Nach monatelangem Schwebezustand hat der Bundestag das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuG) verabschiedet. Was für viele Unternehmen nach einer weiteren bürokratischen Hürde klingt, ist in Wahrheit ein überfälliger Weckruf: Die entscheidende Neuerung, die viele Führungsetagen noch nicht in ihrer vollen Tragweite erfasst haben, ist die explizite und gesetzlich verankerte persönliche Haftung der Geschäftsleitung.
Bisher konnten Unternehmen sich hinter der IT-Abteilung oder externen Dienstleistern verstecken – diese Zeit ist vorbei. Die Geschäftsführung ist nun unmissverständlich in der Pflicht, die Umsetzung von Cybersicherheitsmaßnahmen nicht nur zu delegieren, sondern aktiv zu steuern, zu überwachen und deren Wirksamkeit nachzuweisen. Ein IT-Dienstleister kann unterstützen, aber er entbindet nicht von der Verantwortung.
Die Verabschiedung des Gesetzes bringt zwar endlich Klarheit, schafft aber auch neue, komplexe Herausforderungen für deutsche Unternehmen.
Doppelregulierung und unklare Abgrenzung
Ein Hauptkritikpunkt bleibt die teils unübersichtliche Gemengelage aus verschiedenen Regularien. Besonders für Betreiber Kritischer Infrastrukturen (KRITIS) entsteht eine problematische Doppelbelastung.
KRITIS vs. NIS2: Während sich die bisherige KRITIS-Regulierung primär auf den Schutz spezifischer Anlagen konzentrierte (zum Beispiel ein Kraftwerk), erweitert NIS2 den Geltungsbereich auf sämtliche Geschäftsprozesse des Unternehmens von Ende zu Ende. Ein KRITIS-Betreiber muss nun also nicht nur seine Anlage, sondern das gesamte Unternehmen nach den neuen Vorgaben absichern.
Regulatorische Lücken: Themen wie die physische Sicherheit, die in der europäischen CER-Richtlinie adressiert werden, sind im aktuellen Gesetz noch nicht vollständig abgebildet. Das lange erwartete KRITIS-Dachgesetz lässt weiter auf sich warten, was zu Unstimmigkeiten und fehlender Harmonisierung führt.
Praktische Umsetzung als Kraftakt
Die Anforderungen von NIS2 zu stemmen, stellt viele Unternehmen vor erhebliche Hürden, die weit über rein technische Aspekte hinausgehen.
Der Mittelstand: Kleinere und mittlere Unternehmen (KMU), die nun erstmals in den Fokus einer solchen Regulierung rücken, sind oft mit der geforderten Bürokratielast und dem Aufbau eines umfassenden Informationssicherheitsmanagementsystems (ISMS) überfordert. Der Mangel an Fachkräften verschärft diese Situation dramatisch.
Großkonzerne und komplexe Strukturen: Für große Unternehmen mit zahlreichen Tochterfirmen, internationalen Standorten und einem dichten Netz an externen Dienstleistern ist die Lage nicht einfacher. Die Abgrenzung, welche Unternehmensteile betroffen sind, ist oft unklar. Fällt eine Tochtergesellschaft nur wegen ihrer Zugehörigkeit zum Konzern unter NIS2? Wie geht man mit Auslandstöchtern um, die lokalen, aber abweichenden NIS2-Umsetzungen unterliegen? Diese Fragen sind oft nur mit juristischer Unterstützung zu klären und erfordern eine aufwändige, ganzheitliche Betrachtung.
Fünf Schritte, die jetzt Priorität haben
Trotz der Komplexität gibt es einen klaren Weg nach vorne. Anstatt in Schockstarre zu verfallen, sollte die Geschäftsleitung jetzt handeln. Wer bereits nach Standards wie ISO 27001 arbeitet, hat einen klaren Vorteil, muss aber ebenfalls nachschärfen. Alle anderen Unternehmen sollten umgehend folgende fünf Schritte umsetzen:
Betroffenheit klären und registrieren: Prüfen Sie unmissverständlich, ob Ihr Unternehmen unter NIS2 fällt. Diese Analyse ist Ihre Eigenverantwortung. Fällt Ihr Unternehmen darunter, müssen Sie sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Wer dies unterlässt, riskiert empfindliche Bußgelder.
Meldeprozesse etablieren: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden. Diese kurze Frist erfordert klar definierte, erprobte und rund um die Uhr verfügbare Prozesse. Ein Vorfall an einem Freitagabend darf nicht bis Montagmorgen warten.
ISMS aufbauen oder anpassen: Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) ist das Herzstück von NIS2. Führen Sie eine Gap-Analyse durch, um Abweichungen zu den Anforderungen zu identifizieren. Ein zentraler Punkt ist der Nachweis der Wirksamkeit der getroffenen Maßnahmen. Es reicht nicht, Prozesse auf dem Papier festzuhalten, sie müssen auch nachweislich funktionieren.
Lieferkette absichern: NIS2 nimmt explizit die gesamte Lieferkette in den Blick. Sie müssen die Sicherheitsrisiken, die von Ihren Dienstleistern und Zulieferern ausgehen, bewerten und managen. Digitale Souveränität und die Analyse von Abhängigkeiten werden damit zu einem zentralen Bestandteil des Risikomanagements.
Verantwortung der Geschäftsleitung leben: Die Geschäftsführung muss sich im Bereich Cybersicherheit weiterbilden, um die Risiken für das eigene Unternehmen bewerten zu können. Sie muss die ISMS-Strategie steuern, die notwendigen Ressourcen bereitstellen und die Umsetzung überwachen. Cybersicherheit ist keine IT-Aufgabe mehr, sondern eine strategische Management-Disziplin.
Fazit: Nachhaltige Cyberresilienz zahlt sich aus
Das NIS2-Gesetz mag auf den ersten Blick wie eine Belastung wirken. Langfristig ist es jedoch eine Chance, die eigene Resilienz zu stärken und Cybersicherheit als Qualitätsmerkmal und Wettbewerbsvorteil zu etablieren. Wer jetzt die Weichen stellt, sichert nicht nur sein Unternehmen ab, sondern positioniert sich auch für eine zunehmend digitalisierte und vernetzte Zukunft. Externe Dienstleister wie Axians können dabei helfen, die Anforderungen pragmatisch zu erfüllen und eine nachhaltige Sicherheitsstrategie aufzubauen.
