Die NIS2-Richtlinie soll den Wohlstand in Deutschland durch wirtschaftliche, angemessene und wirksame Sicherheitsmaßnahmen schützen. Schon 70 % des Gesamtschadens der Wirtschaft wurden hier durch Cyberattacken verursacht. Doch lediglich die Hälfte der betroffenen Unternehmen hatte sich bis März beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Die Ursachen für dieses zögerliche Verhalten sowie die Frage, ob sich die Investition in die Erfüllung der neuen gesetzlichen Pflichten lohnt und welche NIS2-Umsetzungsstrategie für Ihr Unternehmen am günstigsten ist, werden wir hier diskutieren.
Ist Ihr Unternehmen von NIS2 betroffen?
Viele kleine und mittlere Unternehmen (KMU) unterschätzen die Reichweite des NIS2-Gesetzes. Wir empfehlen Ihnen daher dringend, zunächst eine Betroffenheitsprüfung des BSI durchzuführen, um zu klären, ob Ihr Unternehmen zu den Verpflichteten zählt. Dabei müssen die Anzahl der Mitarbeiter und der Umsatz aller rechtlichen unselbstständigen Organisationseinheiten angegeben werden. Wenn Sie IT-Dienstleistungen an von NIS2 betroffene Unternehmen anbieten, müssen Sie mit rechtlichem Rat analysieren, ob Sie von NIS2 betroffen sind. Da die Seite des BSI keine rechtlich bindende Auskunft erteilt, müssen Sie dokumentieren, warum Ihr Unternehmen betroffen ist oder nicht.
Auch wenn Sie nicht direkt betroffen sind, lohnt es sich, weiterzulesen, um zu erfahren, welche Vorteile sich für Ihr Unternehmen aus der Umsetzung der NIS2-Anforderungen ergeben können und ob sich diese Vorteile lohnen. Aufgrund der Erfahrungen mit NIS-1 und der Bedeutung von IT-Systemen für unsere Gesellschaft gehen wir davon aus, dass die EU den Umfang der Regulierung in den nächsten Jahren erweitern wird.
Warum zögern so viele Unternehmen?
Schätzungsweise sind 29 500 Firmen in Deutschland von der NIS2-Richtlinie betroffen, aber bis zum letzten Tag der Registrierungsfrist waren nur rund 52 % der Unternehmen registriert. Was sind die Ursachen für dieses Verhalten?
Die tatsächliche Reichweite der Regulierung wird von den Unternehmern deutlich unterschätzt. Besonders Firmen mit 10 bis 49 Mitarbeitern und einem Umsatz von mehr als 10 Millionen Euro scheinen ihre Betroffenheit nicht erkannt zu haben, wie aus dem Cyber Security Report 2026 hervorgeht. Die Datenlage deutet darauf hin, dass insgesamt 48 % aller befragten Unternehmen eine unerkannte Betroffenheit aufweisen könnten.
Viele Unternehmen verhalten sich abwartend, da das BSI kooperativ auftritt und sie bereits Erfahrungen mit dem KRITIS-Gesetz gemacht haben. Nachdem Auditoren Mängel bei der IT-Sicherheit von Betreibern kritischer Anlagen entdeckt hatten, gab das BSI ihnen genügend Zeit, um neue Maßnahmen umzusetzen, anstatt mit Bußgeldern zu drohen. Das BSI versteht beispielsweise, dass die Segmentierung des Netzwerks erhebliche Risiken birgt und der Prozess mehrere Monate dauert. Trotzdem sind sich nicht alle Behörden einig: Im März 2025 sollte der Rechnungshof das BSI aufgefordert haben, den Druck auf die KRITIS-Betreiber zu erhöhen.
Fehlendes Personal (58 Prozent der Firmen) und begrenzte Budgets (43 Prozent) sind zwei der Herausforderungen, mit denen viele Unternehmen bei der Umsetzung von NIS2 konfrontiert sind. Dies ist ein Zeichen dafür, dass viele Geschäftsführer IT-Sicherheit als Kosten und nicht als Schutz der Arbeitsplätze sehen. Dies führt zu unzureichenden Budgets, die mit viel Aufwand genehmigt werden. Sie sind oft knapp für wichtige Maßnahmen wie das Testen der Wiederherstellung der Backups und Servers. Meiner Erfahrung nach wird die Wichtigkeit der IT-Systeme erst nach einem Ausfall der Produktion anerkannt.
Es geht um Prozesse, nicht um Software
Bei NIS2 geht es um die Etablierung und Optimierung von Prozessen, die das Geschäft schützen, anstatt neue Software anzuschaffen. Diese Prozesse sollten den Betrieb aufrechterhalten, Sicherheitsvorfälle erkennen, darauf reagieren und sie melden sowie Risiken früh erkennen und mindern. Auch die Sicherheit der Lieferkette sowie der Erwerb, die Entwicklung und die Wartung von Software spielen eine wichtige Rolle in der NIS2-Richtlinie. In all diesen Bereichen ist der erste Schritt eine Risikobewertung, um zu entscheiden, welche Maßnahmen für die Unternehmen wirtschaftlich sinnvoll und effektiv sind. Ohne diese ist der Kauf von Sicherheitsprodukten nicht zielführend.
Schließlich werden gemäß NIS2 auch Schulungen über IT-Sicherheit für die Geschäftsführung gefordert. Wenn wir Auto fahren oder auf der Straße gehen, wollen wir Unfälle vermeiden und gesund ans Ziel kommen. Die Risiken des Straßenverkehrs sind uns bewusst. Aber die Risiken unserer geschäftskritischen IT-Systeme sind für Mitarbeiter außerhalb der Abteilungen Compliance und IT jedoch oft nicht bewusst. Deswegen finden wir die Anforderungen an Schulungen positiv, wenn diese praxisnahe Inhalte haben.
Datenschutz und NIS2-Compliance in der EU – Image by Tumisu from Pixabay
Die günstigste Strategie: Handeln statt abwarten!
Die kostengünstigste Strategie besteht darin, sich zu registrieren und die größten Risiken für Ihre Geschäftsprozesse zu analysieren. Nichts zu tun ist teuer und riskant. Während die Strafen für die Nichteinhaltung eine bekannte Größe sind, sind die Kosten für einen dreiwöchigen Produktionsstillstand, eine kompromittierte Lieferkette oder eine schwere Datenpanne unkalkulierbar, solange Sie diese Risiken nicht bewertet haben.
Der Fall eines Ford-Autohauses, das nach einem Hackerangriff Insolvenz anmelden musste, ist eine deutliche Warnung, was passieren kann, wenn unsere IT-Infrastruktur lahmgelegt wird. Einfach abzuwarten, könnte die Existenz der Firma gefährden.
Organisationen, die ihr NIS2-Programm nur darauf ausrichten, Strafen zu vermeiden, bauen auf Sand. Sie erstellen Dokumente für Auditoren und implementieren Richtlinien, die ungelesen bleiben. Sie erfüllen vielleicht den Buchstaben des Gesetzes, verfehlen aber dessen Zweck, nämlich Arbeitsplätze zu schützen. Compliance allein stoppt keine Cyberangriffe und stellt keine lahmgelegte Produktionslinie wieder her. Die in Artikel 21 beschriebenen Mindestsicherheitsmaßnahmen sind keine bürokratischen Hürden, sondern die Grundlage für operative Resilienz.
Positive Effekte einer ernsthaften Umsetzung
Eine durchdachte Implementierung von NIS2 bringt diese Vorteile:
- weniger Betriebsstörungen
- Besseres Verständnis für kritische Prozesse, Systeme, Netzwerke und Abhängigkeiten mit Ihrem Lieferanten
- Schnelle Wiederherstellung der Geschäftsprozesse nach einem Notfall
- Geringere Anfälligkeit für Schäden durch Konfigurations- oder Programmierfehler bzw. Ransomware
- Störungen an Ihren Lieferanten werden Ihrer Firma wenig schaden
Nach der Anerkennung der Betroffenheit der Unternehmen durch NIS2 müssen Sie Ihre geschäftsrelevanten IT-Systeme sowie sekundäre Systeme, deren Manipulation zu großen Schäden indirekt führen kann, identifizieren. Ein Beispiel ist der Domain-Controller, über den Sie alle Berechtigungen für alle Windows-Maschinen verwalten. Durch diese Identifikation wird der Umfang Ihrer kritischen Prozesse definiert und der Wert Ihrer Investitionen in IT-Sicherheit erhöht, da Sie sich auf die relevantesten Bereiche konzentrieren können.
Danach bewerten Sie die Risiken dieser Systeme, einschließlich der physischen Sicherheit. In diesem Schritt sparen Sie Geld, indem Sie die Risiken explizit priorisieren und beobachten, ob die aktuellen Prozesse diese Risiken ausreichend minimieren. Hier ist es wichtig, mit der betroffenen Fachabteilung zu sprechen, um den möglichen Verlust für das Unternehmen zu kalkulieren. Da das Risiko in die Sprache des Geschäfts übersetzt wird, ist es einfacher, ein Budget für die Mitigation zu erhalten.
Wenn man ein Budget und Personal zur Verfügung hat, beginnt man damit, die effektivsten Sicherheitsmaßnahmen umzusetzen. Da man nun weiß, was geschützt werden soll, ist es einfacher, einen Prozess umzusetzen, einen bestehenden zu verbessern oder eine Sicherheitslösung zu erwerben. Außerdem kann man externen Auditoren und Behörden zeigen, dass man in die Erhöhung der IT-Sicherheit des Unternehmens investiert. In regelmäßigen Abständen überprüft man, ob die Prozesse und Sicherheitsprodukte noch wirksam sind. Zum Beispiel: Heutzutage gibt es ressourcensparsame Möglichkeiten, den Zugang zu personenbezogenen Daten zu protokollieren und die Erstellung unerlaubter Kopien von Daten zu verhindern. Damit können die Anforderungen von DSGVO und NIS2 effizienter und effektiver erfüllt werden. Deshalb lohnt es sich, die Effektivität und Wirtschaftlichkeit Ihrer aktuellen Sicherheitsprozeduren immer wieder zu prüfen und gegebenenfalls Alternative Prozesse oder Tools umzusetzen.
Die Sicherheit der Prozesse von Dienstleistern, Zulieferern und externen IT-Partnern muss in Ihrer Risikobewertung berücksichtigt werden, da sie für die Kontinuität Ihres Geschäfts relevant sind. Zulieferer müssen eigene Sicherheitsmaßnahmen umsetzen, die sich positiv auf mehrere Unternehmen auswirken werden. Dies wird die IT-Sicherheit in Ihrer Industrie erhöhen. Auch bei der Beschaffung oder Entwicklung von Software werden Sie die relevantesten Sicherheitsanforderungen dokumentieren, um die wichtigsten Risiken zu verringern, statt zu versuchen, Sicherheit ohne klare Ziele umzusetzen.
Wie fangen Sie an?
Das BSI stellt betroffenen Unternehmen ein Starterpaket zur Verfügung und bietet virtuelle Kick-off-Seminare an, um den Einstieg zu erleichtern. Der erste Schritt ist immer die Klärung der eigenen Betroffenheit.
Ihre Erfahrungen
Die Umsetzung von NIS2 erfordert die Definition eines Prozesses, mit dem Sie Ihr Geschäft ständig verbessern. Das ist nicht anders als in anderen Bereichen wie Marketing und Vertrieb, in denen Sie Ihre Strategie und Ausführung ständig optimieren.
Welche Erfahrungen haben Sie mit der Verbesserung von Geschäftsprozessen durch NIS2 gemacht? Wir freuen uns auf Ihre Kommentare.