Cyberangriffe sind für Unternehmen heutzutage kein Ausnahmezustand mehr, sie sind Teil des laufenden Betriebs. Seit dem 6. Dezember 2025 gilt deshalb in Deutschland das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ – kurz NIS-2-Umsetzungsgesetz. Die Gesetzesnovelle definiert eine neue Messlatte für Cybersicherheit: Können Unternehmen Risiken erkennen, Vorfälle melden und ihre Handlungsfähigkeit belegen?

Für viele Organisationen ist das eine Zäsur: Der regulierte Kreis wird deutlich größer, die Erwartungen an das Risikomanagement steigen und vor allem muss die Umsetzung prüf- und nachweisfähig werden. Aus Sicht der Informationssicherheit ist das grundsätzlich eine gute Nachricht. Denn die Cybersicherheitslage ist angespannt, Angriffsflächen entstehen schnell und oft dort, wo Prozesse auf den ersten Blick „eigentlich laufen“. Genau deshalb denkt NIS-2 Sicherheit nicht als Werkzeugkasten, sondern als Gesamtgefüge: Verantwortung, Risikosteuerung, Meldewege, Lieferketten, Nachweise. Resilienz entsteht dort, wo all das zusammenspielt. Unternehmen sind gefordert, ihre Betroffenheit zu klären, anstehende Pflichten zu erfüllen und so ihre Sicherheit messbar zu stärken.

Die Uhr tickt

Die Realität zeigt: Viele Unternehmen stehen hier noch ganz am Anfang. Laut einer im Jahr 2024 von secunet durchgeführten Studie zum Umsetzungsstand der NIS-2-Richtlinie in Deutschland hatten zum Zeitpunkt der Befragung lediglich zwei Prozent der Unternehmen ihr NIS-2-Projekt abgeschlossen. Bei mehr als einem Viertel der Unternehmen (28 Prozent) verzögerte sich laut eigenen Angaben das NIS-2-Umsetzungsprojekt, ein gutes Drittel (34 Prozent) war das Thema noch gar nicht angegangen. Gleichzeitig tickt die Uhr. Übergangsfristen gibt es nicht – bei Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

In Gesprächen mit IT-Verantwortlichen erlebt das secunet Team deshalb aktuell vor allem zwei Reaktionen:

• „Wir machen doch schon viel – wie sollen wir das alles umsetzen?“
• „Wir sind betroffen – aber wo fangen wir an, ohne uns zu verzetteln?“

Beide Fragen sind berechtigt. Und beide lassen sich beantworten, und zwar mit einem strukturierten Vorgehen, das sich bereits in vielen Projekten bewährt hat.

Was NIS-2 in Deutschland konkret verändert

Das NIS-2-Umsetzungsgesetz hebt die vergangene NIS-Richtlinie auf und entwickelt das BSI-Gesetz (BSIG) inhaltlich weiter, indem es dessen Anwendungsbereich deutlich ausweitet. Neben klassischen KRITIS-Betreibern und anderen Unternehmen öffentlichen Interesses rücken nun viele weitere Organisationen unter die Bestimmungen der Novelle. In Summe geht es künftig um rund 30.000 Einrichtungen, die durch das BSI beaufsichtigt werden – deutlich mehr als bisher.

MARLITT JULIKA STOLZ, ABTEILUNGSLEITERIN MANAGEMENT SYSTEMS & AUDIT BEI SECUNET. FOTO (C) SECUNET

Die erste Herausforderung dabei: Unternehmen müssen nun selbstständig prüfen, ob sie betroffen sind, und sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren. Damit geht zudem u. a. die Verpflichtung einher, dem BSI bedeutsame und  erhebliche Sicherheitsvorfälle zu melden, Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren. Allein die Betroffenheitsanalyse kann gerade bei Konzernen, Beteiligungen und internationalen Strukturen schnell komplex werden.

Wenn Abwarten zum Risiko wird

NIS-2 greift nicht mehr nur bei besonders großen Unternehmen oder kritischen Infrastrukturen. Maßgeblich sind nun neue Sektorzuordnungen und Schwellenwerte bei Mitarbeitendenzahl, Umsatz oder Bilanzsumme. Besonders betroffen sind dabei in der Regel die Sektoren Energie, Verkehr, Finanzwesen, Gesundheitswesen, Wasser/Abwasser, digitale Infrastrukturen, IKT-Management, Logistik, Forschung, verarbeitendes Gewerbe (wie z. B. Maschinenbauer), Lebensmittel, Post- und Kurierdienste – nebst einiger Sonderregelungen. Wenn nicht eindeutig ausgeschlossen werden kann, ob das eigene Unternehmen betroffen ist, lohnt sich eine strukturierte Prüfung und eine dokumentierte Entscheidung.

Die Erfahrung zeigt: Die vollständige Umsetzung der umfangreichen Maßnahmen erfordert Zeit und eine vorausschauende Planung. Entscheidend ist daher, frühzeitig einen konkreten Umsetzungsplan vorlegen zu können. Das BSI kann einen Nachweis über die Erfüllung der Anforderungen erst nach spätestens drei Jahren verlangen. Unternehmen sollten diese Frist jedoch nicht als Aufschub, sondern als Zeitraum für die Vorbereitung nutzen: Bußgelder können auch bereits vorher verhängt werden.

Vier Schritte, um Ordnung in das NIS-2-Chaos zu bringen

NIS-2 lässt sich also nicht einfach abhaken. Doch es lässt sich Schritt für Schritt beherrschen. In der Praxis hat sich ein konsequentes und gut strukturiertes Vorgehen bewährt – mit klaren Handlungsfeldern, die sich auf vier Phasen verteilen.

• Phase 1: Betroffenheitsanalyse

Um die Art und Weise der Betroffenheit eines Unternehmens zu klären, stehen vor allem Unternehmen mit komplexen Strukturen vor Herausforderungen. Konzerne mit Tochtergesellschaften im Ausland müssen die jeweiligen nationalen Umsetzungsstandards erfüllen. Sie sollten deshalb zunächst Sektor- und Schwellenwertprüfungen durchführen, die die jeweiligen Beteiligungsstrukturen berücksichtigen. Eine nachweisbare Dokumentation des Ergebnisses (auch, wenn man „nicht betroffen“ ist) ist dabei zu empfehlen.

• Phase 2: Gap-Analyse der NIS-2-Anforderungen

Gemäß der bewährten Clusterung prüft secunet die einzelnen Anforderungen an betroffene Unternehmen im Rahmen von Nachweisen, Prozessbegehungen oder Interviews mit einem bewährten Fragenkatalog aus über 20 Jahren Cybersicherheitserfahrung. Gemäß des Ist-Zustands werden die Handlungsfelder nach Risiko und Umsetzbarkeit priorisiert und Vorschläge zum weiteren Vorgehen formuliert. Optional lässt sich dabei auch eine Verbindung zu ISO/IEC 27001 bzw. dem IT-Grundschutz herstellen.

• Phase 3: Erstellung einer Maßnahmenplanung inkl. Tracking

Je nach Ausgangssituation unterscheiden sich die festgestellten Lücken (Gaps) je nach Unternehmen deutlich. Auf Basis der GAP-Analyse erstellt secunet deshalb einen konkreten Maßnahmenplan, der Verantwortlichkeiten und Meilensteine umfasst und thematisch ordnet. Dabei werden Quick-Wins identifiziert. Ein strukturiertes Maßnahmentracking, das audit- und berichtsfähig ist, begleitet diesen Prozess.

• Phase 4: Umsetzung und Wirksamkeitsnachweis

Zuletzt geht es in der Umsetzungsphase darum, Fortschritte kontinuierlich zu verfolgen und ihre Wirksamkeit zu messen. So lassen sich Handlungsbedarfe früh erkennen und gezielt Korrekturmaßnahmen einleiten. secunet unterstützt betroffene Unternehmen bei der Analyse und Umsetzung der jeweiligen Schritte im Rahmen eines NIS-2 Check-ups: Dieser schafft strukturiert Klarheit über Betroffenheit, Reifegrad und die sinnvollste Umsetzungsreihenfolge – und kann bei Bedarf in eine Beratung und Umsetzungsbegleitung überführt werden.

Zwölf Handlungsfelder als klarer Kompass

In vielen Fällen scheitert die Umsetzung der NIS-2-Novelle nicht an fehlendem Willen, sondern am fehlenden Überblick. Deshalb strukturiert secunet die Anforderungen in zwölf Handlungsfelder – als klarer Fahrplan von Risikomanagement über Meldepflichten bis hin zum Lieferantenmanagement.

Gerade letzteres kann dabei häufig ein "Pain Point" sein, denn intern lassen sich Prozesse, Systeme und Kontrollen transparent prüfen. Bei Partnern ist das deutlich schwieriger – aber für eine ganzheitliche Resilienz unverzichtbar.

Sicherheit endet nicht bei der IT

NIS-2 umzusetzen bedeutet u. a., klare Verantwortlichkeiten zu schaffen, wirksame Kontrollen durchzuführen und belastbare Nachweise zu liefern.

Cybersicherheitslösungen sind dabei unverzichtbar. Doch Lösungen wie die sichere Edge-Gateway-Plattform secunet edge, Public-Key-Infrastrukturen (PKI) sowie SINA und SINA Cloud entfalten ihren vollen Mehrwert erst, wenn sie in ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) eingebettet werden. Ergänzend sollten Penetrationstests (Pentest) helfen, Risiken frühzeitig zu erkennen und die Sicherheitsstrategie kontinuierlich zu verbessern.

NIS-2 kann auch eine Chance sein

NIS-2 wird oft als regulatorischer Druck wahrgenommen. In der Umsetzung zeigt sich aber: Wer das Thema richtig angeht, erhält mehr als „nur“ Compliance – nämlich echte, steuerbare Resilienz. Denn am Ende ist die entscheidende Frage nicht, ob jede Anforderung formal erfüllt ist. Sie ist vielmehr: Können Unternehmen Angriffe früh erkennen, kontrolliert reagieren, den Betrieb aufrechterhalten – und all das nachvollziehbar belegen?

Wenn die Antwort darauf „ja“ lautet, ist NIS-2 nicht nur erfüllt, sondern sinnvoll genutzt.