Close Menu
Login Registrieren
Security

Cyber-Schutz wird zur Führungsaufgabe: NIS2-Umsetzung: Wie Unternehmen mit Blick nach Dänemark digitale Resilienz aufbauen können

3 Min. Lesedauer
NIS2-UmsetzungsgesetzQuelle: VectographyStudio, Adobe Stock Photos, generiert mit KI

Deutschland startet mit der Umsetzung der EU-NIS2-Richtlinie – und steht dabei vor großen Herausforderungen. Während Dänemark bereits konkrete Erfahrungswerte liefert, stellt sich deutschen Unternehmen die Aufgabe, Sicherheitsprozesse zu überarbeiten, Verantwortlichkeiten neu zu definieren und Cyber-Resilienz systematisch auszubauen. Die Zeit zur Vorbereitung ist begrenzt – jetzt sind strategisches Handeln und abteilungsübergreifende Zusammenarbeit gefragt.

Ende Juli 2025 hat das Bundeskabinett den Startschuss zur nationalen Umsetzung der EU-NIS2-Richtlinie gegeben. Damit steigt der Druck auf Unternehmen, ihre IT-Sicherheitsmaßnahmen substanziell zu verschärfen – insbesondere auf solche, die bisher nicht als Teil kritischer Infrastrukturen galten. Rund 29.000 Einrichtungen in Deutschland werden künftig unter die verschärften Vorgaben fallen. Neben erweiterten Meldepflichten und Risikomanagement-Prozessen gehört dazu auch eine verpflichtende Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die übergeordnete Zielsetzung ist klar: Europaweit soll die digitale Resilienz gestärkt werden. Eine Bitkom-Studie aus dem Jahr 2024 unterstreicht die Dringlichkeit: 8 von 10 deutschen Unternehmen berichteten über Vorfälle wie Datendiebstahl, Spionage oder Sabotage.

Dänemark zeigt, wie es gehen kann

Während Deutschland noch die nötigen Rahmenbedingungen konkretisiert, ist Dänemark bereits einen Schritt weiter. Dort ist die NIS2-Richtlinie seit dem 1. Juli 2025 als nationales Gesetz („NIS2 Act“) vollständig in Kraft – ergänzt durch sektorbezogene Vorgaben etwa für Energie oder Telekommunikation. Für deutsche Unternehmen bietet der Blick nach Norden einen praxisnahen Referenzrahmen.

Das dänischstämmige Beratungsunternehmen emagine, mit Hauptsitz in Kopenhagen und Standort in Deutschland, nutzt genau diesen Erfahrungsvorsprung. Ziel ist es, Unternehmen nicht nur bei der Einhaltung regulatorischer Anforderungen zu begleiten, sondern auch langfristig ihre Cyber-Resilienz zu stärken.

„Unser Ziel ist es, Unternehmen nicht nur rechtskonform aufzustellen. Wir wollen außerdem ihre Cyber-Resilienz so stärken, dass sie auch für zukünftige Bedrohungen gewappnet sind“, erklärt Bastian Krapf, Managing Director Deutschland bei emagine.

Quelle: emagine
Bastian Krapf – Geschäftsführer emagine Deutschland 

NIS2: Neue Verantwortung für Unternehmen – und Führungskräfte

Mit NIS2 steigen nicht nur die Anforderungen, sondern auch die Haftungsrisiken – insbesondere für Geschäftsleitungen. Unternehmen müssen künftig lückenlos dokumentieren, wie sie IT-Risiken managen, Sicherheitsvorfälle behandeln und relevante Systeme absichern. Auch die Registrierung beim BSI sowie ein etabliertes Sicherheitsvorfallmanagement sind Pflicht.

Ein besonderer Fokus liegt auf der gesamten Lieferkette: Auch Drittparteien und externe Dienstleister müssen im Kontext der eigenen Sicherheitsstrategie berücksichtigt werden. Das erfordert klare Zuständigkeiten, funktionsübergreifende Zusammenarbeit und eine konsequente Priorisierung von Risiken.

Handlungsempfehlungen für Unternehmen

Basierend auf Erfahrungen aus Dänemark empfiehlt emagine folgende Schritte:

  • Frühzeitige Registrierung beim BSI vorbereiten und interne Prozesse dafür aufsetzen.
  • Bestehende Prozesse analysieren: Compliance-Teams sollten vorhandene Kontrollmechanismen und Strukturen überprüfen und auf neue Anforderungen übertragen.
  • Drittparteienmanagement optimieren: Klare Zuständigkeiten definieren, insbesondere an Schnittstellen zwischen Beschaffung, Legal, IT und Compliance.
  • Einheitliche Risikobewertung einführen, unterstützt durch externe Tools und fachliche Expertise.
  • Kritische Assets identifizieren: Welche Systeme, Daten und Lieferanten sind besonders schützenswert? Darauf sollte sich die Sicherheitsstrategie konzentrieren.
  • Mitarbeitende sensibilisieren: Schulungen und Awareness-Maßnahmen bleiben ein zentraler Erfolgsfaktor – denn viele Vorfälle entstehen durch menschliches Fehlverhalten.
  • Sicherheitsvorfallmanagement etablieren, inklusive klarer Eskalations- und Kommunikationswege.

All diese Maßnahmen erfordern ein Umdenken: IT-Sicherheit wird zur unternehmensweiten Aufgabe, getragen von der Führungsebene und unterstützt durch interdisziplinäre Teams.

Investition in Resilienz – nicht nur in Compliance

Bastian Krapf bringt es auf den Punkt:

„Die Umsetzung der NIS2-Richtlinie ist kein bürokratisches Pflichtprogramm, sie ist ein Realitätscheck. Wer jetzt umfänglich in Strukturen, Prozesse und Kultur investiert, investiert nicht nur in Compliance, sondern in echte Resilienz.“

Das regulatorische Rahmenwerk mag verbindlich sein – doch der eigentliche Nutzen liegt in der nachhaltigen Verbesserung der Sicherheitslage. Unternehmen, die frühzeitig handeln, gewinnen nicht nur Zeit, sondern auch strategische Kontrolle über ihre digitale Zukunft.

Weitere Informationen zu emagine finden Sie hier.

Teilen.

Verwandte Beiträge

© 2025 ITP VERLAG — MIDRANGE
DSGVO Cookie-Einwilligung mit Real Cookie Banner