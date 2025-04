Bürokratische Mühlen mahlen mitunter sehr langsam. Das gilt im Besonderen bei arg komplexen Themen wie der Richtlinie NIS2. Sie sollte ursprünglich bereits im Oktober 2024 in nationales Recht umgesetzt worden sein. Doch ein verspäteter Referentenentwurf stand dem Vorhaben im Weg.

Der Bruch der Ampel-Koalition Ende 2024 und die volle Konzentration der früheren Bündnispartner SPD, Grüne und FDP auf den Bundestagswahlkampf im Winter sorgte dann dafür, dass das Thema vorerst aus dem Fokus geriet. Doch aufgeschoben ist nicht aufgehoben. Die Umsetzung von NIS2 in deutsches Recht folgt einer europaweiten Vorgabe. In anderen Staaten der Europäischen Union ist sie schon umgesetzt - Deutschland muss nachziehen.

An NIS2 führt kein Weg vorbei - und das ist gut so

Den von der Richtlinie betroffenen Unternehmen verschafft das eine kleine Atempause und etwas mehr Zeit für die Planungen. Doch klar ist auch: Wer sich bis dato noch gar nicht mit dem Thema befasst hat und auf die lahme Bürokratie gehofft hat, sollte spätestens jetzt damit beginnen. Denn an NIS2 führt kein Weg vorbei - das gilt für einen großen Kreis für Unternehmen und besonders für Firmen, die einen Großteil ihrer Daten bereits in die Cloud ausgelagert haben.

Manches deutsche Unternehmen scheint das Thema bislang auf die leichte Schulter zu nehmen, nach dem Motto: "Wird mich schon nicht treffen." So gaben jüngst in einer Studie von Veeam Software 70 Prozent der europaweit Befragten an, dass sie sich gut auf die neue EU-Richtlinie vorbereitet fühlen. Kommt es allerdings zum Schwur, sind nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zu NIS 2.

NIS2 ist kein Bürokratiemonster

Die Zahlen sind umso bedenklicher, wenn man die reale Gefahr dagegenhält: Cybersicherheit ist mittlerweile längst Alltag in jedem Unternehmen. 87 Prozent der Teilnehmerinnen und Teilnehmer der Studie gaben zu, dass sie in den vergangenen zwölf Monaten mindestens einen Sicherheitsvorfall erlebt hatten, der durch NIS2-Maßnahmen vermeidbar gewesen wäre.

Vor diesem Hintergrund erscheint NIS2 nicht als weiteres "Bürokratiemonster" Made in Brüssel, sondern als sinnvoller Schutzwall. Lisa Fröhlich, Unternehmenssprecherin beim europäischen Cybersicherheitsanbieter Link11:, sagt: "Das neue KRITIS-Dachgesetz zielt darauf ab, die digitale und analoge Bedrohungslage sowie ihre Abwehrmaßnahmen in einem ganzheitlichen Konzept zu vereinigen. Das Gesetz setzt eine EU-Richtlinie zur Stärkung der Resilienz von Betreibern kritischer Anlagen um und ergänzt die Pflichten, die voraussichtlich mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den digitalen Schutz gelten werden."

Anwenderkreis wurde deutlich größer gezogen

Tobias Lang, Abteilungsleiter Cyber Security des IT-Systemhauses NetPlans mit Sitz in Ettlingen, sagt: "Mit der fortschreitenden Digitalisierung und den Veränderungen in Geschäftsprozessen steigt auch das Risiko von Cyberangriffen. Um dieser Bedrohung entgegenzuwirken, hat die EU die NIS2-Richtlinie erlassen, die strengere Sicherheitsanforderungen für Unternehmen festlegt und gleichzeitig einheitliche Sanktionen vorsieht." Zwei zentrale Fragen stehen aus seiner Sicht für alle Unternehmen jetzt im Raum: "Gilt die Richtlinie für mein Unternehmen? Und wenn ja, wie können die Vorgaben praktisch umgesetzt werden?"

Die wesentliche Änderung zwischen NIS1 und NIS2 betrifft den Anwenderkreis. Denn dieser wurde erheblich ausgeweitet. "Betroffen sind nun Unternehmen ab einer bestimmten Größe, die in Bereichen der Daseinsvorsorge, der Aufrechterhaltung des Gemeinwohls und der Funktionsfähigkeit des Wirtschaftsstandorts eine entscheidende Rolle spielen", sagt Christopher Hock. Er berät beim Consulting- und Prüfungsunternehmen Forvis Mazars zu den Themen Informationssicherheit und Compliance.

Hock weiter: "Im Gegensatz zur Vorgänger-Verordnung KRITIS, die nur einige ganz große Unternehmen aus wenigen Bereichen betraf, gilt NIS2 jetzt für sehr viele Firmen aus einer ganzen Reihe zusätzlicher Branchen und Sektoren."

Ansgar Tessmer, Senior Manager IT Audit & Advisory bei Forvis Mazars, unterstreicht das besondere Problem, das er in der Sorglosigkeit in vielen Chefetagen beobachtet hat: "Vielen ist noch gar nicht bewusst, dass sie aktiv werden müssen."

40.000 weitere Firmen könnten betroffen sein

Im Kern ging es bisher um Unternehmen und Organisationen in zehn klar definierten kritischen Sektoren. Im Vergleich zur vorherigen NIS1-Richtlinie (in Deutschland durch die KRITIS-Verordnung und das BSI-Gesetz umgesetzt) steigen im Zuge von NIS2 auch die Sanktions- und Eingriffsmöglichkeiten der Aufsichtsbehörden. Bei Verstößen drohen empfindliche Geldstrafen.

Zu den relevanten Sektoren gehören Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Abwasser, Trinkwasser, digitale Infrastruktur, IKT-Dienste, aber auch die öffentliche Verwaltung, Post- und Kurierdienste, Abfallbewirtschaftung, Anbieter digitaler Dienste, Forschung sowie Produktion, Herstellung und Handel mit chemischen Stoffen, Maschinenbau sowie Produktion von Fahrzeugen, Fahrzeugteilen und Lebensmitteln.

Sollte eine GmbH oder Aktiengesellschaft NIS2-pflichtig werden, müssen die Unternehmensverantwortlichen drei Dinge erledigen:

Am Anfang steht die Registrierung bei einer nationalen Behörde - in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Anschluss müssen Meldewege zur nationalen Behörde eingerichtet werden, über die relevante Sicherheitsvorfälle weitergegeben werden. Die Richtlinie sieht unterschiedliche Fristen vor, um einen Vorfall mitzuteilen. Um die Risiken für ihre Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder gering zu halten, müssen die Unternehmen im dritten Schritt eine Reihe von "angemessenen" Informationssicherheitsmaßnahmen umsetzen. Das genaue Ausmaß definieren die Firmen dabei selbst. Die Richtlinie gibt nur Bausteine vor.

Bei Verstößen haften Chefs und Chefinnen sogar mit eigenem Geld

Doch wie finden Unternehmen heraus, wie sicher und NIS2-fit ihre IT ist? "Zu Beginn empfiehlt es sich, eine sogenannte Gap-Analyse vorzunehmen", sagt Berater Christopher Hock. "Hierbei sollten die Verantwortlichen schauen, was im Unternehmen schon als Sicherheitsarchitektur vorhanden ist, und dies mit den Anforderungen abgleichen. Dabei erkennt man, welche Lücken es gibt und in welchen Bereichen weitere Maßnahmen erforderlich sind."

Tobias Lang erarbeitet mit seinem Team für die Kunden einen klaren Fahrplan für die "NIS2-Readyness". Zu Beginn steht dabei die Erarbeitung eines ganzheitlichen Cyber-Security-Konzepts, das die Identifizierung kritischer Infrastrukturen, die Analyse von Bedrohungen und Schwachstellen, die Umsetzung von Sicherheitsmaßnahmen sowie die Einhaltung der nationalen NIS2-Gesetzgebung berücksichtigt. Wichtig sind nach seinen Worten aber auch "regelmäßige Risikobewertungen, um potenzielle Gefahren und Schwachstellen zu erkennen, welche die Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme und Netzwerke beeinträchtigen könnten".

Ein weiterer wichtiger Punkt betrifft die Vorbereitung für den Fall des Angriffs-Falles - und damit das "Incident Management". Hierbei geht es um die Implementierung eines effektiven Prozesses, um Sicherheitsvorfälle und Bedrohungen effektiv zu erkennen, zu bewerten, zu eskalieren und zu beheben. Zudem sollte sich jedes Unternehmen vorab Gedanken machen, wie es bei und nach einer Cyber-Attacke dennoch weitermachen können.

Dafür braucht es einen "Business-Continuity-Management"-Plan (BCM), der gewährleistet, dass das Unternehmen auch bei Sicherheitsvorfällen oder Betriebsunterbrechungen weiterhin funktionsfähig bleibt. Neben der Etablierung eines Meldewesens sind auch die Schulungen für Mitarbeiterinnen und Mitarbeiter entscheidend.

Denn der schönste Plan hilft wenig, wenn die Menschen im Unternehmen nicht geschult und sensibilisiert sind. Je besser sie das sind, desto frühzeitiger werden mögliche Attacken erkannt und im Keim erstickt. Schließlich kommt es laut Sascha Collin auf das richtige Monitoring und Reporting an. Denn nach einer Attacke ist vor der nächsten. Wer aber jeweils die richtigen Schlüsse zieht aus den Angriffen, ist resilienter als andere.