kritisch sind. Das betrifft nicht nur zentrale Rechenzentren, sondern auch Laborinformationssysteme, Geräte-Controller, Forschungsdatenplattformen, Identitätsmanagement, Projekt-Speicher, ELN/LIMS-Umgebungen, Datenpipelines, Spezialsoftware und Kollaborationstools. Wer nur Office-IT betrachtet, verfehlt die eigentliche Angriffsfläche.

Zweitens ist Incident Handling in der Forschung besonders anspruchsvoll. Forschungsvorfälle sind selten „nur IT“. Ein kompromittiertes Laborgerät, manipulierte Versuchsdaten, eine verschlüsselte Auswerteumgebung oder ein stillgelegter Datenzugang kann Projektfristen, Validität von Ergebnissen, Förderauflagen und in Life-Sciences-Kontexten sogar regulatorische oder patientennahe Folgen auslösen. Deshalb verlangt § 32 BSIG nicht nur irgendeine Meldung, sondern eine frühe Erstmeldung binnen 24 Stunden, eine weitergehende Meldung binnen 72 Stunden und grundsätzlich einen Abschlussbericht nach einem Monat.

Drittens ist Lieferkettensicherheit in der Forschung kein Nebenthema. Forschung arbeitet typischerweise mit Herstellern von Laborgeräten, Wartungsfirmen, Softwareanbietern, Cloud-Plattformen, externen CROs, Datentreuhändern, Statistik-Dienstleistern und oft auch mit zeitlich begrenzten Projektkonsortien. § 30 Abs. 2 Nr. 4 BSIG nennt die Sicherheit der Lieferkette ausdrücklich. Für die Forschung bedeutet das: Wartungszugänge, Fernzugriff, Updatefähigkeit, End-of-Life-Risiken, API-Schnittstellen und Vertragsstandards müssen aktiv gesteuert werden.

Viertens braucht die Forschung belastbare Betriebsfortführung. § 30 Abs. 2 Nr. 3 BSIG nennt ausdrücklich Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement. In der Forschung reicht es aber nicht, nur allgemeine Backups zu besitzen. Sie müssen auch wissen, welche Daten reproduzierbar sind, welche Messreihen unwiederbringlich verloren wären, welche Laborprozesse zeitkritisch sind und welche Geräte nach einem Vorfall neu validiert werden müssten. Business Continuity in der Forschung ist damit deutlich mehr als ein Fileserver-Backup.

Fünftens sind Schulung und Sensibilisierung ausdrücklich Teil des Maßnahmenkatalogs. § 30 Abs. 2 Nr. 7 BSIG verlangt grundlegende Schulungen und Sensibilisierungsmaßnahmen. § 38 BSIG verpflichtet zusätzlich die Geschäftsleitung selbst zu regelmäßigen Schulungen. Für die Forschung ist das besonders relevant, weil die Branche oft mit hochqualifizierten Fachrollen arbeitet, die wissenschaftlich exzellent sind, aber regulatorische und organisatorische Cyberpflichten nicht automatisch mitdenken. Gute NIS2 Schulung bedeutet hier nicht generische Awareness-Folien, sondern rollenbezogene Einordnung.

Branchenspezifische Herausforderungen

Die größte Herausforderung in der Forschung ist die Heterogenität der Systeme. Ein Energieversorger oder ein klassischer Rechenzentrumsbetreiber hat oft klarere Kernsysteme als ein Forschungsverbund. Forschung kombiniert Standard-IT mit individuellen Laborgeräten, Spezialsoftware, Prototypen, Forschungsdatenbanken, externen Kollaborationsplattformen und häufig historisch gewachsenen Insellösungen. Das erschwert Asset-Management, Patchprozesse, Monitoring und Incident Response erheblich.

Hinzu kommt die Spannung zwischen Offenheit und Schutzbedarf. Forschung lebt von Kooperation, Datenaustausch und schneller Projektarbeit. Gerade deshalb werden Sicherheitsregeln oft als Reibungsverlust empfunden. NIS2 zwingt die Branche dazu, diese Spannung organisatorisch auszuhalten, statt sie durch informelle Ausnahmen zu verdrängen. Geteilte Accounts, unkontrollierte externe Datenspeicher, ungeprüfte SaaS-Nutzung oder dauerhafte Wartungszugänge sind im Forschungsalltag verbreitet, aber unter NIS2 hochproblematisch.

Ein drittes Risiko liegt in der Wertigkeit der Forschungsdaten. Nicht jede Forschungsdatei ist gleich sensibel, aber viele Institute verarbeiten Vorveröffentlichungen, proprietäre Verfahren, Studienergebnisse, geistiges Eigentum, personenbezogene Daten oder sicherheitsrelevantes Know-how. Angriffe auf Forschung zielen deshalb häufig nicht nur auf Betriebsunterbrechung, sondern auch auf Exfiltration. Für die Priorisierung von Kryptografie, Zugriffskontrolle und Lieferantensteuerung ist das entscheidend.

Ein vierter Punkt ist die organisatorische Mehrstufigkeit. Forschungseinrichtungen arbeiten oft mit Drittmittelgebern, Konsortialpartnern, Ethikvorgaben, Qualitätsmanagement, Hochschul- oder Konzernstrukturen und internationalen Partnern. Dadurch entstehen unklare Verantwortlichkeiten. Wer meldet den Vorfall? Wer bewertet die Erheblichkeit? Wer informiert die Geschäftsleitung? Wer entscheidet über Systemabschaltung oder forensische Sicherung? Genau hier scheitern viele Organisationen nicht an Technik, sondern an Governance.

Praxisbeispiel: kliniknahe Arzneimittelforschung mit verteilten Partnern

Ein besonders anschauliches Praxisbeispiel aus der internen Research-Basis ist die kliniknahe Arzneimittelforschung. In der deutschen Umsetzungslogik taucht Forschung an dieser Stelle gleich doppelt auf: Zum einen nennt die allgemeine Sektorlogik Forschungseinrichtungen in Anlage 2 BSIG. Zum anderen führt Anlage 1 BSIG im Gesundheitswesen ausdrücklich Unternehmen auf, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben. Das zeigt, wie eng Forschung, Gesundheit und Lieferketten in der Praxis ineinandergreifen.

Stellen Sie sich eine mittelgroße Forschungsorganisation vor, die Wirkstoffscreening, Studiendatenanalyse und Laborvalidierung für mehrere Partner erbringt. Die Einrichtung nutzt ein LIMS, mehrere spezialisierte Laborgeräte mit Hersteller-Fernwartung, Cloud-Speicher für Projektkonsortien, externe Statistikpartner und kliniknahe Datenquellen. Ein Ransomware-Vorfall verschlüsselt nicht nur Office-Systeme, sondern auch Auswerteumgebungen, Projektakten und den Zugriff auf Gerätesteuerungen. Parallel besteht das Risiko, dass Daten vor der Verschlüsselung exfiltriert wurden.

Genau in diesem Szenario zeigt sich der Unterschied zwischen allgemeiner IT-Sicherheit und NIS2-Reife. Eine NIS2-fähige Einrichtung hätte vorab mindestens vier Dinge geklärt: erstens, welche Dienste als kritisch gelten; zweitens, welche Lieferanten und Drittparteien Zugriff auf welche Systeme haben; drittens, wie der 24-Stunden-Meldepfad organisatorisch funktioniert; viertens, welche Rollen geschult und entscheidungsbefugt sind. Ohne diese Vorarbeit wird aus einem technischen Vorfall binnen Stunden eine Managementkrise.

Das Beispiel zeigt außerdem, warum Forschung branchenspezifische Schulung braucht. Laborleitung, IT, Datenschutz, Einkauf, Projektverantwortliche und Geschäftsleitung sehen denselben Vorfall aus völlig unterschiedlichen Blickwinkeln. NIS2 verlangt aber, dass diese Perspektiven in einem belastbaren Betriebs- und Meldeprozess zusammenfinden. Genau das ist der praktische Mehrwert einer spezialisierten NIS2 Schulung: Sie reduziert Abstimmungschaos vor dem Ernstfall.

Zusätzliche branchenspezifische Regulierungen

NIS2 ist in der Forschung oft nur die Basisschicht. Je nach Teilsektor kommen weitere Regelwerke hinzu. Life-Sciences-nahe Forschung muss häufig Datenschutz, Arzneimittelrecht, klinische Studienregeln, Qualitätsanforderungen, Laborstandards und vertragliche Sicherheitsauflagen gleichzeitig beachten. Forschungsorganisationen in Gesundheit und Pharma arbeiten zudem oft mit besonders schutzwürdigen Daten und eng regulierten Lieferketten.

Auch das Verhältnis zur öffentlichen Hand ist relevant. Öffentliche Hochschulen, landesnahe Forschungseinrichtungen oder öffentlich beauftragte Strukturen können neben NIS2 weitere Vorgaben aus Hochschul-, Vergabe-, Haushalts- oder Landesrecht berücksichtigen müssen. NIS2 ersetzt diese Regeln nicht. Sie schafft aber einen stärkeren Mindeststandard für Cyberrisikomanagement, Meldewege und Leitungspflichten, wenn die Einrichtung im Anwendungsbereich liegt.

Für Forschungseinrichtungen mit eigener digitaler Plattform oder mit kritischen digitalen Diensten kann zusätzlich digitale Infrastruktur- oder Cloud-Regulierung faktisch relevant werden. Das gilt besonders bei großen Datenplattformen, Hochleistungsrechenumgebungen, Forschungsclouds oder verteilten Identitätsdiensten. Nicht jedes Forschungszentrum wird dadurch automatisch zu einem digitalen Infrastruktur-Anbieter. Die Abgrenzung sollte aber früh erfolgen, weil technische Architektur und regulatorische Einordnung eng zusammenhängen.

Die richtige Schlussfolgerung lautet deshalb: Forschung braucht keine isolierte NIS2-Sicht, sondern eine gestapelte Compliance-Sicht. Prüfen Sie zuerst, ob NIS2 unmittelbar greift. Prüfen Sie danach, welche sektoralen oder vertraglichen Vorgaben zusätzlich relevant sind. Und bauen Sie schließlich ein gemeinsames Schulungs- und Governance-Modell, das diese Ebenen für Management und Fachbereiche verständlich macht.

Checkliste für Forschung-Unternehmen

Forschungseinrichtungen sollten NIS2 nicht mit einer Einzelmaßnahme beantworten, sondern mit einer kompakten Umsetzungsroutine. Diese sieben Schritte sind dafür die praktikabelste Reihenfolge:

1. Einstufung juristisch prüfen: Klären Sie, welche juristische Person betroffen ist, welche Leistungen entgeltlich erbracht werden und ob die Größenkriterien nach § 28 BSIG erfüllt sind.
2. Kritische Dienste definieren: Listen Sie auf, welche Forschungs-, Labor-, Daten- oder Serviceleistungen im Ausfallfall geschäftskritisch oder meldepflichtig wären.
3. Systemlandkarte erstellen: Verbinden Sie Office-IT, Forschungs-IT, Laborgeräte, Cloud-Dienste, Identitäten, Schnittstellen und Fernwartungszugänge in einem gemeinsamen Inventar.
4. Lieferketten priorisieren: Bewerten Sie Cloud-Anbieter, Gerätesoftware, Wartungspartner, CROs, Statistikdienste und Datenplattformen nach Zugriff, Kritikalität und Ausfallrisiko.
5. Meldeprozess definieren: Legen Sie fest, wer erhebliche Vorfälle erkennt, bewertet, an das BSI meldet und intern eskaliert.
6. Geschäftsleitung und Schlüsselrollen schulen: Schulen Sie Management, IT, Informationssicherheit, Laborleitung, Einkauf und Projektverantwortliche rollenbezogen statt mit einer Einheitspräsentation.
7. Nachweise dokumentieren: Halten Sie Risikobewertungen, Maßnahmen, Übungen, Schulungen und Verantwortlichkeiten so fest, dass sie in Audits und Kundenprüfungen belastbar sind.

Wenn Sie diese Punkte nicht manuell über Einzeltermine, verstreute PDFs und unklare Verantwortlichkeiten organisieren wollen, ist eine spezialisierte NIS2 Schulung der schnellste Einstieg. Für Forschung ist besonders wichtig, dass der Kurs Managementpflichten, Meldewege und branchentypische Drittparteirisiken zusammenführt und nicht nur abstrakte Cyberhygiene vermittelt.

FAQ

Ist mein Forschung-Unternehmen von NIS2 betroffen?

Betroffen sind in Deutschland vor allem Forschungseinrichtungen, die als wichtige Einrichtung nach Anlage 2 BSIG einzuordnen sind und die Kriterien aus § 28 BSIG erfüllen. Besonders naheliegend ist die Betroffenheit bei privater Auftragsforschung, Prüflaboren, translationalen Life-Sciences-Einrichtungen und Forschungsgesellschaften mit entgeltlichen Leistungen.

Welche NIS2-Maßnahmen gelten für die Forschung?

Für betroffene Forschungseinrichtungen gelten die allgemeinen Risikomanagementpflichten aus § 30 BSIG. Dazu gehören Risikoanalyse, Incident Handling, Backup und Krisenmanagement, Lieferkettensicherheit, sichere Beschaffung und Wartung, Wirksamkeitsprüfungen, Kryptografie, Personalsicherheit, Zugriffskontrolle sowie grundlegende Schulungen und Sensibilisierung.

Wie hoch sind NIS2-Strafen in der Forschung?

Der unionsrechtliche Sanktionsrahmen reicht für besonders wichtige Einrichtungen bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes und für wichtige Einrichtungen bis 7 Mio. EUR oder 1,4 Prozent. Für Forschungseinrichtungen ist deshalb die richtige Einstufung und dokumentierte Umsetzung wirtschaftlich relevant.

Welche Schulungspflichten hat die Forschung unter NIS2?

Geschäftsleitungen müssen nach § 38 Abs. 3 BSIG regelmäßig an Schulungen teilnehmen. Zusätzlich verlangt § 30 Abs. 2 Nr. 7 BSIG grundlegende Schulungen und Sensibilisierungsmaßnahmen in der Einrichtung. In der Forschung sollten diese Schulungen Labor-, Daten- und Lieferkettenkontexte ausdrücklich abdecken.

Bis wann muss die Forschung NIS2 umsetzen?

Die unionsrechtliche Umsetzungsfrist endete am 17. Oktober 2024. In Deutschland gilt der BSIG-Rahmen seit dem 6. Dezember 2025. Die Registrierung musste nach § 33 BSIG grundsätzlich spätestens drei Monate nach erstmaliger Betroffenheit erfolgen; für bereits betroffene Einrichtungen lief diese Frist damit Anfang März 2026 ab.

Sind öffentliche Hochschulen automatisch erfasst?

Nein. Bei öffentlichen Hochschulen, landesrechtlich geregelten Einrichtungen und gemischten Verbundstrukturen kommt es stark auf die juristische Person, die konkrete Leistungserbringung und mögliche Ausnahmen an. Eine pauschale automatische Erfassung wäre zu unpräzise.

Fazit für Forschungseinrichtungen

NIS2 ist für die Forschung kein Randthema mehr. Die Branche ist ausdrücklich im deutschen Sektorkatalog genannt, und die eigentliche Arbeit beginnt nicht bei der Theorie, sondern bei der organisatorischen Übersetzung in Dienste, Systeme, Lieferkette, Meldewege und Schulung. Wer Forschung, Labor-IT und Datenplattformen heute nur technisch betrachtet, wird die Management- und Nachweispflichten der NIS2 unterschätzen.

Die pragmatische Reihenfolge lautet deshalb: Betroffenheit prüfen, kritische Forschungsdienste identifizieren, Melde- und Verantwortungswege festlegen und die Schlüsselrollen auf einen gemeinsamen Mindeststandard bringen. Wenn Sie das für Management, IT, Laborleitung und Projektverantwortliche belastbar aufsetzen wollen, ist unsere NIS2 Schulung der passende nächste Schritt.