Die finale VdS 10100 ist da. Damit liegt erstmals ein eigenständiges, praxisnah aufgebautes Regelwerk vor, das Unternehmen eine konkrete Struktur für Informationssicherheit zur Umsetzung der Vorgaben der NIS-2-Richtlinie an die Hand gibt. Die Richtlinie der VdS Schadenverhütung GmbH (VdS) trägt den Titel „Strukturierte Informationssicherheit gemäß NIS-2“, ist als VdS 10100 : 2026-04 (01) veröffentlicht und gilt ab dem 1. April 2026. Sie ist zugleich Grundlage für eine Zertifizierung durch VdS.

Für viele Unternehmen kommt diese Veröffentlichung genau zur richtigen Zeit. Das kürzlich aktualisierte deutsche BSI-Gesetz (BSIG) enthält durch die Umsetzung der Vorgaben der NIS-2-Richtlinie zentrale Pflichten zu Risikomanagement, Meldungen, Registrierung und zur Verantwortung der Geschäftsleitung. § 38 BSIG verpflichtet Geschäftsleitungen betroffener Einrichtungen ausdrücklich dazu, die erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.

Genau hier setzt die VdS 10100 an. Dabei handelt es sich nicht um eine Kommentierung der Vorgaben. Vielmehr übersetzt sie die Anforderungen in Organisationsstruktur, Rollen, Richtlinien, Verfahren, Dokumentation und technische Mindestmaßnahmen. Das ist ihr eigentlicher Wert. Für Unternehmen, die sich bislang gefragt haben, wie sich gesetzliche Anforderungen in ein belastbares internes System übersetzen lassen, wirkt die Richtlinie wie ein Bauplan.

Warum die VdS 10100 mehr ist als eine weitere IT-Sicherheitsrichtlinie

Viele Veröffentlichungen im Bereich Cybersicherheit leiden an demselben Problem. Sie benennen Pflichten, lassen Unternehmen mit der praktischen Umsetzung aber weitgehend allein. Die VdS 10100 versucht genau diese Lücke zu schließen. Sie definiert Mindestanforderungen und schafft eine Basis für die strukturierte Umsetzung von Informationssicherheitsmaßnahmen auf Basis der Vorgaben von NIS-2. Gleichzeitig ist sie ausdrücklich als Grundlage für eine Zertifizierung angelegt.

Besonders praxisrelevant ist zudem, dass die VdS 10100 nicht im luftleeren Raum steht. Sie baut auf der etablierten VdS 10000 auf. Diese wiederum ist als Richtlinienwerk für Informationssicherheitsmanagement (ISMS) im Mittelstand angelegt. Parallel dazu bietet die VdS 10010 ein strukturiertes Datenschutzmanagementsystem (DSMS) zur Umsetzung der DSGVO, das VdS selbst als auditier- und zertifizierfähig beschreibt. Gerade für Unternehmen, die Informationssicherheit, Datenschutz und regulatorische Nachweisfähigkeit nicht getrennt, sondern gemeinsam denken wollen, entsteht hier ein erheblicher Mehrwert.

Aus anwaltlicher Sicht ist genau an dieser Stelle die Brücke in die Praxis besonders wichtig. Wir beraten Unternehmen nicht nur bei der rechtlichen Einordnung von NIS-2-Pflichten, sondern auch bei der Implementierung tragfähiger Governance- und Compliance-Strukturen. Dabei betrachten wir die Synergien zwischen VdS 10000, VdS 10010 und VdS 10100 bewusst gemeinsam. Das ist in vielen Unternehmen der effizientere Weg. Denn in der Realität verlaufen Informationssicherheit, Datenschutz, Berechtigungsmanagement, Vorfallreaktion, Dokumentation, Schulungen und Verantwortlichkeitsstrukturen nicht in getrennten Silos. Wer dieselben Prozesse dreimal aufsetzt, produziert Reibung, Mehrkosten und unnötige Widersprüche. Wer die Systeme sauber verzahnt, schafft dagegen ein belastbares Gesamtgefüge.

Der eigentliche Hebel liegt in der Organisation, nicht nur in der Technik

Wer NIS-2 noch immer als reines IT-Thema versteht, wird durch die VdS 10100 schnell eines Besseren belehrt. Die Richtlinie macht Informationssicherheit zur Führungsaufgabe. Das Topmanagement muss Verantwortung übernehmen, Ressourcen bereitstellen und Informationssicherheit in Strukturen, Hierarchien und Arbeitsabläufe einbetten. Gerade das entspricht dem Grundgedanken von NIS-2: Cybersicherheit ist kein isoliertes Projekt der IT, sondern Teil ordnungsgemäßer Unternehmensorganisation.

Die VdS 10100 belässt es nicht bei abstrakten Appellen. Sie setzt auf eine konkrete Governance-Struktur mit klaren Zuständigkeiten, Rollen und überprüfbaren Verfahren. Das ist für die Praxis enorm wichtig. Viele Sicherheitskonzepte scheitern nicht an fehlender Technik, sondern an unklaren Zuständigkeiten. Wer entscheidet? Wer berichtet? Wer eskaliert? Wer kommuniziert im Krisenfall mit Behörden, Kunden und Partnern? Wer verantwortet Wiederanlauf, Nachweisführung und interne Freigaben? Die Stärke der VdS 10100 liegt darin, genau diese Fragen in ein belastbares Organisationsmodell zu überführen.

Gerade an dieser Schnittstelle unterstützen wir Unternehmen regelmäßig. In der Implementierung geht es oft nicht nur um die Auslegung einzelner Vorgaben, sondern um die Übersetzung in vorhandene Strukturen: Welche vorhandenen Richtlinien können genutzt werden? Welche Datenschutzprozesse aus einer VdS-10010-orientierten Organisation lassen sich für NIS-2 mitverwenden? Welche Governance-Elemente aus einer VdS 10000 sind bereits vorhanden und müssen nicht neu erfunden werden? Die Erfahrung zeigt: Der größte Effizienzgewinn entsteht dort, wo man nicht mehere Parallelsysteme entwickelt, sondern ein konsistentes Managementsystem mit sauber abgegrenzten, aber aufeinander abgestimmten Bausteinen.

Was Unternehmen jetzt konkret aufbauen müssen

Die Richtlinie folgt einem klaren Grundgedanken: Sicherheit beginnt mit Ordnung. Deshalb verlangt sie nicht nur einzelne Schutzmaßnahmen, sondern ein geschlossenes System aus Leitlinie, Richtlinien, Verfahren, Inventaren, Klassifizierungen und Krisenmechanismen. Das klingt zunächst technisch, ist aber in Wahrheit ein hochgradig organisatorischer Ansatz. Wer ihn sauber umsetzt, schafft nicht nur mehr Sicherheit, sondern auch mehr Steuerbarkeit und Nachweisbarkeit.

Genau hier zeigen sich auch die praktischen Synergien mit VdS 10000 und VdS 10010. Viele Unternehmen verfügen bereits über dokumentierte Prozesse zur Informationssicherheit oder zum Datenschutz. Häufig existieren schon Regelungen zu Berechtigungen, Schulungen, Assets, Vorfallbehandlung, Dienstleistersteuerung oder Dokumentationspflichten. Diese Elemente lassen sich oft nicht eins zu eins, aber doch mit erheblichem Nutzen für die Implementierung der VdS 10100 verwenden. Das spart Zeit und reduziert Umsetzungsrisiken. Datenschutz und Informationssicherheit sind ohnehin keine Gegensätze, sondern zwei Seiten derselben Medaille. Das eine schützt personenbezogene Daten in ihrem rechtlichen Rahmen, das andere die Verfügbarkeit, Integrität und Vertraulichkeit der betrieblichen Informationswerte insgesamt. Wer beide Systeme miteinander verzahnt, baut kein Nebeneinander, sondern ein stabiles Fundament.

Meldepflichten, Krisenfähigkeit und Nachweisbarkeit werden zum Prüfstein

Ein weiterer zentraler Punkt ist die Reaktionsfähigkeit. Viele Unternehmen investieren noch immer vor allem in Prävention und unterschätzen, dass NIS-2 ebenso stark auf Erkennung, Reaktion, Meldefähigkeit und Wiederherstellung abstellt. Genau deshalb ist es rechtlich und praktisch gefährlich, Informationssicherheit allein auf technische Schutzmaßnahmen zu verengen. Im Ernstfall zeigt sich, ob ein Unternehmen nur Schutztechnik eingekauft oder tatsächlich Führungsfähigkeit aufgebaut hat.

Die VdS 10100 greift diese Logik konsequent auf. Sie ist darauf ausgerichtet, strukturierte Maßnahmen zur Informationssicherheit nachweisbar zu machen. Genau dieser Nachweisgedanke ist für Unternehmen strategisch bedeutsam. Gegenüber Kunden, Geschäftspartnern, Aufsichtsbehörden und nicht zuletzt im Krisenfall zählt nicht nur, ob man „etwas getan“ hat. Entscheidend ist, ob die Maßnahmen organisiert, dokumentiert, überprüfbar und in die Unternehmensstruktur eingebettet sind.

Auch hier ist die Implementierung häufig der schwierigste Teil. Auf dem Papier wirken Richtlinien schnell vollständig. In der Praxis müssen sie aber in Zuständigkeiten, Prozesse, Schulungen, interne Kontrollen und belastbare Entscheidungswege übersetzt werden. Genau bei dieser operativen Umsetzung beraten wir Unternehmen. Unser Ansatz ist dabei bewusst interdisziplinär. Wir betrachten NIS-2, Informationssicherheitsmanagement, Datenschutzorganisation und vertragliche Nachweisinteressen nicht isoliert, sondern als zusammenhängendes Compliance-System. So lassen sich Doppelarbeiten vermeiden und bestehende VdS-orientierte Strukturen sinnvoll weiterentwickeln.

Warum Unternehmen jetzt handeln sollten

Die Veröffentlichung der finalen VdS 10100 ist deshalb mehr als nur eine Nachricht aus der Normenwelt. Sie ist ein praktisches Signal an den Markt. Wer die Umsetzung der NIS-2 Vorgaben bislang vor sich hergeschoben hat, verliert ein zentrales Argument, dass es an konkreten, praxistauglichen Umsetzungsmaßstäben fehle. Mit der VdS 10100 liegt nun ein strukturiertes Regelwerk vor, das organisatorische Strukturen, Verantwortlichkeiten, technische Mindestmaßnahmen und Zertifizierbarkeit zusammenführt.

Für Unternehmen stellt sich damit weniger die Frage, ob sie sich mit der Richtlinie befassen sollten, sondern wie sie daraus ein sinnvolles Umsetzungsprogramm entwickeln. Genau dort liegt der Mehrwert anwaltlicher Begleitung. Denn nicht jedes Unternehmen startet bei null. Manche haben bereits VdS-10000-nahe Sicherheitsstrukturen. Andere haben datenschutzrechtlich tragfähige Prozesse entlang der VdS 10010 aufgebaut. Wieder andere benötigen einen Neuaufbau, aber mit Blick auf spätere Zertifizierbarkeit. In allen Konstellationen ist es sinnvoll, die Systeme nicht isoliert zu betrachten, sondern die Synergien zwischen VdS 10000, VdS 10010 und VdS 10100 frühzeitig zu nutzen.

Wer hier sauber aufsetzt, gewinnt doppelt. Erstens sinkt das Risiko regulatorischer und operativer Fehlentscheidungen. Zweitens entsteht ein belastbarer Nachweis nach außen. Genau das wird in den kommenden Jahren zum Wettbewerbsfaktor: nicht nur sicher zu sein, sondern Sicherheit auch strukturiert und nachvollziehbar belegen zu können. Wir beraten Unternehmen dabei sowohl zur rechtlichen Einordnung als auch zur konkreten Implementierung passender Strukturen und berücksichtigen dabei bewusst die Schnittstellen zwischen Informationssicherheit, Datenschutz und NIS-2-Compliance.

Christian Krösch
Letzte Artikel von Christian Krösch (Alle anzeigen)