Thought Leadership
Nach Inkrafttreten des NIS2-Gesetzes diskutieren Experten im TeleTrusT-Podcast den aktuellen Stand sowie die Potenziale der neuen European Business Wallet.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat eine neue Folge seines Fach-Podcasts unter dem Titel „NIS2 und eIDAS Update“ veröffentlicht. Im Rahmen dieser regulatorischen und operativen Bestandsaufnahme erörtern IT-Sicherheits- und Compliance-Experten die unmittelbaren Konsequenzen des deutschen NIS-2-Umsetzungsgesetzes für die Wirtschaft. Im Zentrum der von Carsten Vossel (CCVOSSEL) geleiteten Diskussion stehen die praktischen Probleme bei der Implementierung der Sicherheitsvorgaben sowie die technologischen Entwicklungen rund um die eIDAS-2.0-Verordnung. Als geladene Experten bringen Tim Golly (TÜVIT) und Markus Schuster (procilon) ihre fachlichen Analysen zur aktuellen Sicherheitsorganisation in Unternehmen sowie zu den kommenden digitalen Identitätsstrukturen in den Diskurs ein.
Fehlender Überblick bei der Betroffenheitsprüfung nach dem Gesetzesstart
Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) ist am 6. Dezember 2025 ohne Übergangsfristen in Kraft getreten. Seit dem Start des offiziellen Registrierungsportals beim Bundesamt für Sicherheit in der Informationstechnik (BSI) am 6. Januar 2026 und dem Ablauf der dreimonatigen gesetzlichen Frist zur Pflichtregistrierung am 6. März 2026 zeigt sich in der Praxis ein erheblicher administrativer Nachholbedarf. Rund 30.000 Einrichtungen in Deutschland fallen unter die neuen Regelungen, die Unternehmen ab einer Schwelle von 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Millionen Euro in insgesamt 18 kritischen Sektoren zur Einhaltung strenger Sicherheitsstandards verpflichten.
Tim Golly (TÜVIT) legt dar, dass sich ein signifikanter Anteil der betroffenen Unternehmen nach wie vor in einer frühen Phase der praktischen Umsetzung befindet. Ein zentrales Problem stellt dabei die anhaltende Unklarheit bei der Betroffenheitsprüfung nach § 28 des Gesetzes dar. Viele mittelständische Betriebe in Sektoren wie dem Maschinenbau, der Lebensmittelproduktion oder der Logistik haben ihre regulatorische Einstufung als „wichtige“ oder „besonders wichtige“ Einrichtung bis heute nicht rechtssicher geklärt. Da das Gesetz unmittelbare Geltung besitzt, führt diese Verzögerung zu akuten rechtlichen Risiken.
Ressourcenmangel blockiert Risikoanalysen und Meldeprozesse
Ein wesentlicher Schwerpunkt der Podcast-Diskussion betrifft die operativen Hürden innerhalb der Firmenstrukturen. Neben dem allgemeinen Mangel an qualifizierten Fachkräften für Informationssicherheit belasten die konkreten gesetzlichen Vorgaben zum Risikomanagement gemäß § 30 und die strengen Vorfallsmeldepflichten nach § 32 die internen Ressourcen der Unternehmen. Betroffene Betriebe müssen in der Lage sein, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Erstmeldung an das BSI zu übermitteln, gefolgt von einer detaillierten Aktualisierung nach spätestens 72 Stunden.
Die Implementierung dieser Meldeprozesse erfordert eine kontinuierliche Überwachung der IT-Infrastruktur und eine dokumentierte 24/7-Erreichbarkeit, was insbesondere kleinere und mittlere Unternehmen (KMU) vor erhebliche logistische Probleme stellt. Darüber hinaus weitet NIS-2 die Pflichten auf das gesamte Lieferkettenmanagement aus. Unternehmen dürfen Dienstleister und Zulieferer nur noch dann in ihre Prozesse einbinden, wenn diese nachweislich adäquate Sicherheitsstandards erfüllen. Golly betont in diesem Kontext, dass Informationssicherheit durch das neue Recht zwingend als strategische Managementaufgabe verstanden werden muss. Gemäß § 38 des Gesetzes unterliegt die Geschäftsführung einer persönlichen, unbeschränkbaren Haftung für die Implementierung und Überwachung der Risikomanagementmaßnahmen.
European Business Wallet soll bis 2027 umgesetzt werden
Parallel zur Cybersicherheit transformiert die Europäische Union mit der eIDAS-2.0-Verordnung die Infrastruktur für digitale Identitäten und Vertrauensdienste. Bis zum Ende des Jahres 2026 sind alle EU-Mitgliedstaaten gesetzlich verpflichtet, ihren Bürgern eine europäische digitale Identitätsbrieftasche (EUDI-Wallet) bereitzustellen. Im nationalen Rahmen regelt die Technische Richtlinie TR-03189 des BSI die konkreten Vorgaben an die Identifizierung, Aktivierung und Sicherheitsarchitektur dieser Wallets. Während diese EUDI-Wallet primär als persönliche Anwendung für mobile Geräte natürlicher Personen konzipiert ist, rücken im geschäftlichen Umfeld nun die Anforderungen für juristische Personen in den Fokus der Gesetzgebung.
Markus Schuster (procilon) ordnet im TeleTrusT-Podcast die neuesten Entwicklungen rund um die von der Europäischen Kommission vorgeschlagene European Business Wallet (EUBW) ein. Die rechtliche Basis hierfür bildet ein spezifischer Verordnungsvorschlag der EU-Kommission, der bis zum Jahr 2027 vollständig umgesetzt werden soll. Die European Business Wallet fungiert als dedizierte digitale Infrastruktur für juristische Personen, um wirtschaftliche und administrative Abläufe innerhalb des europäischen Binnenmarktes zu standardisieren und zu beschleunigen.
Im Gegensatz zur personengebundenen Brieftasche ermöglicht die Business Wallet ein mandanten- und rollenbasiertes Autorisierungssystem, das exakt auf die hierarchischen Strukturen von Unternehmen zugeschnitten ist. Organisationen können damit digitale Nachweise, Bescheinigungen und Handelsregisterauszüge sicher und kryptografisch verifiziert grenzüberschreitend mit anderen Unternehmen sowie mit Behörden austauschen. Zudem erlaubt die Infrastruktur das rechtssichere elektronische Signieren von Dokumenten im Namen einer juristischen Person unter Einbindung qualifizierter Vertrauensdienste. Ein integriertes Unternehmensadressbuch und verlässliche, verschlüsselte Kommunikationskanäle sollen den administrativen Aufwand im B2B-Bereich nachhaltig senken und Medienbrüche in digitalen Geschäftsprozessen eliminieren.
