Registriert ist noch lange nicht compliant: Oft haben Unternehmen die Registrierung entweder aufgeschoben oder sie als reinen Formalakt betrachtet. Beides greift zu kurz. Die eigentliche Herausforderung liegt nicht im Ausfüllen eines Formulars im BSI-Portal, sondern in der Frage, ob Unternehmen die organisatorischen Voraussetzungen geschaffen haben, um die Anforderungen dauerhaft zu erfüllen.
Vor allem im Mittelstand zeigt sich weiterhin große Unsicherheit darüber, ob Unternehmen überhaupt unter die NIS2-Regulierung fallen. Und solange diese Frage offen bleibt, scheuen viele die notwendigen Investitionen. Das ist kein Zufall, denn mittelständische Unternehmen haben oft wenig Erfahrung mit regulatorischen Anforderungen und verfügen über begrenzte Ressourcen, um sich strukturiert damit auseinanderzusetzen. Besonders deutlich zeigt sich dies in Industrie- und Produktionsunternehmen, in der Logistik sowie bei Zulieferern kritischer Wertschöpfungsketten. Dort ist die Diskrepanz zwischen formaler Betroffenheit und operativer Umsetzung besonders ausgeprägt.
NIS2 verlangt mehr, als gedacht
Dazu kommen immer wiederkehrende Missverständnisse: Viele Unternehmen glauben, NIS2 betreffe nur KRITIS-Betreiber oder sei in erster Linie ein technisches Thema. Tatsächlich geht es um deutlich mehr. NIS2 verlangt einen strukturierten Umgang mit Risiken, klare Verantwortlichkeiten sowie nachvollziehbare Entscheidungsprozesse. Das macht die Umsetzung zu einer Management- und Governance-Aufgabe, die Geschäftsführung, Compliance, Informationssicherheit, IT, Legal und die Fachabteilungen gemeinsam tragen müssen.
Die größte Lücke sehen wir aktuell bei der operativen Handlungsfähigkeit im Ernstfall. Die 24-Stunden-Meldepflicht wird vielfach unterschätzt. Zahlreiche Unternehmen verfügen noch nicht über definierte Incident-Response-Prozesse, getestete Abläufe oder klare Eskalationsketten. Eine Registrierung ohne funktionierende Meldefähigkeit schafft deshalb nur eine scheinbare Sicherheit.
Wer jetzt handeln will, sollte pragmatisch priorisieren: Erstens die eigene NIS2-Pflicht sorgfältig klären und offene Registrierungen nachholen. Zweitens Verantwortlichkeiten auf Managementebene definieren und einen funktionierenden Incident-Response-Prozess aufbauen. Drittens technische Maßnahmen vertiefen und Risiken in der Lieferkette systematisch adressieren.
Fazit
NIS2 ist keine einmalige Compliance-Maßnahme, sondern ein kontinuierlicher Prozess, der in Strategie, Budgetplanung und Unternehmenssteuerung verankert sein muss. Am Ende zeigt sich der Nutzen von NIS2 nicht in der Registrierung, sondern im Ernstfall: Dann wird sichtbar, ob Unternehmen wirklich resilient sind, oder ob Prozesse, Zuständigkeiten und Entscheidungen erst dann entstehen, wenn es bereits zu spät ist.