• Startseite
• Über uns
• News-Archive
• NIS 2 Richtlinie vermutlich erst Ende 2025

NIS 2 Richtlinie vermutlich erst Ende 2025

In der aktuellen Ausgabe der Markt und Wirtschaft Westfalen hat einer unser Geschäftsführer seine Einschätzung zum aktuellen Stand rund um NIS 2 zusammengefasst. Hier der ungekürzte Artikel:

Die Uhr tickt – aber langsam. Während die EU-Richtlinie NIS 2 (Network and Information Security Directive) bereits 2022 in Kraft getreten ist, zeichnet sich ab, dass die Umsetzung in nationales Recht wohl noch bis Ende 2025 auf sich warten lassen wird. Für viele Unternehmen bedeutet das: ein scheinbares Aufschieben von Handlungsbedarf. Doch genau das wäre ein gefährlicher Trugschluss. Denn eines ist klar – die Anforderungen kommen. Und sie werden umfangreich und verbindlich sein. Ob Ihr Unternehmen zu den rund 30.000 in Deutschland gehört, welche dem erweiterten Kreis der kritischen Infrastrukturen zuzuordnen ist, kann bereits zumindest grob vorhergesagt werden. Generell ist eine Steigerung der Cyber-Resilienz allerdings den allermeisten Betrieben angeraten. Aber der Reihe nach.

Der Fehler: Warten auf das Gesetz

Viele Unternehmen – gerade im Mittelstand – hoffen darauf, zunächst „abwarten zu können“, bis das nationale Umsetzungsgesetz alle Details liefert. Doch wer erst dann reagiert, gerät schnell in Zugzwang. Erfahrungsgemäß sind IT- und OT-Sicherheitsmaßnahmen nicht über Nacht umsetzbar. Die Einführung strukturierter Prozesse, das Aufsetzen eines Informationssicherheits-Managementsystems (ISMS) oder auch die Schulung von Mitarbeitenden brauchen Zeit – und zwar deutlich mehr, als viele erwarten.

Die Chance: Vorbereiten mit Best Practices

Das Gute: Es gibt bereits bewährte Standards, auf die sich Unternehmen jetzt stützen können – allen voran die ISO/IEC 27001:2022. Diese international anerkannte Norm bietet ein systematisches Rahmenwerk zur Einführung und kontinuierlichen Verbesserung eines ISMS. Viele der Anforderungen aus NIS 2 – etwa zu Risikomanagement, Incident Response oder Lieferkettensicherheit – finden sich dort bereits wieder. Wer also heute mit der Einführung eines ISMS auf Basis der ISO 27001 beginnt, baut nicht nur seine Cyber-Resilienz auf, sondern kann mit hoher Wahrscheinlichkeit auch viele künftige NIS-2-Anforderungen bereits erfüllen.

Was jetzt konkret zu tun ist

Basierend auf unseren Erfahrungen als IT-Systemhaus mit Kunden aus Industrie, Handel und dem öffentlichen Sektor, empfehle ich Unternehmen folgende Schritte:

1. Status-Quo-Analyse durchführen: Wo stehen Sie aktuell in puncto Informationssicherheit? Welche Assets sind besonders schützenswert? Welche Prozesse sind bereits etabliert? Gap-Check zwischen bereits etablierten und noch notwendigen Prozessen und Maßnahmen durchführen.

2. Risikobewertung vornehmen: Identifizieren Sie zentrale Bedrohungen und Schwachstellen in Ihrer Organisation – sowohl technisch als auch organisatorisch.

3. ISMS aufbauen: Starten Sie mit einem pragmatischen Ansatz – dokumentiert, aber nicht überbürokratisiert. ISO 27001 gibt hier klare Leitplanken.

4. Mitarbeitende sensibilisieren: Ein Großteil der Sicherheitsvorfälle beginnt nicht mit einer Firewall, sondern mit einem Klick. Regelmäßige Awareness-Schulungen sind essenziell.

5. IT-Grundschutz prüfen: Auch die Empfehlungen des BSI können eine hilfreiche Ergänzung zur ISO darstellen – vor allem, wenn später konkrete Vorgaben auf nationaler Ebene folgen.

Von proaktivem Handeln profitieren

Wer heute handelt, profitiert nicht nur von besserer IT-Sicherheit. Ein professionell aufgesetztes ISMS stärkt das Vertrauen von Kunden, Geschäftspartnern und Investoren. Es hilft bei der Absicherung gegen Cyberangriffe und kann im Versicherungsfall Vorteile bringen. Nicht zuletzt ist es ein klares Signal: Wir nehmen unsere Verantwortung in der digitalen Welt ernst. Fällt Ihr Unternehmen am Ende nicht unter die vom neuen Gesetz betroffenen, so sparen sie sich ein paar bürokratische Verpflichtungen im Berichtswesen können in Sachen IT-Sicherheit und Business Continuity aber erheblich besser schlafen. Warten ist keine Option.

Auch wenn der gesetzliche Rahmen auf sich warten lässt, ist die Richtung klar: mehr Resilienz, mehr Verantwortung, mehr Transparenz in der Cybersicherheit. Unternehmen, die sich jetzt vorbereiten, verschaffen sich nicht nur einen Zeitvorsprung, sondern auch einen echten Wettbewerbsvorteil. Die Zeit bis zur  nationalen Umsetzung von NIS 2 ist keine Schonfrist – sie ist eine Chance.

Das BSI hat den aktuellen Stand zur Sache auf Basis der bekannten Rechtslage hier zusammengefasst.
Die dort vom BSI erstellte Betroffenheitsprüfung gibt erste Eindrücke auf welche Unternehmen die Vorgaben der Richtlinie voraussichtlich zutreffen werden. Vor vorschnellen Handeln sei in jedem Fall an dieser Stelle erneut gewarnt – es ist wahrscheinlich, dass es eine verhältnismäßig lange Umsetzungsfrist geben wird um den finalen NIS 2 Anforderungen zu genügen.