NIS-2 in Deutschland: Ambition trifft auf Umsetzungshürden

Mit der EU-Richtlinie NIS- 2 (EU 2022/2555) will Europa sektorübergreifend ein hohes Niveau an Cybersicherheit schaffen. In Deutschland jedoch stockt die Umsetzung: Die Frist vom 18. Oktober 2024 wurde verpasst. Ein erster Gesetzesentwurf liegt seit dem 23. Juni 2025 vor, wird jedoch erst frühestens Ende des Jahres verabschiedet. Rund 30.000 Unternehmen stehen daher derweil ohne klare rechtliche Orientierung da.

Entscheidende Lücken

Der angesprochene Entwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) enthält dabei jedoch zentrale Vorgaben: Risikoanalysen, Meldepflichten binnen 24 Stunden, erweiterte Befugnisse für das BSI und eine zentrale CISO-Rolle im Bund. Doch es bleiben auch hier weiterhin entscheidende Lücken: Behörden sind teils ausgenommen, Sanktionsmechanismen fehlen, und bei Themen wie Cyberhygiene oder konkreten Sicherheitsstandards bleibt vieles vage.

Kritik kommt auch vom Bundesrechnungshof: Nur ein Bruchteil der Bundessysteme erfüllt Basisanforderungen. 77 parallele Akteure erschweren die Steuerung, und bis heute fehlen Aufsicht, Meldewege und technische Registerinfrastruktur.

Für Unternehmen bedeutet das: Sie sollen handeln, jedoch ohne verbindliche Vorgaben. Statt Klarheit herrscht Unsicherheit, statt Struktur droht Bürokratie. Doch Nichtstun ist keine Option.

Was jetzt zählt: Drei Empfehlungen aus der Praxis

1. Nicht warten – starten: Beginnen Sie mit einem ISMS, z. B. nach ISO 27001
2. Verantwortung benennen: Definieren Sie interne Rollen wie CISO oder ISB
3. Sprechen Sie uns an: Wir setzen mit Ihnen NIS-2 in Ihrem Unternehmen um

Wer jetzt handelt, schützt nicht nur sein Unternehmen, sondern verschafft sich einen klaren Vorsprung in einem zunehmend komplexen Umfeld. Denn weiteres Warten kostet Zeit, Geld und Vertrauen.

Veröffentlicht am 5. August 2025