Foto: Pixabay C00 Redfiree Illustration Absmeier

Die Umsetzung der NIS2-Richtlinie in Deutschland ist vorerst gescheitert – und Cyberkriminelle aus aller Welt jubeln. Während andere EU-Länder längst klare Vorgaben geschaffen haben, bleibt Deutschland in der Ungewissheit stecken. Der Preis dafür ist hoch: Teile unserer kritischen Infrastrukturen und Unternehmen bleiben ungeschützt, während Hacker sich über die anhaltenden Sicherheitslücken freuen. Unternehmen, die gehofft hatten, sich auf klare gesetzliche Regelungen stützen zu können, stehen erneut ohne Orientierung da. Doch eines ist sicher: Die Bedrohung durch Cyberangriffe kennt keine politischen Verzögerungen.

Verantwortung übernehmen auch ohne Gesetz

Dass die Politik versagt, entbindet Unternehmen nicht von ihrer Verantwortung. Die NIS2-Richtlinie gilt weiterhin auf EU-Ebene und wer Teil globaler Lieferketten ist, muss zunehmend NIS2-konforme Sicherheitsstandards nachweisen – unabhängig von der deutschen Gesetzgebung. Unternehmen, die die notwendigen Sicherheitsmaßnahmen nicht umsetzen, riskieren nicht nur gefährliche Sicherheitslücken, sondern auch den Ausschluss aus wichtigen Geschäftsbeziehungen. Denn Kunden und Partner fordern zunehmend belastbare Sicherheitskonzepte – wer hier nicht liefert, verliert.

Wirtschaftliche Risiken: Deutschland im Nachteil

Während andere EU-Staaten ihren Unternehmen bereits klare Leitlinien zur Umsetzung von NIS2 bieten, herrscht in Deutschland Unsicherheit. Sollen Firmen jetzt in Sicherheitsmaßnahmen investieren oder doch lieber weiterhin abwarten? Die Erfahrung zeigt, dass Letzteres keine Option ist. Unternehmen, die zu spät reagieren, müssen oft unter immensem Zeitdruck und zu höheren Kosten nachrüsten. Zudem drohen langfristige Wettbewerbsnachteile gegenüber Firmen in Ländern, die die Regelungen bereits national umgesetzt haben. Nicht zuletzt wächst auch das Risiko, dass die EU Deutschland mit Sanktionen belegt.

Cybersicherheit als Business-Enabler: Chance statt Risiko

IT-Security sollte nicht als lästige Pflicht oder reiner Kostenfaktor betrachtet werden, sondern als entscheidender Wettbewerbsvorteil. Unternehmen, die frühzeitig in fortschrittliche Sicherheitsmaßnahmen investieren, positionieren sich als verlässlicher Partner und stärken ihr Marktpotenzial. Denn für Kunden und Partner wird IT-Sicherheit ein immer wichtigeres Auswahlkriterium – Unternehmen, die proaktiv handeln, sind also nicht nur besser geschützt, sondern stärken auch ihre Wettbewerbsfähigkeit.

Was Unternehmen jetzt tun sollten – 6 konkrete Tipps

Für Unternehmen, die bisher keine Maßnahmen getroffen haben, ist jetzt der richtige Zeitpunkt, um die Weichen für eine NIS2-konforme IT-Sicherheitsstrategie zu stellen. Die folgenden sechs Schritte helfen dabei, sich vorzubereiten:

Betroffenheit prüfen:
Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen? Prüfen Sie, ob Sie in eine der kritischen Branchen fallen und ob Ihr Unternehmen die relevanten Größenkriterien erfüllt: über 50 Mitarbeiter oder mehr als 10 Millionen Euro Umsatz.
Ein Information Security Management System (ISMS) aufsetzen:
Ein ISMS nach Best Practices wie ISO 27001 hilft dabei, Sicherheitsrisiken systematisch zu managen. Ein interner oder externer Informationssicherheitsbeauftragter (ISB) sollte benannt werden, um die Umsetzung zu koordinieren.
Cybersicherheit als kontinuierlichen Prozess verstehen:
IT-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Nutzen Sie den Plan-Do-Check-Act-Zyklus (PDCA), um Risiken regelmäßig zu bewerten und Maßnahmen kontinuierlich zu optimieren.
Notfall- und Meldeprozesse definieren:
Unternehmen müssen auf Cyberangriffe vorbereitet sein. Klare Verantwortlichkeiten und Reaktionspläne helfen, Schäden zu minimieren und gesetzliche Meldepflichten, zum Beispiel an das Bundesamt für Sicherheit in der Informationstechnik (BSI) fristgerecht zu erfüllen.
Schwachstellen frühzeitig erkennen:
Sicherheitslücken sind Einfallstore für Angriffe. Penetrationstests, Bedrohungsanalysen und Monitoring-Tools sind essenziell, um potenzielle Risiken rechtzeitig zu identifizieren und zu schließen.
Externe Unterstützung nutzen:
Die Umsetzung der NIS2-Anforderungen kann komplex sein. Managed Security Service Provider (MSSP) helfen dabei, Sicherheitsmaßnahmen effizient umzusetzen und langfristig aufrechtzuerhalten.

Fazit: Handeln statt warten – Verantwortung übernehmen

Die Politik ist gescheitert und Hacker weltweit freuen sich. Unternehmen können sich jetzt also keinesfalls zurücklehnen, denn die Bedrohung durch Cyberangriffe ist real und wächst täglich. IT-Entscheider müssen jetzt handeln, um ihre Systeme, Kunden und Geschäftsprozesse zu schützen. Warten ist keine Option. Diejenigen, die jetzt aktiv werden, sichern nicht nur ihre Wettbewerbsfähigkeit, sondern tragen auch zur digitalen Resilienz der deutschen Wirtschaft bei.

Markus Muth, Direktor Cyber Defense Center bei indevis

290 Artikel zu „NIS2“

News | IT-Security | Kommentar

NIS2-Compliance: Cybersicherheit braucht eine proaktive Vorgehensweise

24. Januar 2025

Für zahlreiche deutsche Unternehmen war das Jahr 2024 war im Hinblick auf ihre Cybersicherheit herausfordernd: laut des Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Aggressivität sowie die Raffiniertheit, mit der Cyberkriminellen vorgehen, erheblich zugenommen [1]. So sind die Häufigkeit und Komplexität von Ransomware-Angriffen stark gestiegen. Um angesichts dieser Bedrohungen das Gesamtniveau…