Neues Gesetz wird unterschätzt

Nach der NIS2-Registrierung: Die eigentliche Herausforderung beginnt erst

Axians Deutschland

Viele Unternehmen glauben, NIS2 betreffe nur KRITIS-Betreiber oder sei in erster Linie ein technisches Thema – ein riskanter Fehlschluss.

Bild: iStock, ismagilov
06.07.2026

Der 31. Juli 2026 gilt als aktuelle Zielmarke für die Registrierung, doch der Fokus auf Fristen greift zu kurz. Nach Beobachtung von Axians sind viele Unternehmen trotz Registrierung nicht in der Lage, die regulatorischen Anforderungen im Ernstfall zu erfüllen. Christoph Neukam, Business Unit General Manager der BU Information Security & Business Resilience bei Axians, erläutert, warum NIS2 vor allem eine Führungsaufgabe ist und weshalb die Registrierung nur der erste Schritt eines weit umfassenderen Prozesses ist.

Registriert ist noch lange nicht compliant: Oft haben Unternehmen die Registrierung entweder aufgeschoben oder sie als reinen Formalakt betrachtet. Beides greift zu kurz. Die eigentliche Herausforderung liegt nicht im Ausfüllen eines Formulars im BSI-Portal, sondern in der Frage, ob Unternehmen die organisatorischen Voraussetzungen geschaffen haben, um die Anforderungen dauerhaft zu erfüllen.

Vor allem im Mittelstand zeigt sich weiterhin große Unsicherheit darüber, ob Unternehmen überhaupt unter die NIS2-Regulierung fallen. Und solange diese Frage offen bleibt, scheuen viele die notwendigen Investitionen. Das ist kein Zufall, denn mittelständische Unternehmen haben oft wenig Erfahrung mit regulatorischen Anforderungen und verfügen über begrenzte Ressourcen, um sich strukturiert damit auseinanderzusetzen. Besonders deutlich zeigt sich dies in Industrie- und Produktionsunternehmen, in der Logistik sowie bei Zulieferern kritischer Wertschöpfungsketten. Dort ist die Diskrepanz zwischen formaler Betroffenheit und operativer Umsetzung besonders ausgeprägt.

NIS2 verlangt mehr, als gedacht

Dazu kommen immer wiederkehrende Missverständnisse: Viele Unternehmen glauben, NIS2 betreffe nur KRITIS-Betreiber oder sei in erster Linie ein technisches Thema. Tatsächlich geht es um deutlich mehr. NIS2 verlangt einen strukturierten Umgang mit Risiken, klare Verantwortlichkeiten sowie nachvollziehbare Entscheidungsprozesse. Das macht die Umsetzung zu einer Management- und Governance-Aufgabe, die Geschäftsführung, Compliance, Informationssicherheit, IT, Legal und die Fachabteilungen gemeinsam tragen müssen.

Die größte Lücke sehen wir aktuell bei der operativen Handlungsfähigkeit im Ernstfall. Die 24-Stunden-Meldepflicht wird vielfach unterschätzt. Zahlreiche Unternehmen verfügen noch nicht über definierte Incident-Response-Prozesse, getestete Abläufe oder klare Eskalationsketten. Eine Registrierung ohne funktionierende Meldefähigkeit schafft deshalb nur eine scheinbare Sicherheit.

Wer jetzt handeln will, sollte pragmatisch priorisieren: Erstens die eigene NIS2-Pflicht sorgfältig klären und offene Registrierungen nachholen. Zweitens Verantwortlichkeiten auf Managementebene definieren und einen funktionierenden Incident-Response-Prozess aufbauen. Drittens technische Maßnahmen vertiefen und Risiken in der Lieferkette systematisch adressieren.

Fazit

NIS2 ist keine einmalige Compliance-Maßnahme, sondern ein kontinuierlicher Prozess, der in Strategie, Budgetplanung und Unternehmenssteuerung verankert sein muss. Am Ende zeigt sich der Nutzen von NIS2 nicht in der Registrierung, sondern im Ernstfall: Dann wird sichtbar, ob Unternehmen wirklich resilient sind, oder ob Prozesse, Zuständigkeiten und Entscheidungen erst dann entstehen, wenn es bereits zu spät ist.

Firmen zu diesem Artikel
Verwandte Artikel