Lesezeit: 4 Minuten zu lesen

NIS-2 ist beschlossen – und jetzt wird es ernst

Es kam nicht völlig überraschend. Und trotzdem hat es viele kalt erwischt.
Am 13. November 2025 hat der Deutscher Bundestag das deutsche Umsetzungsgesetz zur NIS-2-Richtlinieverabschiedet. Seitdem ist klar: Cybersicherheit ist endgültig kein „IT-Thema“ mehr, das man irgendwo im Keller der Organisation parkt. Es ist Chefsache. Punkt. Der Gesetzgeber reagiert damit auf eine Realität, die viele Unternehmen längst spüren: gezielte Cyberangriffe, Desinformation, Sabotageakte, staatliche wie wirtschaftliche Spionage. Nicht abstrakt. Sondern konkret. Und oft schmerzhaft.

Der Kreis der Verpflichteten wird massiv größer

Was viele noch unterschätzen: Der Anwendungsbereich explodiert förmlich.
Nach aktueller Schätzung fallen rund 30.000 Unternehmen in Deutschland künftig unter die neuen Regeln. Eingeteilt werden sie als „wichtige“ oder „besonders wichtige“ Einrichtungen – abhängig von Branche, Größe und Kritikalität.

Und nein: Das betrifft längst nicht mehr nur klassische KRITIS-Sektoren. Auch mittelständische Betriebe aus Logistik, Industrie, IT-Dienstleistung, Abfallwirtschaft oder Forschung rutschen plötzlich in den Fokus. Manche merken es erst, wenn der erste Brief kommt. Dann ist es eigentlich schon spät.

„Stand der Technik“ – juristisch klein, praktisch groß

Eine der zentralen Pflichten:
Unternehmen müssen Risikomanagementmaßnahmen nach dem „Stand der Technik“ umsetzen. Klingt harmlos. Ist es nicht.
Denn „Stand der Technik“ ist kein Wunschzettel und auch kein Minimalniveau. Gemeint ist das, was sich fachlich bewährt, marktüblich ist und nachweislich Risiken reduziert. Orientierungen liefern u. a.:

ISO/IEC 27001
BSI-Grundschutz („Weg in die Basis-Absicherung“)
DIN SPEC 27076

Wer hier nur auf alte Richtlinien oder halb gepflegte ISMS-Dokumente verweist, bewegt sich rechtlich auf dünnem Eis. Sehr dünnem.

Meldepflichten: Die Uhr tickt schneller als viele denken

Besonders heikel – und in der Praxis fehleranfällig – sind die neuen Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI):

Frühwarnung innerhalb von 24 Stunden
Ausführliche Meldung spätestens nach 72 Stunden

Das Problem?
Viele Organisationen wissen intern gar nicht, wann ein meldepflichtiger Vorfall vorliegt, wer entscheiden darf und wiegemeldet wird. Ohne vorbereitete Prozesse, Eskalationswege und klare Rollen ist diese Frist faktisch kaum einzuhalten.

Und ja: Verspätete oder unterlassene Meldungen sind bußgeldbewehrt.

Neu – und für viele unbequem: Verantwortung der Geschäftsleitung

Vielleicht der deutlichste Paradigmenwechsel:
Die Geschäftsleitung wird gesetzlich verpflichtet,

die Umsetzung der Cybersicherheitsmaßnahmen aktiv zu überwachen
sich regelmäßig fortzubilden
und Verantwortung nicht einfach an „die IT“ zu delegieren

Das ist kein symbolischer Satz im Gesetz. Das ist haftungsrelevant. Wer Sicherheitsmaßnahmen ignoriert, Budgets blockiert oder Warnungen aussitzt, setzt sich persönlich einem erheblichen Risiko aus. Juristisch wie reputativ.

Was heißt das jetzt konkret für Organisationen?

Kurz gesagt: Abwarten ist keine Option mehr.
Pragmatisch bedeutet das:

Prüfen Sie jetzt, ob Ihr Unternehmen unter NIS-2 fällt
Bewerten Sie Ihr aktuelles Sicherheitsniveau ehrlich – nicht geschönt
Schließen Sie Lücken risikoorientiert, nicht dogmatisch
Dokumentieren Sie Entscheidungen und Maßnahmen sauber
Schulen Sie Führungskräfte – nicht nur IT-Personal

Oder anders gesagt: Man repariert keinen Rauchmelder erst, wenn es brennt.

Risikoeinschätzung aus Governance-Sicht

Rechtliches Risiko: hoch, bei Untätigkeit sehr hoch
Organisatorisches Risiko: mittel bis hoch (je nach Reifegrad)
Reputationsrisiko: erheblich bei öffentlich bekannten Vorfällen

Ein nüchterner, aber ehrlicher Schluss

NIS-2 ist kein Bürokratiemonster aus Brüssel. Es ist eine ziemlich klare Antwort auf eine ziemlich reale Bedrohungslage. Unternehmen, die jetzt strukturiert handeln, gewinnen Zeit, Kontrolle und Sicherheit. Die anderen? Lernen es später. Meist teurer.

Und noch ein letzter Punkt, den ich bewusst deutlich sage:
Wenn Unklarheiten bestehen – etwa zur Einstufung, zu Meldepflichten oder zur Angemessenheit von Maßnahmen – ist eine rechtliche Prüfung oder die Einbindung externer Expertise keine Schwäche. Sondern professionell.

Quellen & Rechtsgrundlagen (Auswahl):

Richtlinie (EU) 2022/2555 (NIS-2)
Umsetzungsgesetz zur NIS-2-Richtlinie, Beschluss vom 13.11.2025
Orientierungshilfen des BSI
ISO/IEC 27001, ISO 22301
DIN SPEC 27076

NIS-2 ist beschlossen – und jetzt wird es ernst

Der Kreis der Verpflichteten wird massiv größer

„Stand der Technik“ – juristisch klein, praktisch groß

Meldepflichten: Die Uhr tickt schneller als viele denken

Neu – und für viele unbequem: Verantwortung der Geschäftsleitung

Was heißt das jetzt konkret für Organisationen?

Risikoeinschätzung aus Governance-Sicht

Ein nüchterner, aber ehrlicher Schluss

More Posts

Zwischen Cloud, KI und DSGVO: Der Spagat der IT-Abteilung

Warum NIS2 auch kleine Unternehmen betrifft

Ransomware-Angriff: Und dann?

Informationssicherheit für Entscheider erklärt

Die 5 Phasen eines Business Continuity Plans

7 typische Schwachstellen in Ihrer IT-Infrastruktur

IT-Sicherheitsstrategie: Warum "abwarten" keine Option ist

Digitale Transformation ohne Datenschutz? Keine gute Idee