Anzeige

NIS-2: Gesetzlich verordnete Cybersicherheit

NIS-2 nimmt Geschäftsleitung in die Pflicht: Es gilt angemessene Sicherheitsmaßnahmen zu implementieren, um vor Cyberangriffen zu schützen. Das ist gut, aber…Cybersicherheit by Design bzw. per Gesetz: Firmen müssen künftig angemessene Sicherheitsmaßnahmen implementieren, um ihre Systeme vor Cyberangriffen zu schützen. So sinnvoll die Anforderungen auch sein mögen, so unausgegoren ist die NIS-2-Richtlinie noch. Wichtig zu verstehen: Die Geschäftsleitung muss selbst Wissen aufbauen.

Die EU verpflichtet Unternehmen per Gesetz zu mehr Cybersicherheit. Die EU-Richtlinie NIS-2 (Network and Information Security Directive 2) ist bereits am 16. Januar 2023 in Kraft getreten. Die EU-Mitgliedsstaaten hätten NIS-2 bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. Die deutsche Regierung hat es jedoch nicht pünktlich geschafft und ist im Zuge der Neuwahlen liegengeblieben. Mit dem Regierungsantritt wurden die Pläne mittlerweile reaktiviert: Das Bundeskabinett hat am 30. Juli 2025 den Gesetzentwurf zum NIS2UmsuCG beschlossen und damit das parlamentarische Verfahren gestartet. Parallel läuft auf EU-Ebene ein Vertragsverletzungsverfahren: Die Kommission hatte Deutschland am 7. Mai 2025 wegen ausbleibender vollständiger Umsetzung eine »Reasoned Opinion« zugestellt. Damit ist klar: Politisch ist der Druck hoch, gesetzgeberisch ist der Ball im Bundestag.

Claudia Plattner, BSIClaudia Plattner, BSIZeitliche Einordnung: BSI-Präsidentin Claudia Plattner rechnet öffentlich mit einem Inkrafttreten Anfang 2026. Der politische Wille ist erkennbar – flankierend hat das BMI zudem im September 2025 den Kabinettsbeschluss zum KRITIS-Dachgesetz kommuniziert, das das NIS2UmsuCG ergänzen soll. Realistischer Fahrplan: Verabschiedung Ende 2025/Anfang 2026, Übergangsfristen im Gesetz; fachlich sollten Unternehmen allerdings so planen, als ob die Prüf- und Nachweispflichten 2026 greifen.

Anzeige

Erweiterter Anwendungsbereich: Von KRITIS zu zehntausenden Unternehmen

Inhaltlich bringt der Kabinettsentwurf keine Überraschungen, aber deutlich mehr Verbindlichkeit. Der Anwendungsbereich wird massiv ausgeweitet: Statt einiger Hundert KRITIS-Betreiber sind künftig schätzungsweise rund 29.000 Unternehmen erfasst, die als »wesentliche« oder »wichtige« Einrichtungen eingestuft werden. Gefordert werden risikobasierte Maßnahmen in Governance, Technik und Betrieb – einschließlich etablierter ISMS-Bausteine, Lieferketten-Risikomanagement und klar definierter Meldewege (Erstmeldung binnen 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht innerhalb von 30 Tagen). Verstöße können mit empfindlichen Sanktionen belegt werden: Für wesentliche Einrichtungen gelten Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu sieben Millionen Euro oder 1,4 Prozent.

Neu ist vor allem die deutliche Ausweitung des Kreises betroffener Unternehmen: Neben den bereits bekannten kritischen Infrastrukturen erfasst der Entwurf auch zahlreiche »wichtige Einrichtungen« aus den Sektoren der Anhänge 1 und 2 – darunter Energie, Gesundheit, Verkehr, Lebensmittelversorgung, Chemie, Forschung oder Raumfahrt. Als »wichtig« gilt künftig jede Firma, die mindestens 50 Beschäftigte hat oder wahlweise einen Jahresumsatz von mehr als 10 Millionen Euro oder eine Bilanzsumme oberhalb dieser Schwelle aufweist. Zuvor mussten Umsatz und Bilanzsumme jeweils über 10 Millionen Euro liegen, was den Anwendungsbereich enger hielt. Zusätzlich fallen Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher TK-Netze künftig bereits dann unter die Regelung, wenn sie einen der beiden Schwellenwerte überschreiten – unabhängig von der Mitarbeiterzahl. Damit wächst der Kreis melde- und nachweispflichtiger Einrichtungen erheblich.

Zu den geforderten Maßnahmen zählen neben klassischen ISMS-Komponenten (Informationssicherheits-Managementsystem) auch Vorgaben zur Business-Continuity-Planung, Notfall- und Krisenkommunikation, Zugangskontrolle, Security by Design bei IT- und OT-Systemen sowie vertraglich abgesicherte Sicherheitsvorgaben gegenüber Zulieferern und Dienstleistern. Organisationen müssen zudem sicherstellen, dass ihre Managementebene aktiv Verantwortung übernimmt und regelmäßig über den Stand der Cybersicherheit informiert wird.

Übergangsfristen sind derzeit noch in Diskussion. Erwartet wird ein Zeitraum von zwölf bis achtzehn Monaten nach Inkrafttreten des Gesetzes, die endgültige Länge steht jedoch noch nicht fest. Unternehmen sollten sich nicht auf großzügige Übergangsregelungen verlassen, sondern davon ausgehen, dass Prüf- und Nachweispflichten spätestens Anfang 2026 greifen – abhängig vom endgültigen Gesetzestext – und deshalb schon jetzt mit der Umsetzung beginnen.

NIS-2 und die Betroffenen

Christoph Harburg, NetzlinkChristoph Harburg, NetzlinkDie NIS-2-Richtlinie adressiert zunächst Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Millionen Euro Umsatz und mehr als 43 Millionen Euro Jahresbilanzsumme, die Sektoren mit hoher Kritikalität unterliegen. »Dazu zählen insbesondere die Bereiche Energie, Gesundheitswesen, Verkehr, Banken und Finanzmarktinfrastrukturen, Trink- und Abwasser, digitale Infrastrukturen, Verwaltung von ITK-Diensten und Weltraum«, sagt Christoph Harburg, IT-Security Consultant beim Braunschweiger IT-Systemhaus Netzlink Informationstechnik. »Diese Unternehmen werden als `Wesentliche Einrichtungen´ bezeichnet.«

Die neue Fassung ersetzt die bisherige Richtlinie NIS-1, die bislang nur für KRITIS-Unternehmen (Betreiber von kritischen Infrastrukturen mit wichtiger Bedeutung für das staatliche Gemeinwesen) galt. Betroffen sind nun auch beispielsweise Anbieter digitaler Dienste, Chemie, Ernährung, Medizin, Logistik, Abfallwirtschaft, produzierendes und verarbeitendes Gewerbe, Forschung und Öffentliche Verwaltung (entsprechender Größe).

»Die Branchen sind relativ weit gefasst, aber die Eingrenzung erfolgt über den §28 BSIG (BSI-Gesetz)«, erklärt Rechtsanwalt Stephan Hansen-Oest gegenüber speicherguide.de. »Dieser besagt, NIS-2 greift für mittlere Unternehmen ab 50 Mitarbeitenden oder mehr als zehn Millionen Euro Umsatz bzw. mehr als 43 Millionen Euro Jahresbilanzsumme aus den genannten Sektoren mit hoher Kritikalität.« Das heißt, es ist nicht jede Apotheke oder Arztpraxis automatisch betroffen.

NIS-2 greift für mittlere Unternehmen ab 50 Mitarbeitenden oder mehr als zehn Millionen Euro Umsatz bzw. mehr als 43 Euro Jahresbilanzsumme aus den genannten Sektoren mit hoher Kritikalität.NIS-2 greift für mittlere Unternehmen ab 50 Mitarbeitenden oder mehr als zehn Millionen Euro Umsatz bzw. mehr als 43 Euro Jahresbilanzsumme aus den genannten Sektoren mit hoher Kritikalität.

Auswirkungen auf Rechenzentren und IT-Abteilungen

Für Rechenzentren und IT-Abteilungen bringt NIS-2 erhebliche Herausforderungen mit sich, insbesondere im Bereich Datenspeicherung. Unternehmen müssen ihre Backup- und Disaster-Recovery-Strategien überprüfen und verstärken. Technologien wie Immutable-Storage, die die Unveränderbarkeit von Daten gewährleisten, sowie die 3-2-1-1-Regel zur Diversifizierung von Speicherorten und -medien werden zwar nicht ausdrücklich in der Richtlinie genannt, gelten aber als etablierter Stand der Technik.

Daraus ergibt sich, dass Prüfer und Aufsichtsbehörden entsprechende Maßnahmen bei der Bewertung von Risikomanagement, Verfügbarkeit und Nachweispflichten voraussichtlich als Maßstab heranziehen werden. Ebenso entscheidend ist die regelmäßige Überprüfung und Anpassung dieser Strategien, um den wachsenden und sich wandelnden Cyberbedrohungen wirksam begegnen zu können.

Verantwortlichkeit, Überwachung & Durchsetzung

Die Verantwortung für die Einhaltung der NIS-2-Richtlinie liegt bei den Geschäftsführungen und Vorständen der Unternehmen. Sie müssen sicherstellen, dass alle notwendigen Maßnahmen zur Erhöhung der Cybersicherheit ergriffen werden. Operativ werden diese zwar meist an die IT und Sicherheitsbeauftragte delegiert, in der Pflicht steht aber die Geschäftsleitung. Damit reicht es nicht aus, Verantwortung rein formal zu delegieren – das Management muss sich regelmäßig berichten lassen, Entscheidungen dokumentieren und aktiv in die Sicherheitsstrategie eingebunden sein.

Bei Nichtbeachtung drohen den Firmen Geldbußen. Zudem besteht ein persönliches Haftungsrisiko für die leitenden Organe, sollten diese die Anforderungen der Richtlinie vernachlässigen. Die Überwachung der Einhaltung von NIS-2 und die Verhängung von Bußgeldern wird in Deutschland vom BSI (Bundesamt für Sicherheit in der Informationstechnik) übernommen.

Firmen müssen sich gegen Datendiebstahl und -missbrauch wappnen

»NIS-2 soll Europa sicherer machen«, erklärt Dr. Swantje Westpfahl, Direktorin des Institute for Security and Safety an der Hochschule Mannheim. Cyberangriffe seien da und dürfen zu keinen Kaskadeneffekten führen.

Laut einer Ransomware-Studie des Cybersecurity-Experten Hornetsecurity verzeichnen 2024 über 30 Prozent der weltweit Befragten einen Datenverlust. Im Vergleich zu 2023 (17,2 %) ist dies ein drastischer Anstieg.

Einer Studie von PwC zufolge waren lediglich fünf Prozent der befragten deutschen Unternehmen in den letzten drei Jahren nicht von Data-Breaches betroffen – weltweit werden mit 14 Prozent deutlich weniger Organisationen Opfer solcher Angriffe. 83 Prozent der deutschen Befragten geben an, in den vergangenen drei Jahren einen Schaden in Höhe von fast zehn Millionen US-Dollar durch Datendiebstahl oder -missbrauch erlitten zu haben. Bei rund acht Prozent entstanden Schäden zwischen zehn und 20 Millionen US- Dollar oder sogar mehr.

Wer noch weitere Belege benötigt, es gibt unzählige Studien dieser Art. Für Unternehmen und Behörden ist es unumgänglich die Lücke zwischen dem Bewusstsein für Cyberrisiken und der Umsetzung von konkreten Gegenmaßnahmen zu verkleinern. Daher ist NIS-2 mit seinem Ziel das gemeinsame Cybersicherheitsniveau zu verbessern mehr als begrüßenswert. Von NIS-2 sind in Deutschland zirka 30.000 Unternehmen direkt betroffen. Hinzukommen alle, die mit den großen Organisationen Geschäfte machen, weil diese die Zuständigkeit in ihren Verträgen auch in die Lieferkette weitergeben. Grundsätzlich sollten sich alle Firmen angesprochen fühlen und Cybersicherheits-Maßnahmen entsprechend ihrer Größe nach dem Stand der Technik umsetzen.

Nur 20 Prozent sind bisher vorbereitet

Richtig vorbereitet sind bisher nur wenige Unternehmen. Nach Einschätzung Dennis Weyel, International Technical Director beim Sicherheitsunternehmen Horizon3.ai gehen weite Teile vor allem der mittelständischen Wirtschaft davon aus, von NIS-2 nicht betroffen zu sein: »Das ist ein Irrtum. Unter die Richtlinie fallen nämlich nicht nur die Unternehmen in den vom Gesetzgeber genannten Branchen, sondern auch alle Zulieferer und Dienstleister dazu.«

Eine Stichprobe unter 300 vor allem mittelständischen Unternehmen im Auftrag von Horizon3.ai förderte zutage, dass lediglich 20 Prozent der Firmen bereits Maßnahmen ergriffen haben, um NIS-2 zu genügen. Ein weiteres Viertel gab an, dass ihnen die neuen Sicherheitsanforderungen zumindest »teilweise bekannt« seien und sie entsprechende Maßnahmen planten.

Für bemerkenswerte 43 Prozent sind die neuen gesetzlichen Auflagen in Sachen Cybersecurity kein Thema oder sie sehen keinen Handlungsbedarf. 17 Prozent verlassen sich schlichtweg darauf, dass sich ihre Lieferanten und Geschäftspartner entsprechend auf den aktuellen Stand bringen. Ein knappes Zehntel fühlt sich »ausreichend geschützt«. »Die Ergebnisse lassen auf eine gewisse Blauäugigkeit in Sachen Cybersicherheit schließen«, analysiert Weyel. Er räumt allerdings ein: »Es wird für viele Mittelständler schlichtweg unmöglich sein, sich rechtzeitig um alle NIS-2-Belange zu kümmern.«

Selbst der BSI (Bundesamt für Sicherheit in der Informationstechnik) bezeichnet die personellen, finanziellen und strukturellen Hürden als immens. Die Erhöhung des IT-Sicherheitsniveaus sei zwar alternativlos, noch sei aber nicht sicher, ob Deutschland NIS-2 bis zum Herbst verabschiedet hat. Wichtig sei anzufangen, nicht zuletzt aufgrund des hohen Handlungsdrucks durch die wachsende Bedrohungslage. »Unternehmen sollten anfangen, die Erhöhung ihres Cybersicherheitsniveaus voranzubringen«, rät Katrin Kubica, Referatsleiterin beim BSI.

Susanne Moosreiner, SEPSusanne Moosreiner, SEP»Der zu erwartende Aufwand wird sicher wegen der umfangreichen organisatorischen Anforderungen hoch und noch ist nicht klar, welche Ausmaße das in Bezug auf die IT und speziell auf das Backup und Recovery hat«, sagt Susanne Moosreiner, CEO bei SEP. »Besonders die Vorstände und Geschäftsführungen werden in die Verantwortung genommen. Nichtsdestotrotz werden die IT-Manager mit der Umsetzung beauftragt.«

NIS-2-Anforderungen an die Datensicherung

Grundsätzlich sollten alle (betroffenen) Unternehmen eine Backup-Strategie haben und der Aufwand hier eigentlich überschaubar sein. Trotzdem gilt es zu überprüfen, ob diese passt und an die erhöhten Sicherheitsanforderungen ausreichend angepasst ist, denn es gilt die Geschäftskontinuität sicherzustellen sowie Datenverlust zu verhindern bzw. zu minimieren. »Dazu müssen entsprechende Strategien und auch Techniken verwendet werden, die besten Schutz bieten«, mahnt Moosreiner. »Die bisherige Backup-Strategie ist dahingehend zu überprüfen und bei Bedarf anzupassen. Dazu können Funktionen wie beispielsweise Immutable-Storage und S3 Object-Lock verwendet werden, die eine Unveränderbarkeit der Backup-Daten gewährleisten. Die 3-2-1-1-Regel für Backups (3 Kopien, 2 verschiedene Medien, extern und unveränderbarer Speicher) kann eine weitere Maßnahme sein, bei der die Backup-Daten auf unterschiedliche Speichermedien und Standorte gelegt werden.« Hinzukomme ein gezieltes Monitoring und Reporting über die Backup-Infrastruktur, um die Nachweis-Anforderungen zu erfüllen und Einblicke in die Sicherheit der Backup-Prozesse zu erhalten.

»NIS-2 verlangt, dass Unternehmen kritische Daten und Systeme klar identifizieren und priorisieren«, ergänzt Deniz Alboyaci, Director of Sales für die DACH-Region bei Arcserve. »Dies bedeutet, dass Backup- und Disaster-Recovery-Strategien so angepasst werden müssen, dass diese kritischen Komponenten mit höchster Dringlichkeit und Sicherheit gesichert und wiederhergestellt werden können.«

Auch SaaS Umgebungen wie Microsoft 365 müssen IT-Manager mit Nachdruck in die Sicherheitsstrategie einbinden. Backups der Umgebungen seien zwar bereits weit verbreitet, doch wie verhält es sich, wenn nicht M365, sondern die dahinter liegende EntraID angegriffen wird? »Auf solche Fragen müssen Unternehmen zielgerichtet Antworten, um NIS-2 Compliant zu sein«, konstatiert Arcserve-Manager Alboyaci.

Die Richtlinie betone zudem die Bedeutung regelmäßiger Tests der Wiederherstellungsverfahren sowie die Simulation von Angriffen, um im Ernstfall vorbereitet zu sein. Nur durch kontinuierliches Testen sei sichergestellt, dass Backup- und Disaster-Recovery-Strategien tatsächlich funktionieren. »NIS-2 bringt also nicht nur formelle Änderungen, sondern fordert Unternehmen auf, ihre Backup- und Disaster-Recovery-Strategien grundlegend zu überdenken und zu erweitern«, sagt Alboyaci. »Firmen, die diese Anforderungen vernachlässigen, riskieren nicht nur die Nichterfüllung gesetzlicher Vorgaben und öffnen das Tor der persönlichen Haftbarkeit, sondern setzen auch ihr eigenes Unternehmen und deren Mitarbeiter aufs Spiel.«

Patrycja Schrenk, PSW GroupPatrycja Schrenk, PSW GroupSollte ein Sicherheitsvorfall eintreten ist ein effektives Krisenmanagement entscheidend, um schnell, fristgerecht und mit angemessener Reaktion zu handeln. »Unternehmen sollten hier klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken«, rät Patrycja Schrenk, Geschäftsführerin der PSW GROUP. »Unternehmen, die die Anforderungen der NIS-2-Richtlinie nicht erfüllen, riskieren erhebliche Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem können leitende Organe persönlich haftbar gemacht werden.«

Jetzt auf das Cybersicherheitsgesetz vorbereiten

NIS-2: Konkrete Anforderungen (Bild: Institute for Security and Safety)NIS-2: Konkrete Anforderungen (Bild: Institute for Security and Safety)Für alle, die noch nicht wirklich aktiv geworden sind, heißt es nun, anfangen. Das heißt, prüfen ob man in den Anwendungsbereich der NIS-2-Richtlinie fällt und sich dann beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. »Anschließend ist eine gründliche Risikoanalyse unerlässlich, um potenzielle Schwachstellen und Risiken in den eigenen Netz- und Informationssystemen zu identifizieren«, meint Schrenk.

Basierend auf den Ergebnissen dieser Analyse sollten angemessene technische und organisatorische Maßnahmen implementiert werden, um diese Risiken zu minimieren und die Sicherheit der Systeme – einschließlich der Lieferkette – zu verbessern. »Der Einsatz von Kryptografie und gegebenenfalls Verschlüsselungstechnologien ist in diesem Zusammenhang eine Maßnahme, um sensible Daten zu schützen«, erklärt Schrenk. »Darüber hinaus empfehlen sich auch Maßnahmen zur Personalsicherheit, Zugriffskontrolle und Asset Management, um unbefugten Zugriff zu verhindern. Eine Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung tragen übrigens dazu bei, die Sicherheit von Zugriffen zu erhöhen.«

Kommunikationskanäle für Sprach-, Video- und Textkommunikation sollten so ausgelegt sein, dass sie auch während eines Sicherheitsvorfalls eine unterbrechungsfreie Kommunikation gewährleistet. Zudem sollten Beschäftigte gemäß NIS2-Richtlinie jetzt regelmäßig in Cybersecurity geschult werden, um sie für Sicherheitsrisiken zu sensibilisieren. Auch ein effektives Krisenmanagement ist entscheidend, um bei einem Sicherheitsvorfall schnell, fristgerecht und mit angemessener Reaktion zu handeln. Unternehmen sollten hier klare Verfahren und Protokolle für die Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen entwickeln und auch an ein effektives Backup-Management sowie Wiederherstellungsverfahren denken.

»Um bei den NIS-2-Anforderungen den Überblick zu behalten, ist ein schrittweises, strukturiertes Vorgehen der effizienteste Weg für Unternehmen«, empfiehlt Netzlink-Manager Harburg. »Der Kern ist dabei die Gegenüberstellung der IST-Situation eines Unternehmens in Sachen IT-Sicherheit mit der SOLL-Situation. Nur wenn klar ist, wo die Lücken sind und wo Verbesserungspotential besteht, können geeignete Maßnahmen ausgewählt und ergriffen werden.«

Die Geschäftsführung sollte sich zunächst eingehend mit ihren Pflichten und möglichen Sanktionen auseinandersetzen und sich schulen lassen. Mit diesem Wissen ausgestattet, kann sie dann entscheiden, welche Maßnahmen zur Umsetzung der Anforderungen notwendig sind und wie die Verantwortlichkeiten und Prozesse innerhalb des Unternehmens verteilt werden.

In seinem Vortrag auf der S2N in Hamburg brach Johannes Loxen, Geschäftsführer bei SerNet, NIS-2 relativ locker auf das notwendige Minimum herunter: »Betroffene Firmen benötigen eine Meldestruktur. Sie müssen ihre Sicherheits-IT auf den Stand der Technik bringen sowie ein Schwachstellen- und Vorfall-Management einführen. Damit ist man bereits im Verteidigungsmodus.«

NIS-2: Pflicht im eigenen Interesse

Regina Stoiber, DatenbeschützerinRegina Stoiber, Datenbeschützerin»Die NIS-2-Richtlinie stellt eine unverzichtbare Antwort auf die moderne Cyberbedrohungslage dar und erfordert von Unternehmen eine proaktive und dynamische Herangehensweise zur Sicherung ihrer IT-Infrastrukturen«, erklärt Regina Stoiber, Geschäftsführerin bei Datenbeschützerin. »Die Verpflichtung, sich mit Informationssicherheit zu beschäftigen, ist in der heutigen Zeit eine Pflicht für Unternehmen im eigenen Interesse.«

Der Schwerpunkt liegt dabei gar nicht so auf der technischen Umsetzung, sondern auf der organisatorischen und personellen Ebene, um ein umfassendes Sicherheitsnetz zu gewährleisten. Kritiker bemängeln, dass die Regulierung ein überhöhtes Maß an Bürokratie mit sich bringe, viel Personal binde und Kosten verursache.

Das lässt Datenbeschützerin Stoiber nicht gelten: »Wer es bisher noch nicht verstanden hat, dass gesteuerte Informationssicherheit im Unternehmen wichtig ist, hat es nötig, dass der Gesetzgeber ihn dazu verpflichtet. NIS-2 verfolgt nicht das Ziel, eine Wand neu anzumalen, nur damit am Ende eine andere Farbe erscheint. Es geht darum, eine sinnvolle Veränderung hervorzurufen. Da kann es schon mal sein, dass eine ganze Wand eingerissen wird – oder wahrscheinlicher – eine zusätzliche Wand eingezogen wird.« Und dies gelte auch für Firmen, die nicht direkt von der Richtlinie betroffen sind.

Das lässt Datenbeschützerin Stoiber nicht gelten: »Wer es bisher noch nicht verstanden hat, dass gesteuerte Informationssicherheit im Unternehmen wichtig ist, hat es nötig, dass der Gesetzgeber ihn dazu verpflichtet. NIS-2 verfolgt nicht das Ziel, eine Wand neu anzumalen, nur damit am Ende eine andere Farbe erscheint. Es geht darum, eine sinnvolle Veränderung hervorzurufen. Da kann es schon mal sein, dass eine ganze Wand eingerissen wird – oder wahrscheinlicher – eine zusätzliche Wand eingezogen wird.« Und dies gelte auch für Firmen, die nicht direkt von der Richtlinie betroffen sind.

Anmerkung der Redaktion

Karl Fröhlich, speicherguide.deKarl Fröhlich, speicherguide.de

Cybersicherheit ist längst kein nice-to-have mehr, sondern überlebenswichtig. Die Liste erfolgreicher Angriffe ist so lang, dass man sie besser gar nicht mehr führen möchte. Wer immer noch meint, »das betrifft uns nicht«, dem ist ehrlich gesagt nicht mehr zu helfen. Genau deshalb ist NIS-2 im Prinzip eine gute Sache – eine gemeinsame Basis, die alle verpflichten soll.

Und trotzdem: Der Name »NIS-2« ist ungefähr so selbsterklärend wie ein Beipackzettel in Latein. Wer im Tagesgeschäft schon Land unter ist, klickt nicht begeistert auf ein Whitepaper mit diesem Kürzel. Kein Wunder also, dass sich viele Firmen nicht betroffen fühlen. Politik und Behörden hätten hier schon viel früher klarmachen müssen, was auf dem Spiel steht.

Der deutsche Gesetzgebungsprozess? Ein Trauerspiel. Die EU sagt: »Bitte bis Oktober 2024 umsetzen.« Deutschland sagt: »Wir wählen erstmal neu.« Am Ende kam der Kabinettsbeschluss im Juli 2025, und wenn alles gut läuft, startet das Ganze Anfang 2026. Bei einem Thema, das für die Wirtschaft so zentral ist, wirkt das eher wie Verwaltungsroutine statt wie Krisenbewältigung.

Das BSI bekommt nun die Aufsicht. Mehr Stellen sind angekündigt, aber ob das reicht, ist fraglich. Zehntausende neue Meldepflichtige, ein Berg an Vorfällen – und die Erwartung, dass sich jemand darum kümmert. Da kann man nur hoffen, dass die Infrastruktur hinter der Infrastruktur hält.

Positiv immerhin: Die Verantwortung liegt unmissverständlich bei den Chefsesselträgern. Delegieren an die IT reicht nicht mehr. Geschäftsführungen müssen sich selbst mit der Materie beschäftigen. Ob das in der Praxis wirklich so gelebt wird? Man darf gespannt sein. Wahrscheinlicher ist, dass die IT-Abteilungen weiter den Löwenanteil stemmen – mit der schönen Begründung, »das Management hat ja keine Zeit«.

Mein Fazit: Jedes Unternehmen sollte die Anforderungen von NIS-2 ernst nehmen – nicht nur, weil der Gesetzgeber es verlangt, sondern weil Cyberangriffe inzwischen schlicht Alltag sind. Und weil große Kunden ihre Sicherheitsstandards sowieso in die Lieferkette durchreichen. Wer da nicht mitzieht, braucht sich über verlorene Aufträge nicht zu wundern.