Während die EU-Richtlinie bereits seit Januar 2023 gilt und bis Oktober 2024 hätte umgesetzt werden müssen, läuft gegen Deutschland wie gegen 23 weitere Mitgliedstaaten ein Vertragsverletzungsverfahren. Jetzt wurde politisch nachgebessert – doch bis Bundesrat, Verkündung und Inkrafttreten erfolgt sind, vergeht weitere wertvolle Zeit.
Die Tragweite ist enorm: Künftig werden voraussichtlich rund 30.000 Unternehmen aus den Bereichen Energie, Gesundheitswesen, Verkehr und digitaler Infrastruktur sowie zahlreiche Zulieferer und mittelständische Produktionsbetriebe den strengeren Anforderungen unterliegen. Sie sind dann verpflichtet, Risikoanalysen vorzunehmen, Notfallpläne aufzusetzen, Verschlüsselungstechnologien zu nutzen und Backup-Strategien einzuführen.
Die eigentliche Arbeit beginnt erst
„Das NIS2-Gesetz ist beschlossen – aber für viele Unternehmen beginnt die eigentliche Arbeit erst jetzt. Die Herausforderung: Während die Politik wahrscheinlich noch Monate braucht, tickt für betroffene Betriebe bereits die Uhr. Sobald das Gesetz in Kraft tritt, werden Verstöße teuer – mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes.
Das eigentliche Problem liegt jedoch tiefer: Viele mittelständische Unternehmen wissen schlicht nicht, wo sie anfangen sollen. NIS2 fordert nicht nur Tools und Prozesse, sondern fundamentale Transparenz – über Netzwerke, Zugriffsrechte, Datenflüsse und Schwachstellen. Doch wie will man Risiken analysieren und Notfallpläne entwickeln, wenn man die eigene Infrastruktur nicht durchblickt?
Daten zeigen: 60 Prozent der Firewalls fallen durch Compliance-Prüfungen mit hoher Risikoeinstufung. Das sind keine Einzelfälle, sondern strukturelle Governance-Defizite. Genau hier müssen betroffene Unternehmen ansetzen: mit klarer Sichtbarkeit auf alle Firewall-Regeln, Policy-Kontrollen und Netzwerksegmentierungen – in IT, OT, Cloud und On-Premises.
NIS2 ist ein Prozess
Betroffene mittelständische Unternehmen tun gut daran, nicht auf das Inkrafttreten zu warten. Es gilt bereits jetzt mit einer ehrlichen Bestandsaufnahme anzufangen. Unternehmen sollten sich eine Übersicht über Ihre Netzwerkarchitektur schaffen, Compliance-Checks durchführen und wenn möglich automatisieren sowie ein kontinuierliches Monitoring etablieren.
NIS2 ist keine Momentaufnahme, sondern ein Prozess. Wer das verstanden hat, verwandelt die regulatorische Pflicht in einen strategischen Vorteil – denn resiliente, transparente Cybersicherheit wird künftig zum Geschäftsmodell gehören."
