Experten begrüßen Kabinettsbeschluss – Dänemark als mögliches Vorbild für nächste Schritte?

Ende Juli hat die Bundesregierung den Kabinettsbeschluss zur Umsetzung der EU-NIS2-Richtlinie gefasst und damit den Weg für strengere IT-Sicherheitsanforderungen in Deutschland geebnet. Doch während Deutschland hierbei noch ganz am Anfang steht, hat unser Nachbarland Dänemark die Richtlinie bereits vollständig in nationales Recht umgesetzt – emagine, ein renommiertes IT-Beratungs- und IT-Engineering-Unternehmen mit Sitz in Dänemark, möchte die Erfahrungen aus dem Mutterland nutzen, um deutsche Unternehmen dabei zu unterstützen, die neuen Vorgaben nicht nur einzuhalten, sondern nachhaltige Cyber-Resilienz aufzubauen.

Mit dem Kabinettsbeschluss vom 30. Juli 2025 setzt die Bundesregierung die EU-NIS2-Richtlinie in nationales Recht um. So werden künftig rund 29.000 Einrichtungen – darunter »besonders wichtige« und »wichtige« Unternehmen – verpflichtet, ihre IT-Sicherheitsmaßnahmen deutlich zu verschärfen. Neben strengeren Meldepflichten und einem verpflichtenden Risikomanagement müssen sich betroffene Unternehmen auch künftig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Auch Unternehmen und Organisationen, die bislang nicht als kritische Infrastruktur (KRITIS) eingeordnet waren, sind nun betroffen. Dadurch steigt nicht nur die regulatorische Verantwortung, sondern auch das generelle Schutzniveau in Deutschland. Laut einer Bitkom-Studie von 2024 meldeten 8 von 10 Unternehmen in Deutschland mindestens einen Fall von Datendiebstahl, Spionage oder sogar Sabotage – das zeigt, wie dringend die neuen Regelungen sind. (Quelle: Bitkom, »Wirtschaftsschutz 2024«).

Blick über die Grenze

Im Gegensatz zu Deutschland ist in Dänemark die NIS2-Richtlinie bereits zum 1. Juli 2025 vollständig in Kraft getreten. Der sogenannte »NIS2 Act« sowie ein ergänzendes Gesetz für den Telekommunikationssektor regeln verbindlich, welche Anforderungen Unternehmen erfüllen müssen. Gleichzeitig treten zusätzliche ergänzende Vorschriften für Energie und weitere Sektoren sukzessive in Kraft.

Deutschland hingegen befindet sich noch ganz am Anfang der Umsetzung. So müssen zahlreiche Details und sektorübergreifende Vorgaben erst konkretisiert werden, was für Unternehmen und Organisationen hierzulande einen massiven Anpassungsaufwand bedeutet. Das Beratungsunternehmen emagine, mit Hauptsitz in der dänischen Hauptstadt Kopenhagen, nutzt schon jetzt seine Erfahrungen aus Dänemark, um die deutschen Firmen aktiv auf dem Weg zur Umsetzung von NIS2 zu begleiten.

Bastian Krapf, Managing Director Deutschland bei emagine, erklärt: »Unser Ziel ist es, Unternehmen nicht nur rechtskonform aufzustellen. Wir wollen außerdem ihre Cyberresilienz so stärken, dass sie auch für zukünftige Bedrohungen gewappnet sind.«

Zeit für Vorsorge

Unternehmen, die künftig direkt von der NIS2-Richtlinie betroffen sind oder als Teil einer kritischen Lieferkette Verantwortung tragen, sollten jetzt handeln. Es gilt, sich rechtzeitig auf die Registrierung beim BSI vorzubereiten und ein wirksames Sicherheitsvorfallmanagement aufzubauen. Außerdem sind sie gefordert, ihre eigenen IT-Sicherheitsstrategien zu überprüfen und umfassend zu dokumentieren sowie Verantwortlichkeiten klar festzulegen. Das gilt vor allem auch für die Führungsebene, besonders weil mit NIS2 künftig die Geschäftsleitung bei Verstößen direkt haftbar gemacht werden kann.

Aus der bisherigen Erfahrung bei der Umsetzung von NIS2 kann emagine eine Reihe von Ratschlägen geben, wie sich Unternehmen hierzulande vorbereiten können:

Die verbleibende Vorbereitungszeit nutzen, um die frühzeitige Registrierung beim BSI vorzubereiten und interne Prozesse dafür aufzusetzen.

Compliance-Teams überprüfen bereits vor der Umsetzung neuer Anforderungen stets bestehende Prozesse, Kontrollmechanismen und Rahmenbedingungen. So kann auf bereits Vorhandenem aufgebaut werden, anstatt von vorne zu beginnen.

Die Zusammenarbeit mit Drittparteien entlang der Lieferkette ist immens wichtig, besonders wenn diese mehrere Teams oder Abteilungen betrifft, wie beispielsweise Beschaffung, Legal oder Compliance. Es muss stets klar sein, welche Teams oder Personen verantwortlich sind, um sicherzustellen, dass die Drittparteien die Anforderungen erfüllen.

Die Risikobewertung und Schwachstellenermittlung eines Unternehmens erfordert einen einheitlichen Ansatz und ein angemessenes effizientes System. Dabei kann der Einsatz externer Tools und Fachkenntnisse äußerst nützlich sein.

Um Unternehmen wirksam zu schützen, ist es entscheidend zu verstehen, was überhaupt geschützt werden muss. Daher ist ein Überblick über die wichtigsten Prozesse, IT-Systeme, Datenbanken und Lieferanten essenziell, sodass die Sicherheitsstrategie überprüft werden kann, um Lücken gezielt zu schließen.

Die meisten Cyber-Vorfälle sind nach wie vor auf menschliches Versagen zurückzuführen. Daher sind allgemeine Weiterbildungen, Sensibilisierungsmaßnahmen und Schulungen für die Mitarbeiter von größter Bedeutung. So wie sich auch KI und andere Technologien weiterentwickeln, so entwickeln sich auch die Kriminellen weiter, und das Grundverständnis der Mitarbeiter darf hier nicht zurückstecken. Diese Notwendigkeit wird im Rahmen von NIS2 hervorgehoben.

Zuletzt ein Sicherheitsvorfallmanagement etablieren, inklusive klarer Kommunikationswege und Verantwortlichkeiten.

Cyber-Sicherheit und die Umsetzung der NIS2-Richtlinie sind nicht nur Aufgaben der IT-Abteilung. Vielmehr ist eine abteilungsübergreifende Zusammenarbeit erforderlich, die von der Geschäftsführung getragen werden muss.

»Die Umsetzung der NIS2-Richtlinie ist kein bürokratisches Pflichtprogramm, sie ist ein Realitätscheck«, betont Krapf. »Wer jetzt umfänglich in Strukturen, Prozesse und Kultur investiert, investiert nicht nur in Compliance, sondern in echte Resilienz. Das Gesetz mag verbindlich sein, aber die Vorgaben sollten Unternehmen eigentlich schon längst ernst nehmen und umgesetzt haben. Wenn das bisher noch nicht der Fall ist, ist jetzt höchste Zeit.«

