Thought Leadership
Die überarbeitete Cybersicherheitsrichtlinie der Europäischen Union, NIS-2, ist im Oktober 2024 offiziell in Kraft getreten.
Ihr Ziel ist in der Theorie einfach, in der Praxis jedoch weitreichend: das Basisniveau der Cyberresilienz in kritischen Sektoren anheben, den Kreis der regulierten Unternehmen erweitern und die Einhaltung mit spürbaren Sanktionen durchsetzen.
Während in der EU die Uhren ticken, herrscht in Deutschland, Stand Oktober 2025, ein gefährliches Vakuum. Politische Übergänge und gesetzgeberische Rückstände haben die nationale Umsetzung auf Eis gelegt. Es gibt kein endgültiges Gesetz, kein Register „wesentlicher“ oder „wichtiger“ Einrichtungen und keine veröffentlichten Durchsetzungsfristen.
Das hat zu massiver Verunsicherung in den Unternehmen geführt. Viele Entscheider wissen schlicht nicht, was sie als Reaktion auf NIS-2 tun müssen, bis wann sie es tun müssen und ob NIS-2 überhaupt auf sie zutrifft.
Eine Studie aus 2024 ergab, dass ein Drittel der Unternehmen noch keine Maßnahmen getroffen haben, um sich auf die höheren IT-Sicherheitsanforderungen durch NIS-2 vorzubereiten. Auch wenn es verlockend sein mag, auf Klarheit aus Berlin zu warten, ist das eine riskante Strategie. Denn sobald Deutschland nachzieht, und das muss es, wird Compliance verpflichtend sein, mit entsprechend hohen Sanktionen. Jetzt ist der Zeitpunkt zu handeln. Die Grundlagen von NIS-2 sind bekannt. Wettbewerber in anderen Ländern passen sich bereits an. Verzögerung bringt keinen Vorteil, Stillstand birgt hingegen reale und greifbare Risiken.
Was NIS-2 fordert: Eine neue Ära für den Mittelstand
Die ursprüngliche NIS-Richtlinie von 2016 konzentrierte sich auf kritische Infrastrukturen und die dahinterstehenden Unternehmen, etwa große Akteure in Energie, Verkehr, Banken und Gesundheit. NIS-2 weitet den Anwendungsbereich erheblich aus. Diesmal sind nicht nur große Unternehmen gefordert. Es betrifft jede Organisation, die für Wirtschaft oder Gesellschaft essenzielle Dienste erbringt, darunter viele kleine und mittelständische Unternehmen.
NIS-2 unterscheidet letztlich zwei Stufen von Unternehmen. Erstens, Wesentliche Einrichtungen: etwa große Unternehmen in kritischen Sektoren wie Energie, Gesundheit, Verkehr und digitale Infrastruktur. Diese Firmen haben in der Regel 250+ Beschäftigte oder einen Umsatz von mehr als 50 Millionen Euro. Zweitens, Wichtige Einrichtungen: etwa mittelgroße Unternehmen in Sektoren wie Herstellung kritischer Produkte, Nahrungsmittelproduktion, Postdienste, Chemie und digitale Services. Diese Firmen haben in der Regel 50+ Beschäftigte oder einen Umsatz von mehr als 10 Millionen Euro.
Wichtig ist: Die genannten Schwellen sind allgemeine Richtwerte. Konkrete Schwellen können je nach Sektor variieren und müssen anhand der Unternehmensgröße und des jeweiligen Sektors bestimmt werden. Eine Einrichtung kann auch dann als „wesentlich“ oder „wichtig“ gelten, wenn sie die Größenkriterien nicht erfüllt, etwa wenn sie alleiniger Anbieter eines für gesellschaftliche oder wirtschaftliche Tätigkeit kritischen Dienstes ist.
Die neuen Pflichten: Was konkret erwartet wird
NIS-2 verlangt von betroffenen Unternehmen, risikobasierte Sicherheitspraktiken über den gesamten Betrieb hinweg umzusetzen. Dies umfasst mehrere Kernbereiche. Dazu gehört ein aktives Risikomanagement mit regelmäßigen Bewertungen und der Umsetzung entsprechender Sicherheitskontrollen. Ebenso zentral ist die Vorfallerkennung und -behandlung. Hier zeigt NIS-2 besondere Schärfe: inklusive Meldung signifikanter Vorfälle binnen 24 Stunden an die Aufsicht und vollständiger Berichtserstattung innerhalb von 72 Stunden.
Gefordert wird außerdem eine umfassende Planung für Geschäftskontinuität und Krisenreaktion. Das schließt Resilienzplanung, Desaster Recovery, Backups und Krisenkommunikation ein. Neu ist die explizite Verantwortung für die Lieferkettensicherheit. Unternehmen müssen Cyberrisiken bei Lieferanten und Dienstleistern aktiv steuern.
Der wohl radikalste Einschnitt ist die Governance und Verantwortlichkeit. NIS-2 führt eine klare Top Down Verantwortung ein. Das Management muss Cyberstrategien genehmigen und die Umsetzung überwachen. Bei Versäumnissen kann es persönlich haftbar gemacht werden. Die Sanktionen für Nicht Compliance haben Biss: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Anders als frühere Regulierungen ermöglicht NIS-2 auch persönliche Sanktionen gegen Führungskräfte. Für viele deutsche Unternehmen, insbesondere im Mittelstand, ist es das erste Mal, dass sie in EU-weite Cyberregulierung einbezogen werden.
Die deutsche Realität: Ein gefährliches Zögern
Obwohl NIS-2 in der EU gilt, hat Deutschland sein nationales Umsetzungsgesetz noch nicht verabschiedet. Der ursprüngliche Plan war, NIS-2 bis Anfang 2025 per „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ in nationales Recht zu überführen. Ein Referentenentwurf war von der vorherigen Regierung gebilligt. Die Auflösung des Bundestags Ende 2024 und anschließende Neuwahlen legten den Prozess aber auf Eis.
Unter der neuen Koalition muss das Verfahren vollständig neu starten. Das deutsche NIS-2 Umsetzungsgesetz wurde am 30. Juli im Kabinett beschlossen, doch gemäß parlamentarischem Verfahren muss der Entwurf erneut eingebracht, geprüft und beraten werden. Im besten Fall steht ein neues nationales Gesetz Ende 2025, die Inkraftsetzung könnte 2026 erfolgen.
Diese Verzögerung ist auf breite Kritik gestoßen; die EU-Kommission hat Deutschland und andere wegen Nichteinhaltung der Umsetzungsfrist sogar formell verwarnt. Besorgniserregend ist, dass es keine Anzeichen für eine Übergangsfrist gibt. Sobald das Gesetz verabschiedet ist, wird sofortige Compliance erwartet. Ein „sanfter Start“ oder ein gestuftes Inkrafttreten, wie in anderen EU-Staaten, ist nicht zu erkennen. In der Praxis heißt das: Deutsche Unternehmen müssen jetzt handeln, bevor das Gesetz kommt.
Was andere Länder tun: Europas proaktiver Ansatz
Während Deutschland hinterherhinkt, haben mehrere EU-Nachbarn bereits NIS-2 Umsetzungspläne veröffentlicht. Österreich erlebte zwar auch Verzögerungen, doch die neue Regierung hat einen neuen Gesetzesentwurf zur Konsultation vorgelegt. Behörden schätzen rund 30.000 betroffene Unternehmen und haben begonnen, sektorspezifische Leitfäden bereitzustellen.
Der niederländische Ansatz gilt als vorbildlich. Das Cybersicherheitsgesetz ging Anfang 2025 ins Parlament, mit klarem Zieltermin für die Durchsetzung bis Jahresende. Entscheidend: Die niederländischen Aufseher haben frühzeitig Leitlinien publiziert, die Unternehmen helfen, Risiken zu bewerten und Governance auszurichten.
Frankreich wählte einen breiteren Weg und bündelte NIS-2 in einem umfassenden nationalen Resilienzgesetz, das auch die CER-Richtlinie und DORA umfasst. Bis zum Frühjahr 2025 wurde das Gesetz bereits finalisiert. Frankreich weitet NIS-2 ähnliche Pflichten sogar über das EU-Mindestmaß hinaus aus, u. a. auf einige Kommunen und Forschungseinrichtungen.
Wie deutsche Unternehmen jetzt handeln müssen
Auch wenn das deutsche Gesetz verspätet ist: Die EU-Richtlinie gilt. Das sollten deutsche Unternehmen jetzt tun.
Erstens: Prüfen, ob Sie im Anwendungsbereich sind. Wenn Sie mehr als 50 Mitarbeitende haben und in einem in NIS-2 gelisteten Sektor tätig sind, lautet die Antwort wahrscheinlich ja. Auch als Zulieferer einer betroffenen Einrichtung können Sie indirekt betroffen sein.
Zweitens: Lückenanalyse durchführen. NIS-2 verlangt einen dokumentierten, risikobasierten Ansatz. Führen Sie eine strukturierte Gap Analyse durch, indem Sie Ihren aktuellen Status (Incident Response Pläne, Sicherheitsrichtlinien, Vulnerability Management, Zugriffskontrollen, Third Party Überwachung) mit den bekannten NIS-2 Anforderungen vergleichen.
Drittens: Mitarbeitersensibilisierung stärken. NIS-2 macht Cybersicherheit zur Chefsache. Die Leitung muss ihre Pflichten verstehen. Jetzt ist die Zeit, Aufsichtsgremien zu briefen, Bereichsleiter zu schulen und Awareness Workshops durchzuführen. Trainings sollten rollenspezifisch sein.
Viertens: Externe Unterstützung hinzuziehen. Nicht jedes Unternehmen hat die Inhouse Ressourcen. Hilfsmittel wie der NIS-2 Navigator von Deutschland sicher im Netz e. V. oder Angebote von IHKs, Branchennetzwerken und dem BSI bieten Unterstützung, um insbesondere KMU zu begleiten.
Fazit: Handeln statt Warten
NIS2 ist ein bedeutendes Gesetzgebungsvorhaben, das anerkennt: In unserer risikoreichen digitalen Welt ist Resilienz essenziell und verpflichtend. Ja, Deutschland ist spät dran. Ein Aufschieben der Vorbereitungen stellt angesichts der Lage ein erhebliches Risiko dar. Die EU-Richtlinie behält ihre volle Verbindlichkeit, während die Anpassung in anderen europäischen Staaten bereits voranschreitet. Maßgeblich ist jedoch: Bedrohungsakteure richten sich nicht nach nationalen Gesetzgebungsfristen, und auch der Wettbewerb wartet nicht.
