+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

NIS2 Referentenentwurf 2025: Was deutsche Unternehmen jetzt wissen müssen

von | Juli 17, 2025 | Informationssicherheit, IT-Sicherheit, Urteile | 0 Kommentare

NIS2 Referentenentwurf 2025

Stellen Sie sich vor, Sie müssen Ihr Unternehmen auf eine Cybersicherheits-Prüfung vorbereiten, aber die Prüfungsordnung ändert sich alle paar Monate und niemand kann Ihnen genau sagen, wann die Prüfung stattfindet.

Willkommen in der Welt der NIS2 Umsetzung in Deutschland! Während andere EU-Länder längst ihre Hausaufgaben gemacht haben, kämpft Deutschland noch immer mit der Umsetzung der europäischen NIS2 Richtlinie. Der neueste NIS2 Referentenentwurf 2025 vom Juni 2025 bringt zwar Bewegung in die Sache, aber auch neue Herausforderungen für Unternehmen mit sich.

Wenn Sie uns kennen, wissen Sie, dass wir immer darauf bedacht sind, pragmatische und praxisorientierte Lösungen für Sie zu entwickeln. Daher möchten wir in diesem Beitrag nicht nur die aktuellen Entwicklungen beleuchten, sondern auch konkret aufzeigen, was das für Ihr Unternehmen bedeutet und warum es jetzt entscheidend ist zu handeln – auch wenn das Gesetz noch nicht verabschiedet ist.

Auf den Punkt gebracht: NIS2 Referentenentwurf 2025

Auf den Punkt gebracht:
Auf den Punkt gebracht: NIS-2 Referentenentwurf 2025
  • Deutschland hinkt bei der NIS2-Umsetzung hinterher: Der EU-Deadline vom Oktober 2024 wurde verpasst, der neue Referentenentwurf vom Juni 2025 ist bereits der elfte Entwurf seit 2023 – das Gesetz wird frühestens Ende 2025 in Kraft treten.
  • Deutlich mehr Unternehmen betroffen als bisher: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erweitert die Cybersicherheitspflichten auf tausende neue Unternehmen in 18 kritischen Sektoren – von Energie über Gesundheit bis hin zu digitalen Diensten.
  • Expertenstellungnahme deckt erhebliche Schwächen auf: Das Cyberintelligence Institute und EICAR kritisieren in ihrer Stellungnahme fehlende Systematik, unklare Begriffsbestimmungen und mangelnde Koordination zwischen Bund und Ländern.
  • Jetzt handeln, auch ohne finales Gesetz: Unternehmen sollten bereits heute mit der Vorbereitung beginnen – Registrierungspflicht binnen drei Monaten nach Identifikation, erste Nachweise ab 2027 und empfindliche Bußgelder bei Verstößen machen Abwarten riskant.

Die NIS2-Umsetzung in Deutschland: Ein Trauerspiel in mehreren Akten

Das Jahr 2025 sollte eigentlich das Jahr der Cybersicherheit werden. Stattdessen erleben wir in Deutschland ein Lehrstück dafür, wie man wichtige EU-Richtlinien nicht umsetzt. Während unsere europäischen Nachbarn längst ihre NIS2-Gesetze verabschiedet haben und Unternehmen klare Vorgaben erhalten, herrscht hierzulande noch immer Ungewissheit.

Die Zahlen sprechen eine deutliche Sprache: Seit April 2023 gab es bereits elf verschiedene Entwürfe des NIS2-Umsetzungsgesetzes. Das ist nicht nur ein Zeichen für die Komplexität der Materie, sondern auch für die mangelnde Koordination zwischen den beteiligten Ministerien und Behörden. Die ursprüngliche EU-Deadline vom 17. Oktober 2024 wurde krachend verfehlt, und auch der selbst gesetzte deutsche Termin vom Oktober 2024 konnte nicht eingehalten werden.

Aber was bedeutet das konkret für Sie als Unternehmer? Zunächst einmal: Die NIS2-Richtlinie gilt bereits auf EU-Ebene, auch wenn Deutschland sie noch nicht in nationales Recht umgesetzt hat. Das heißt, die grundsätzlichen Verpflichtungen bestehen theoretisch schon jetzt. Praktisch fehlen aber die nationalen Durchführungsbestimmungen, die Aufsichtsbehörden und die konkreten Verfahren.

Der aktuelle Referentenentwurf vom Juni 2025 bringt zwar endlich wieder Bewegung in die Sache, aber er offenbart auch, wie komplex die Umsetzung tatsächlich ist. Das geplante „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) soll nicht nur die europäische Richtlinie umsetzen, sondern auch die bestehende deutsche KRITIS-Regulierung modernisieren und erweitern.

Hier liegt bereits der erste Stolperstein: Deutschland versucht, mit einem Gesetz gleich mehrere Baustellen zu bearbeiten. Das führt zu einem komplexen Regelwerk, das selbst Experten vor Herausforderungen stellt. Die Stellungnahme des Cyberintelligence Institute und EICAR bringt es auf den Punkt: „Der aktuelle Referentenentwurf datiert auf den 23.6.2025 und hält relevante Änderungen bereit. Zwar werden nur punktuelle Änderungen vorgenommen, diese haben aber erhebliche Auswirkungen“.

Was besonders problematisch ist: Die Verzögerung bei der Umsetzung führt nicht nur zu rechtlicher Unsicherheit, sondern auch zu einem Wettbewerbsnachteil für deutsche Unternehmen. Während Konkurrenten in anderen EU-Ländern bereits klare Regeln haben und entsprechend planen können, müssen deutsche Unternehmen noch immer im Nebel stochern.

Die politischen Verwerfungen der letzten Monate haben die Situation zusätzlich verschärft. Nach den vorgezogenen Bundestagswahlen im Februar 2025 musste das Gesetzgebungsverfahren praktisch neu gestartet werden. Der neue Referentenentwurf zeigt zwar, dass die neue Regierung das Thema ernst nimmt, aber er macht auch deutlich, dass eine Verabschiedung vor Ende 2025 unrealistisch ist.

Für Sie als Unternehmer bedeutet das: Sie können nicht länger darauf warten, dass die Politik ihre Hausaufgaben macht. Die NIS2-Anforderungen werden kommen – die Frage ist nur wann und in welcher konkreten Form. Wer jetzt nicht anfängt, sich vorzubereiten, wird später unter enormem Zeitdruck stehen.

Was Experten am Referentenentwurf kritisieren: Die Stellungnahme im Detail

Wenn Cybersicherheitsexperten einen Gesetzentwurf als „unvollständig“ und „problematisch“ bezeichnen, sollten Unternehmer aufhorchen. Die gemeinsame Stellungnahme des Cyberintelligence Institute (CII) und EICAR zum aktuellen NIS2-Referentenentwurf liest sich wie ein Katalog verpasster Chancen und struktureller Probleme.

Systematik: Ein Flickenteppich statt einheitlicher Regelungen

Der wohl gravierendste Kritikpunkt betrifft die fehlende Systematik des deutschen Cybersicherheitsrechts. Prof. Dr. Dennis-Kenji Kipker und Rainer Fahs, die Autoren der Stellungnahme, bemängeln: „Zu vermissen ist eine Vereinheitlichung der Systematik des nationalen Cybersicherheitsrechts, die zwischen bereichsspezifischen und allgemeinen Vorgaben und der Cybersicherheit in Bund und Ländern unterscheidet“.

Was bedeutet das in der Praxis? Stellen Sie sich vor, Sie betreiben Unternehmen in mehreren Bundesländern und verschiedenen Sektoren. Dann müssen Sie sich nicht nur mit dem neuen NIS2-Gesetz auseinandersetzen, sondern auch mit unterschiedlichen Landesregelungen und sektorspezifischen Vorschriften. Das führt zu einem regulatorischen Dschungel, der gerade für mittelständische Unternehmen kaum noch durchschaubar ist.

Besonders problematisch ist die mangelnde Koordination mit der geplanten KRITIS-Dachgesetzgebung. Deutschland versucht hier, zwei komplexe Regelwerke parallel zu entwickeln, ohne sie ausreichend aufeinander abzustimmen. Das Ergebnis sind Diskrepanzen und Überschneidungen, die in der Praxis zu Rechtsunsicherheit führen werden.

Begriffsbestimmungen: Wenn Klarheit zur Mangelware wird

Ein weiterer zentraler Kritikpunkt betrifft die Begriffsbestimmungen im Gesetzentwurf. Die Experten stellen fest: „Zahlreiche Begriffsbestimmungen genügen den Anforderungen an Rechtsklarheit nicht oder schaffen fragwürdige Abgrenzungen“.

Das klingt zunächst nach einem technischen Detail, hat aber erhebliche praktische Auswirkungen. Wenn nicht klar definiert ist, was genau unter „Betreiber“, „Ausnahmekriterien“ oder „Online-Marktplätze“ zu verstehen ist, können Unternehmen nicht sicher beurteilen, ob sie überhaupt unter das Gesetz fallen.

Ein konkretes Beispiel: Die Abgrenzung zwischen „wesentlichen Einrichtungen“ (essential entities) und „wichtigen Einrichtungen“ (important entities) ist entscheidend für den Umfang der Compliance-Pflichten. Wesentliche Einrichtungen unterliegen strengeren Aufsichts- und Sanktionsregimen. Wenn diese Abgrenzung aber unklar ist, wissen Unternehmen nicht, welche Anforderungen für sie gelten.

Ministerielle Abstimmung: Alte Kritik, neue Probleme

Besonders frustrierend für die Experten ist, dass bereits bekannte Probleme aus früheren Entwürfen nicht behoben wurden. In der Stellungnahme heißt es: „Im Rahmen der ministeriellen Abstimmung war man durchaus bemüht, einiges von der Kritik aus dem Gesetzgebungsverfahren unter der Ägide der alten Bundesregierung aufzugreifen, um die Regelungen zur nationalen Umsetzung von NIS-2 in Teilen praktikabler zu gestalten“.

Das „aber“ folgt auf dem Fuß: Trotz dieser Bemühungen enthält der Entwurf noch immer „viele Schwächen und Unklarheiten, teilweise auch Maßgaben, die der Erhöhung des allgemeinen Cybersicherheitsniveaus nicht förderlich sind“.

Was bedeutet das für Sie? Es zeigt, dass selbst die finale Fassung des Gesetzes wahrscheinlich noch Nachbesserungen benötigen wird. Das erhöht die Wahrscheinlichkeit von Änderungen und Anpassungen auch nach dem Inkrafttreten – ein Albtraum für jede Compliance-Abteilung.

Zeitliche Verzögerung: Deutschland im europäischen Abseits

Die Experten weisen auch auf die zeitlichen Probleme hin: „Gemessen an der Tatsache, dass die Umsetzung von NIS-2 in Deutschland schon seit mittlerweile über zwei Jahren möglich ist und angegangen wird, enthält der vorgelegte Entwurf leider noch viele Schwächen und Unklarheiten“.

Diese Verzögerung hat nicht nur rechtliche, sondern auch praktische Konsequenzen. Während andere EU-Länder bereits Erfahrungen mit der Umsetzung sammeln und ihre Verfahren optimieren, steht Deutschland noch am Anfang. Das bedeutet, dass deutsche Unternehmen später starten müssen, aber trotzdem die gleichen Deadlines einhalten sollen.

Die Kritik der Experten macht deutlich: Der aktuelle Referentenentwurf ist zwar ein Schritt in die richtige Richtung, aber noch lange nicht das Ende der Fahnenstange. Unternehmen müssen sich darauf einstellen, dass auch die finale Fassung des Gesetzes noch Unklarheiten enthalten wird, die erst in der Praxis geklärt werden müssen.

NIS2 Umsetzung Deutschland 2025
Pin it on Pinterest!

Wer ist betroffenen NIS-2? Die neue Realität für deutsche Unternehmen

Lassen Sie uns Klartext reden: Die NIS2-Umsetzung wird die deutsche Unternehmenslandschaft grundlegend verändern. Während bisher nur etwa 2.000 Unternehmen als kritische Infrastrukturen (KRITIS) reguliert waren, werden nach der NIS2-Umsetzung tausende weitere Unternehmen unter die Cybersicherheitspflichten fallen.

Eine erste Analyse zur Betroffenheit finden Sie in unserem Blogbeitrag zum Thema.

Die 18 kritischen Sektoren: Weit mehr als nur Energie und Telekommunikation

Das NIS2UmsuCG erweitert den Anwendungsbereich erheblich. Betroffen sind Unternehmen in 18 kritischen Sektoren, die in zwei Kategorien unterteilt werden:

Wesentliche Einrichtungen (Essential Entities):

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  • Verkehr (Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • IKT-Dienstverwaltung (B2B)
  • Öffentliche Verwaltung
  • Raumfahrt

Wichtige Einrichtungen (Important Entities):

  • Postdienste und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Verarbeitendes Gewerbe (bestimmte Bereiche)
  • Anbieter digitaler Dienste
  • Forschungseinrichtungen

Größenkriterien: Nicht nur die Großen sind betroffen

Ein weit verbreiteter Irrtum ist, dass nur Großkonzerne vom NIS2 Referentenentwurf 2025 betroffen sind. Tatsächlich gelten bereits ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz die Regelungen für wichtige Einrichtungen. Für wesentliche Einrichtungen gibt es teilweise noch niedrigere Schwellen oder gar keine Größenkriterien.

Das bedeutet konkret: Ein mittelständisches Logistikunternehmen mit 60 Mitarbeitern kann genauso betroffen sein wie ein regionaler Energieversorger oder ein spezialisierter Chemikalienhändler. Die Zeiten, in denen Cybersicherheitsregulierung gefühlt nur ein Thema für Großunternehmen war, sind definitiv vorbei.

Was kommt auf betroffene Unternehmen zu?

Die Anforderungen des NIS2UmsuCG sind umfassend und gehen weit über das hinaus, was viele Unternehmen bisher gewohnt sind:

Registrierungspflicht: Betroffene Unternehmen müssen sich binnen drei Monaten nach ihrer Identifikation bei der zuständigen Behörde (in der Regel dem BSI) registrieren. Das klingt einfach, erfordert aber eine genaue Analyse der eigenen Geschäftstätigkeit und eine klare Zuordnung zu den definierten Sektoren.

Cybersicherheitsmaßnahmen: Unternehmen müssen angemessene technische und organisatorische Maßnahmen implementieren. Dazu gehören unter anderem:

  • Risikomanagement für die Cybersicherheit
  • Behandlung von Cybersicherheitsvorfällen
  • Business Continuity Management
  • Sicherheit der Lieferkette
  • Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen

Meldepflichten: Das neue dreistufige Melderegime ersetzt die bisherige einstufige Meldepflicht der KRITIS Organisationen. Unternehmen müssen Cybersicherheitsvorfälle je nach Schweregrad binnen 24 Stunden melden. Das Update erfolgt nach 72 Stunden und einem Monat.

Nachweispflichten: Betreiber kritischer Anlagen müssen spätestens drei Jahre nach Inkrafttreten des Gesetzes (also ab 2027) erstmals nachweisen, dass sie die erforderlichen Maßnahmen umgesetzt haben. Danach ist dieser Nachweis alle drei Jahre zu erbringen. Alle anderen Unternehmen müssen keine aktiven Nachweise bringen.

Management-Verantwortung: Cybersicherheit wird Chefsache

Ein besonders wichtiger Aspekt, der oft übersehen wird: NIS2 macht Cybersicherheit zur Führungsaufgabe. Die Geschäftsleitung wird persönlich für die Einhaltung der Cybersicherheitsanforderungen verantwortlich gemacht. Das bedeutet nicht nur, dass das Management entsprechende Schulungen absolvieren muss, sondern auch, dass bei Verstößen persönliche Sanktionen drohen können.

Für viele Geschäftsführer und Vorstände ist das ein Paradigmenwechsel. Cybersicherheit war bisher oft eine IT-Angelegenheit, die an die entsprechende Abteilung delegiert wurde. Mit NIS2 wird sie zu einem strategischen Thema, das regelmäßig auf der Agenda der Geschäftsleitung stehen muss.

Aber sind wir ehrlich: Genau da gehört es doch hin. Die IT-Abteilung kann nicht für die Informationssicherheit des Unternehmens verantwortlich sein. Lange Zeit hat die Führungsebene diese Aufgabe abgegeben, der sie sich nun stellen muss.

Sanktionen: Wenn Compliance zum Kostenfaktor wird

Die Bußgelder nach NIS2 haben es in sich. Für wesentliche Einrichtungen können Geldbußen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden – je nachdem, was höher ist. Für wichtige Einrichtungen sind es immerhin noch bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes.

Aber es geht nicht nur um Geld. Bei schwerwiegenden Verstößen können auch andere Sanktionen verhängt werden, wie etwa die Untersagung der Geschäftstätigkeit oder der Ausschluss von öffentlichen Aufträgen. Für viele Unternehmen wären solche Maßnahmen existenzbedrohend.

Die Botschaft ist klar: NIS2-Compliance ist kein „Nice-to-have“, sondern ein „Must-have“. Unternehmen, die die Anforderungen nicht ernst nehmen, riskieren nicht nur hohe Bußgelder, sondern auch erhebliche Reputationsschäden und Geschäftseinbußen.

Zeitplan und Handlungsempfehlungen: Was Sie jetzt tun sollten

Die Unsicherheit über den genauen Zeitplan der NIS2-Umsetzung ist verständlicherweise frustrierend für Unternehmen. Niemand investiert gerne Zeit und Geld in Compliance-Maßnahmen, wenn unklar ist, wann und in welcher Form sie tatsächlich erforderlich werden. Aber genau diese Haltung kann sich als fatal erweisen.

Der realistische Zeitplan: Ende 2025 als frühester Termin

Basierend auf dem aktuellen Stand des Gesetzgebungsverfahrens ist mit einem Inkrafttreten des NIS2UmsuCG frühestens Ende 2025 zu rechnen. Der Referentenentwurf vom Juni 2025 muss noch das gesamte parlamentarische Verfahren durchlaufen:

Kommentierungsphase: Bis 30. Juni 2025 konnten Verbände und Experten Stellungnahmen abgeben. Diese werden nun ausgewertet und können zu weiteren Änderungen führen.

Kabinettsbeschluss: Nach der Überarbeitung muss das Kabinett den Gesetzentwurf beschließen.

Parlamentarische Beratung: Erste Lesung im Bundestag, Ausschussberatungen, zweite und dritte Lesung.

Bundesrat: Je nach Ausgestaltung des Gesetzes kann auch eine Zustimmung des Bundesrats erforderlich sein.

Verkündung und Inkrafttreten: Nach der Verkündung im Bundesgesetzblatt tritt das Gesetz in Kraft.

Realistisch betrachtet wird dieser Prozess mindestens bis zum vierten Quartal 2025 dauern. Optimisten hoffen auf eine Verabschiedung noch vor der Sommerpause 2025, aber angesichts der Komplexität der Materie und der noch offenen Fragen ist das eher unwahrscheinlich.

Warum Abwarten keine Option ist

Auch wenn das Gesetz noch nicht verabschiedet ist, gibt es gute Gründe, bereits jetzt mit der Vorbereitung zu beginnen:

Kurze Umsetzungsfristen: Nach Inkrafttreten des Gesetzes haben Unternehmen nur drei Monate Zeit für die Registrierung. Das klingt nach viel Zeit, ist aber in der Praxis sehr knapp bemessen, wenn man bedenkt, dass zunächst eine genaue Analyse der eigenen Betroffenheit erforderlich ist. Realistisch ist es nicht möglich, innerhalb von drei Monaten ein ISMS zu implementieren, denn genau darauf läuft es am Ende hinaus.

Komplexe Anforderungen: Die Implementierung angemessener Cybersicherheitsmaßnahmen ist kein Projekt, das sich mal eben schnell abarbeiten lässt. Je nach Ausgangslage können Monate oder sogar Jahre erforderlich sein, um alle Anforderungen zu erfüllen.

Wettbewerbsvorteile: Unternehmen, die frühzeitig mit der Vorbereitung beginnen, haben nicht nur weniger Stress bei der späteren Umsetzung, sondern können auch Wettbewerbsvorteile realisieren. Kunden und Geschäftspartner vertrauen Unternehmen mehr, die erkennbar professionell mit Cybersicherheit umgehen.

Risikominimierung: Auch ohne gesetzliche Verpflichtung sind die meisten NIS2-Anforderungen sinnvolle Cybersicherheitsmaßnahmen. Unternehmen, die sie umsetzen, reduzieren ihr Risiko für Cyberangriffe und deren Folgen.

Konkrete Handlungsempfehlungen: Der 5-Stufen-Plan

Stufe 1: Betroffenheitsanalyse (sofort)
Prüfen Sie systematisch, ob Ihr Unternehmen unter die NIS2-Regelungen fallen könnte. Berücksichtigen Sie dabei nicht nur die aktuelle Geschäftstätigkeit, sondern auch geplante Erweiterungen oder Akquisitionen. Erstellen Sie eine Dokumentation Ihrer Analyse – Sie werden sie später für die Registrierung benötigen.

Stufe 2: Gap-Analyse (bis Ende 2025)
Führen Sie eine umfassende Bewertung Ihrer aktuellen Cybersicherheitsmaßnahmen durch. Vergleichen Sie den Ist-Zustand mit den erwarteten NIS2-Anforderungen und identifizieren Sie Handlungsbedarfe. Nutzen Sie dafür die bereits verfügbaren Entwürfe und Leitfäden, auch wenn sie noch nicht final sind. Sehr gerne unterstützen wir Sie dabei.

Stufe 3: Roadmap-Entwicklung (bis Q1 2026)
Entwickeln Sie einen konkreten Umsetzungsplan mit Prioritäten, Zeitplänen und Budgets. Berücksichtigen Sie dabei, dass manche Maßnahmen (wie die Implementierung neuer IT-Systeme) längere Vorlaufzeiten haben als andere (wie die Erstellung von Richtlinien).

Stufe 4: Pilotprojekte (ab Q2 2026)
Beginnen Sie mit der Umsetzung ausgewählter Maßnahmen, auch wenn das Gesetz noch nicht in Kraft ist. Konzentrieren Sie sich zunächst auf Bereiche, die auch unabhängig von NIS2 sinnvoll sind, wie etwa die Verbesserung des Incident Response oder die Schulung von Mitarbeitern.

Stufe 5: Vollständige Umsetzung (bis 2027)
Spätestens drei Jahre nach Inkrafttreten des Gesetzes müssen Betreiber kritischer Anlagen den ersten Nachweis über die Umsetzung der erforderlichen Maßnahmen erbringen. Planen Sie diese Deadline von Anfang an mit ein.

NIS-2 Umsetzung
NIS-2 Umsetzung

Externe Unterstützung: Wann sie sinnvoll ist

Die NIS2-Umsetzung ist komplex und erfordert sowohl technisches als auch rechtliches Know-how. Für viele Unternehmen ist externe Unterstützung daher nicht nur hilfreich, sondern notwendig:

Betroffenheitsanalyse: Für die Betroffenheitsanalyse und die Interpretation der Anforderungen ist Expertise unerlässlich. Datenschutz- und Cybersecurity Experten können dabei helfen, die Anforderungen richtig zu verstehen und umzusetzen.

Technische Beratung: Die Implementierung der technischen Cybersicherheitsmaßnahmen erfordert spezialisiertes Know-how. IT-Sicherheitsberater können dabei helfen, die richtigen Lösungen zu identifizieren und zu implementieren.

Projektmanagement: Die NIS2-Umsetzung ist ein komplexes Projekt, das professionelles Projektmanagement erfordert. Externe Projektmanager können dabei helfen, den Überblick zu behalten und Deadlines einzuhalten.

Die Investition in externe Unterstützung mag zunächst hoch erscheinen, ist aber in der Regel deutlich günstiger als die Kosten, die bei einer verspäteten oder unvollständigen Umsetzung entstehen können. Ganz zu schweigen von den möglichen Bußgeldern bei Verstößen.

Kontaktieren Sie uns, wenn Sie sich unverbindlich mit uns über die Umsetzung der NIS-2 Anforderung austauschen möchten.

Dokumentation: Der oft übersehene Erfolgsfaktor

Ein Aspekt, der bei der NIS2-Vorbereitung oft übersehen wird, ist die Dokumentation. Das Gesetz verlangt nicht nur die Umsetzung bestimmter Maßnahmen, sondern auch deren Nachweis. Das bedeutet, dass alle Aktivitäten, Entscheidungen und Maßnahmen sorgfältig dokumentiert werden müssen. Bei Organisationen der kritischen Infrastruktur muss der Nachweis aktiv erbracht werden. Alle anderen Organisationen müssen den Nachweis auf Nachfrage vorlegen können.

Beginnen Sie bereits jetzt mit einer systematischen Dokumentation Ihrer Cybersicherheitsaktivitäten. Das erleichtert nicht nur die spätere Nachweisführung, sondern hilft auch dabei, den Überblick über komplexe Projekte zu behalten und aus Fehlern zu lernen.

Die Botschaft ist klar: Warten Sie nicht auf das finale Gesetz. Die Grundzüge der NIS2-Anforderungen sind bereits bekannt, und die Zeit bis zum Inkrafttreten sollten Sie nutzen, um sich optimal vorzubereiten. Unternehmen, die jetzt handeln, werden später deutlich entspannter in die Compliance-Phase gehen können.

Fazit: NIS2 als Chance begreifen

Die NIS2-Umsetzung in Deutschland mag chaotisch verlaufen, aber sie bietet auch Chancen. Unternehmen, die die Anforderungen nicht als lästige Pflicht, sondern als Investition in ihre Zukunftsfähigkeit begreifen, werden langfristig profitieren.

Cybersicherheit ist längst kein reines IT-Thema mehr, sondern ein strategischer Erfolgsfaktor. In einer zunehmend digitalisierten Welt können sich Unternehmen schlichtweg keine Schwächen in der Cybersicherheit leisten. NIS2 zwingt sie dazu, diese Schwächen systematisch zu identifizieren und zu beheben.

Die Verzögerungen bei der deutschen Umsetzung sind ärgerlich, aber sie bieten auch eine Chance: Unternehmen haben mehr Zeit für eine durchdachte Vorbereitung. Nutzen Sie diese Zeit weise. Beginnen Sie jetzt mit der Analyse Ihrer Betroffenheit und der Bewertung Ihrer aktuellen Cybersicherheitsmaßnahmen. Entwickeln Sie einen realistischen Umsetzungsplan und holen Sie sich professionelle Unterstützung, wo sie benötigt wird.

Die NIS2-Richtlinie wird kommen – in Deutschland vielleicht später als geplant, aber sie wird kommen. Unternehmen, die sich frühzeitig vorbereiten, werden nicht nur compliance-konform sein, sondern auch widerstandsfähiger gegen Cyberangriffe und damit erfolgreicher am Markt.

Wenn Sie Fragen zur NIS2-Umsetzung haben oder Unterstützung bei der Vorbereitung benötigen, zögern Sie nicht, unsere Unterstützung in Anspruch zu nehmen. Es zahlt sich aus, in eine ordnungsgemäße Vorbereitung zu investieren. Denn eine verspäteten oder unvollständigen Umsetzung kann ihr Unternehmen deutlich mehr kosten. Also, kontaktieren Sie uns.

Dieser Artikel wurde auf Basis des aktuellen Referentenentwurfs vom Juni 2025 und der Expertenstellungnahme des Cyberintelligence Institute und EICAR erstellt. Da sich die Rechtslage noch ändern kann, empfehlen wir, sich regelmäßig über den aktuellen Stand zu informieren und bei konkreten Fragen professionelle Beratung in Anspruch zu nehmen.

Diesen Beitrag teilen

Das ist sicher auch interessant für Sie

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert