Seit Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2) am 6. Dezember 2025 gelten für rund 29.500 Unternehmen und Einrichtungen in Deutschland neue Pflichten; das BSI betont dabei vor allem Registrierung, Vorfallmeldung sowie die Implementierung und Dokumentation von Risikomanagementmaßnahmen. Entscheidend ist jetzt nicht noch mehr Abstimmung, sondern ein belastbarer Überblick über Risiken, Verantwortlichkeiten, Maßnahmen und Nachweise – damit im Audit oder Vorfall nicht Excel, E‑Mail und Einzelwissen den Takt vorgeben.
Deutschland verzeichne zwar Fortschritte, aber immer mehr Betreiber kritischer Infrastrukturen erfüllen die Mindestanforderungen. Doch „bleibt die Lage angespannt, da die mangelnde Umsetzung von Schutzmaßnahmen dazu führt, dass digitale Systeme angreifbar sind,“ enthüllt der BSI-Jahresbericht zur Lage der IT-Sicherheit in Deutschland 2025. Zu dem Zweck hat die Bundesregierung endlich EU NIS2 in deutsches Recht überführt, damit ein solches Treiben zumindest eingedämmt werden. BSI-Präsidentin Claudia Plattner betonte: „Die Letzten beißen die Hunde!“ Denn „Cyberkriminelle dringen überall ein, wo es ihnen möglich ist„. Diese Richtlinie soll die Cyber-Resilienz stärken und hat zweifellos das Potenzial dazu.
NIS2: Ein Blick auf die EU-Richtlinie für die Cybersicherheit
Das BSI kommuniziert für betroffene Unternehmen aktuell vor allem drei Kernpflichten: Registrierung, Meldung erheblicher Sicherheitsvorfälle sowie Implementierung und Dokumentation von Risikomanagementmaßnahmen. Zusätzlich ist Cybersicherheit ausdrücklich Geschäftsleitungsaufgabe; die Leitung muss die Maßnahmen umsetzen, ihre Umsetzung überwachen und sich schulen lassen. Cybersicherheit sollte letztlich als integraler Bestandteil der Unternehmensstrategie betrachtet werden und nicht als nachgelagerte Funktion.
Herausforderungen und Potenziale der NIS2-Implementierung in Deutschland
Mit NIS2 steigt der Druck, Cybersicherheit nicht nur technisch, sondern organisatorisch belastbar aufzustellen. Entscheidend ist dabei weniger, wer formal an wen berichtet, sondern ob Verantwortlichkeiten, Nachweise und Maßnahmen so geregelt sind, dass sie gegenüber Geschäftsführung, Aufsicht und internen Gremien Bestand haben. Genau daran scheitert die Umsetzung in der Praxis häufig: Zuständigkeiten sind verteilt, Informationen liegen in Excel, E‑Mails und Einzelwissen, und im Ernstfall ist unklar, wer was bis wann veranlasst. Wer NIS2 nachhaltig umsetzen will, braucht deshalb eine verlässliche Struktur, mit der Risiken, Maßnahmen und Nachweise nachvollziehbar dokumentiert und Entscheidungen sauber abgesichert werden können.
Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, bringt es auf den Punkt: Beim Schutz vor den Folgen eines Cyberangriffs gibt es kein Maßnahmen–, sondern ein Umsetzungsproblem. Manches Unternehmen glaubt das BSI sei für die Verteidigung von Unternehmen zuständig. Unternehmen, die erkannt haben, dass sie selbst für ihre Sicherheit sorgen müssen, scheitern in der Praxis an Kompetenzverteilung: Wer muss im Falle des Falles was bis wann tun? In Anbetracht der steigenden Komplexität und des Umfangs von Cyberbedrohungen müssen CIOs, CISOs und CEOs als Sicherheits- und Risikomanager (SRM) zusammenarbeiten, um eine Kultur der Cybersicherheit zu fördern, die über die IT-Abteilung hinausgeht und das gesamte Unternehmen einbezieht – ansonsten sind folgende, die NIS2 umfassende Disziplinen nicht zu bewältigen:
NIS2 in der Praxis: Diese Maßnahmen jetzt priorisieren
- Cyber-Risikomanagement: Es ist notwendig, Risikomanagementprozesse zu etablieren, um Cyberrisiken zu verwalten und Bedrohungen für kritische Dienste zu mindern. NIS2 verknüpft Kontrollen und Schutz unmittelbar mit dem Risikomanagement. Sowohl die EU-Staaten als auch die Europäische Agentur für Cybersicherheit (ENISA) werden koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen. Wer NIS2 umsetzen will, muss Kontrollen und Schutzmaßnahmen als integralen Bestandteil der Unternehmenssteuerung verstehen, nicht als isoliertes IT-Projekt.
- Unternehmensverantwortung: Interne Berichtsmechanismen sollen eingerichtet werden, um das Top-Management über Risikoexposition und Sicherheitslage zu informieren und so die Verantwortlichkeit zu fördern. Es sollen Strukturen geschaffen werden, die es dem Unternehmensmanagement ermöglichen, Cybersicherheitsmaßnahmen zu überwachen, zu genehmigen und auf Cyber-Risiken zu reagieren.
- Meldepflichten: Externe Berichtsfähigkeiten sollen etabliert werden, um den Anforderungen an die Berichterstattung von Sicherheitsvorfällen gerecht zu werden und die Einhaltung der NIS2-Richtlinie zu gewährleisten. Prozesse für die umgehende Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf die Dienstleistung oder die Empfänger müssen etabliert werden. Die zuständigen Behörden könnten dann den Vorfall bewerten und den betroffenen Betreibern oder Anbietern Anleitungen geben. Neben verpassten Meldepflichten gibt es bei NIS2 weitere Umsetzungsfehler, die sie unbedingt vermeiden sollten. Diese finden Sie hier.
- Business Continuity (auch bei Störungen Geschäftskontinuität beibehalten): Es müssen Pläne entwickelt werden, die Überlegungen zum Backup-Management, zur Katastrophenwiederherstellung und zum Krisenmanagement beinhalten, um Chaos im Betrieb bzw. Ausfälle bei Cyberattacken zu vermeiden und den Geschäftsbetrieb schnell wieder aufnehmen zu können bzw. beizubehalten.
Wer muss an einem Strang ziehen?
NIS2 macht aus Cybersicherheit ein Betriebsthema. Denn wenn ein Vorfall zentrale Prozesse trifft, reicht es nicht, dass die IT reagiert. Dann müssen Geschäftsführung, Betrieb, Compliance, Lieferkette und Kommunikation ineinandergreifen – schnell, klar und ohne Reibungsverluste. In vielen Unternehmen scheitert genau das nicht an fehlenden Maßnahmen, sondern an unklaren Zuständigkeiten, verstreuten Informationen und zu viel Abstimmung im falschen Moment. Wer unter NIS2 handlungsfähig bleiben will, braucht deshalb vor allem eines: einen zentralen Überblick über Risiken, Maßnahmen, Verantwortlichkeiten und Nachweise.
Empfehlung: Warum ein integriertes Managementsystem für NIS2 sinnvoll ist
Wer NIS2 umsetzen will, braucht nicht noch mehr Einzellösungen, Listen und Abstimmungsschleifen. Entscheidend ist, dass Risiken, Maßnahmen, Verantwortlichkeiten und Nachweise so zusammenlaufen, dass sie im Alltag steuerbar bleiben und im Ernstfall tragen. Genau hier spielt ein integriertes Managementsystem seine Stärke aus: Es verbindet Informationssicherheit, Risikomanagement und Business Continuity in einer gemeinsamen Struktur, statt sie getrennt voneinander zu verwalten.
Für Unternehmen mit kritischen Prozessen ist das vor allem eine Frage der Handlungsfähigkeit. Wenn Sicherheitsvorfälle Auswirkungen auf Betrieb, Produktion oder Lieferfähigkeit haben, muss klar sein, welche Risiken priorisiert werden, welche Maßnahmen greifen und wer verantwortlich ist. Ein integriertes Managementsystem schafft dafür den nötigen Überblick und reduziert Reibungsverluste zwischen IT, Betrieb, Compliance und Geschäftsführung.
Standards wie ISO 27001 für Informationssicherheitsmanagement, ISO 22301 für Business Continuity und ISO 31000 für Risikomanagement lassen sich dabei sinnvoll zusammenführen. Der Vorteil liegt nicht in möglichst viel Dokumentation, sondern in einer Struktur, die Doppelarbeit vermeidet, Abhängigkeiten sichtbar macht und Entscheidungen beschleunigt.
So wird Cybersicherheit nicht nur besser dokumentiert, sondern vor allem besser steuerbar. Und genau das ist unter NIS2 entscheidend: nicht mehr Komplexität, sondern mehr Klarheit, Verbindlichkeit und Stabilität. Ein integriertes Managementsystem sorgt dafür, dass aus einzelnen Sicherheitsmaßnahmen ein belastbarer Ablauf wird – bevor aus einem Vorfall ein Betriebsproblem wird.
