Die NIS2-Richtlinie bringt weitreichende Veränderungen für Unternehmen mit sich – und stellt insbesondere die Geschäftsleitung stärker in die Verantwortung. Unternehmen müssen jetzt handeln, um regulatorische Anforderungen zu erfüllen und ihre Resilienz nachhaltig zu stärken. Im MIDRANGE Interview erklärt Ingo Wolf, Head of Cyber Advisory Nexia und Geschäftsführer der Nexia Digital & Technology Services GmbH, worauf es bei der Umsetzung von NIS2 wirklich ankommt und welche typischen Fehler Unternehmen vermeiden sollten.
Herr Wolf, wir wollen über NIS2 sprechen. Das Thema ist eigentlich seit Monaten in aller Munde. Warum besteht dennoch Redebedarf?
Das liegt daran, dass NIS2 oft noch als reines IT- oder Compliance-Thema wahrgenommen wird. In Wirklichkeit verändert die Richtlinie die Verantwortungskultur in Unternehmen jedoch grundlegend: Cybersicherheit wird zur expliziten Aufgabe der Geschäftsleitung – mit entsprechenden Haftungsrisiken. Viele Unternehmen unterschätzen diesen Paradigmenwechsel oder warten ab, bis „alles klar geregelt“ ist. Genau dieses Abwarten ist riskant und für das Unternehmen in gewissen Grad sogar existenzgefährdend.
In ein paar wenigen Worten: Was genau ist die NIS2-Richtlinie?
NIS2 ist die europäische Cybersicherheits-Richtlinie, die verbindliche Mindestanforderungen an IT-Sicherheit, Risikomanagement und Meldepflichten festlegt und diese erstmals konsequent auf das Management durchdekliniert. Das Ziel ist ein höheres, europaweit einheitliches Sicherheitsniveau für Wirtschaft und Staat zu erreichen. Die derzeitige geopolitische Lage erfordert die Umsetzung des Gesetzes meines Erachtens unbedingt.
Warum sind Schulungen für Geschäftsleitung und Mitarbeiter ein zentraler Bestandteil der Richtlinie – und was müssen diese konkret abdecken?
Selbst die besten technischen Maßnahmen sind wirkungslos, wenn Menschen Risiken falsch einschätzen oder Fehlverhalten nicht erkennen. Aus diesem Grund ist eine entsprechende Schulung so wichtig. Für die Geschäftsleitung geht es um Haftung, Governance, Entscheidungsverantwortung und Krisenmanagement. Für Mitarbeiter sind praxisnahe Themen wie Phishing, Passwortsicherheit, Meldewege, Umgang mit Vorfällen und Lieferkettenrisiken relevant. NIS2 macht deutlich: Cybersicherheit ist eine Verhaltens- und Führungsfrage, keine reine Technikfrage und letztendlich eine Frage der Unternehmensresilienz.
Welche Unternehmen sind konkret von NIS2 betroffen und wie können Organisationen schnell herausfinden, ob sie darunterfallen?
Betroffen sind sogenannte wesentliche und wichtige Einrichtungen in zahlreichen Sektoren – von Energie, Gesundheit und IT-Dienstleistungen bis hin zum produzierenden Gewerbe. Maßgeblich sind dabei Branche, Unternehmensgröße und wirtschaftliche Bedeutung.
Eine erste Einschätzung ist relativ schnell möglich, etwa durch strukturierte Betroffenheitsprüfungen. In der Praxis sehen wir jedoch häufig Grenzfälle, die eine fundierte Einordnung durch Fachleute erfordern.
Auf welche Fristen laufen wir zu und wie können Unternehmen sicherstellen, allen Pflichten nachzukommen?
Die Richtlinie ist in Deutschland bereits umgesetzt, und es gibt keine klassische Schonfrist. Die Melde-, Registrierungs- und Umsetzungspflichten gelten unmittelbar, wobei die Meldepflicht bis zum 6.3.26 erfüllt werden musste. Unternehmen sollten jetzt strukturiert vorgehen: Betroffenheit klären, Verantwortlichkeiten festlegen, Risiken bewerten und Maßnahmen priorisieren. Wer versucht, alles „auf einmal“ zu erledigen, verliert schnell den Überblick. Bis zum 6.3.26 haben sich leider nur ein Drittel aller relevanten und meldepflichtigen Unternehmen beim BSI als Aufsichtsbehörde registriert.
Sie bieten Gap-Analysen und Reifegradbewertungen an. Was sind typische Schwachstellen bei Unternehmen?
Sehr häufig sehen wir:
- fehlende formale Risikobewertungen
- unklare Zuständigkeiten zwischen IT, Management und Fachbereichen
- nicht getestete Notfall- und Incident-Response-Prozesse
- mangelhafte Dokumentation
Viele Unternehmen haben zwar Maßnahmen „irgendwie umgesetzt“, diese sind aber nicht steuerbar, nicht messbar und nicht prüffähig und letztendlich ist keiner so richtig für irgendetwas zuständig. Nach dem Motto: Die IT wird es schon richten.
Welche Rolle spielt ein Informationssicherheitsmanagementsystem (ISMS) bei der Umsetzung der NIS2-Anforderungen?
Aus meiner Sicht ist ein ISMS das zentrale Rückgrat der NIS2-Umsetzung. Es sorgt dafür, dass Sicherheitsmaßnahmen systematisch geplant, umgesetzt, überwacht und kontinuierlich verbessert werden. Ohne ISMS bleibt die Umsetzung der NIS2 Richtlinie Stückwerk – mit ISMS wird es steuerbar, auditierbar und nachhaltig.
Welche technischen und organisatorischen Maßnahmen sind aus Ihrer Sicht besonders kritisch für die NIS2-Compliance?
Kritisch sind vor allem:
- belastbare Incident-Response- und Meldeprozesse
- funktionierende Backup- und Wiederherstellungskonzepte
- Absicherung privilegierter Zugänge
- Lieferketten- und Dienstleistermanagement
Aus organisatorischer Sicht ist wesentlich, dass Entscheidungen dokumentiert, Risiken akzeptiert oder mitigiert und Verantwortlichkeiten klar geregelt sind.
Wie können Unternehmen sicherstellen, dass ihre NIS2-Compliance nicht nur einmalig erreicht, sondern langfristig eingehalten wird?
Dies erreichen sie, indem sie NIS2 nicht als Projekt, sondern als Management-System verstehen. Regelmäßige Reviews, Tests, Schulungen und Management-Reports sind entscheidend. Cybersicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess, der sich an die Bedrohungslage und das Geschäftsmodell anpassen muss.
Welche ersten Schritte empfehlen Sie Unternehmen, die sich jetzt auf die NIS2-Umsetzung vorbereiten möchten?
Erstens: Betroffenheit und Verantwortung klären.
Zweitens: Eine ehrliche Bestandsaufnahme der bestehenden Sicherheits- und Governance-Strukturen durchführen.
Drittens: Priorisieren – nicht alles gleichzeitig, sondern risikoorientiert.
Und ganz wichtig: Die Geschäftsleitung muss aktiv eingebunden sein. NIS2 lässt sich nicht delegieren.
Quelle: Nexia