NIS2: Viele Unternehmen weiterhin unvorbereitet

von Jörg Apel


NIS2: Viele betroffene Unternehmen sind weiterhin nicht registriert, warum das jetzt zum wachsenden Unternehmensrisiko wird

Management-Zusammenfassung

Die Registrierungsfrist für betroffene Unternehmen im Rahmen der NIS2-Regulierung ist abgelaufen, dennoch haben sich tausende Unternehmen in Deutschland bislang nicht beim BSI registriert. Für viele Unternehmen ist das längst kein Randthema mehr, sondern ein wachsendes Compliance-, Sicherheits- und Geschäftsrisiko.

Besonders kritisch: Zahlreiche mittelständische Unternehmen unterschätzen weiterhin, dass sie überhaupt unter NIS2 fallen könnten. Gleichzeitig steigt der regulatorische Druck. Behörden erwarten nachvollziehbare Sicherheitsmaßnahmen, dokumentierte Governance-Strukturen und eine aktive Risikosteuerung.

Die eigentliche Gefahr liegt dabei nicht nur in möglichen Bußgeldern. Fehlende Registrierung ist häufig ein Hinweis auf tieferliegende organisatorische Herausforderungen. Dazu zählen unklare Verantwortlichkeiten, fehlende Transparenz über kritische Prozesse, eine noch nicht ausreichend etablierte Cybersecurity-Governance sowie eine mangelnde Vorbereitung auf Melde- und Nachweispflichten.

Für die Unternehmensführung entsteht daraus akuter Handlungsbedarf: NIS2 entwickelt sich zunehmend zu einer strategischen Aufgabe, die klare Verantwortlichkeiten, strukturierte Prozesse und aktive Risikosteuerung erfordert.

Unternehmen, die jetzt pragmatisch handeln, können regulatorische Risiken reduzieren, ihre Resilienz stärken und gleichzeitig Vertrauen bei Kunden, Partnern und Versicherern aufbauen.

Warum Unternehmen jetzt handeln sollten

Die europäische NIS2-Richtlinie verändert die Anforderungen an Informationssicherheit grundlegend. Anders als frühere Regulierungen betrifft sie nicht mehr nur klassische KRITIS-Betreiber, sondern deutlich mehr Unternehmen, insbesondere im Mittelstand.

Viele Organisationen befinden sich aktuell jedoch in einer gefährlichen Zwischenphase. Die Regulierung ist bekannt, Fristen laufen bereits und gleichzeitig bleibt die praktische Umsetzung in vielen Unternehmen noch hinter den Anforderungen zurück.

Genau das zeigt sich aktuell bei der Registrierungspflicht gegenüber dem BSI. Berichte gehen davon aus, dass sich zehntausende betroffene Unternehmen bislang nicht registriert haben. Dahinter steckt jedoch weit mehr als eine reine Formalität oder zusätzliche Bürokratie.

In vielen Fällen deutet die fehlende Registrierung darauf hin, dass Unternehmen ihre eigene Betroffenheit noch nicht vollständig bewertet haben oder interne Prozesse und Verantwortlichkeiten bislang nicht ausreichend vorbereitet wurden.

Unternehmen, die ihre eigene Betroffenheit nicht kennen oder Prozesse nicht vorbereitet haben, verfügen häufig auch nicht über belastbare Risikoanalysen, funktionierende Incident-Response-Prozesse oder ausreichende Kontrollen innerhalb ihrer Lieferketten. Hinzu kommen oftmals unklare Verantwortlichkeiten für den Umgang mit Sicherheitsvorfällen oder regulatorischen Anforderungen.

Gerade mittelständische Unternehmen stehen dabei unter erheblichem Druck. Anders als große Konzerne verfügen viele KMU nicht über spezialisierte Compliance-Abteilungen oder umfangreiche interne Security-Teams. Gleichzeitig steigen regulatorische Anforderungen, Kundenerwartungen und die Abhängigkeit von digitalen Prozessen kontinuierlich an. Hinzu kommen wachsende Haftungsfragen und steigende Anforderungen entlang der Lieferkette.

Die Steuerung von Cybersecurity entwickelt sich dadurch zunehmend zu einer zentralen Unternehmensaufgabe.

Das eigentliche Risiko: Nicht die Registrierung – sondern die fehlende Vorbereitung

Viele Unternehmen betrachten die Registrierungspflicht isoliert. Tatsächlich ist sie jedoch lediglich der sichtbare Einstiegspunkt in deutlich umfassendere Anforderungen.

1. Governance- und Haftungsrisiken

NIS2 fordert ausdrücklich Management-Verantwortung.

Unternehmen müssen künftig nachvollziehbar darlegen können, dass Risiken bewertet, Sicherheitsmaßnahmen angemessen umgesetzt, Vorfälle behandelt und organisatorische Kontrollen etabliert wurden.

Fehlende Registrierung kann dabei schnell als Indikator interpretiert werden, dass sich das Unternehmen insgesamt nicht ausreichend vorbereitet hat.

Für Geschäftsführer entsteht damit ein neues persönliches Risiko:
Unternehmen können es sich nicht mehr leisten, die eigene Betroffenheit oder bestehende Risiken zu ignorieren.

2. Operative Sicherheitsrisiken

Unternehmen ohne strukturierte NIS2-Vorbereitung kämpfen häufig mit ähnlichen organisatorischen Herausforderungen. Dazu gehören unvollständige Übersichten über kritische Systeme und Prozesse, schwache Zugriffs- und Berechtigungskonzepte, unklare Backup-Strategien oder fehlende Krisenkommunikation. Solche Schwächen bleiben im Tagesgeschäft oft lange unentdeckt und werden häufig erst im Ernstfall sichtbar.

Gerade Ransomware-Angriffe zeigen regelmäßig, dass organisatorische Schwächen oft gravierender sind als technische Einzelprobleme.

Die Registrierungspflicht macht diese Defizite nun sichtbar.

3. Risiken in der Lieferkette

Ein häufig unterschätzter Faktor: NIS2 wirkt indirekt auch auf Unternehmen, die selbst möglicherweise nicht unmittelbar reguliert sind.

Große Kunden und regulierte Partner beginnen zunehmend damit, Sicherheitsnachweise einzufordern, Lieferanten systematisch zu bewerten und Mindeststandards vertraglich festzulegen. Dadurch entsteht auch für nicht unmittelbar regulierte Unternehmen zusätzlicher Druck, die eigene Sicherheitsreife nachvollziehbar darzustellen.

Fehlende NIS2-Reife kann dadurch schnell zu einem Wettbewerbsnachteil werden.

Besonders für IT-Dienstleister, Fertigungsunternehmen, Logistikunternehmen oder Gesundheitsdienstleister wird das relevant.

4. Reputations- und Vertrauensverlust

Cybersecurity ist heute Vertrauenssache.

Kunden, Investoren und Partner erwarten heute nachvollziehbare Sicherheitsprozesse, professionelles Risikomanagement und klare Governance-Strukturen. Informationssicherheit wird damit zunehmend zu einem Vertrauensfaktor in Geschäftsbeziehungen und Ausschreibungen.

Unternehmen, die regulatorische Mindestanforderungen offensichtlich ignorieren, senden ein problematisches Signal an den Markt.

Gerade im Mittelstand kann das direkte Auswirkungen auf:

  • Ausschreibungen,

  • Vertragsverlängerungen,

  • Cyberversicherungen,

  • oder strategische Partnerschaften haben.

Warum viele Unternehmen weiterhin nicht handeln

In Gesprächen mit mittelständischen Unternehmen zeigen sich aktuell immer wieder ähnliche Ursachen.

„Wir wissen nicht, ob wir betroffen sind“

Das ist derzeit vermutlich der häufigste Grund.

Die Komplexität der NIS2-Klassifizierung führt dazu, dass viele Unternehmen ihre regulatorische Rolle falsch einschätzen oder die Relevanz unterschätzen.

„Wir warten noch auf mehr Klarheit“

Obwohl das Gesetz inzwischen verabschiedet wurde, herrscht in vielen Unternehmen weiterhin Unsicherheit hinsichtlich konkreter Anforderungen, Zuständigkeiten und Prioritäten bei der Umsetzung.

Gleichzeitig steigen die Erwartungen von Behörden, Kunden und Geschäftspartnern bereits deutlich an. Unternehmen geraten dadurch zunehmend unter Druck, ihre Sicherheitsmaßnahmen nachvollziehbar zu strukturieren und regulatorische Anforderungen aktiv umzusetzen.

„Uns fehlen Ressourcen“

Besonders im Mittelstand fehlen häufig ausreichende personelle Ressourcen, Zeit, Budget oder klar definierte interne Zuständigkeiten.

Dadurch entsteht Aufschub, obwohl die Risiken weiter wachsen.

„NIS2 wirkt wie ein reines Compliance-Thema“

Das ist einer der gefährlichsten Denkfehler.

NIS2 adressiert keine reine Dokumentationspflicht. Die Richtlinie zielt vielmehr auf operative Resilienz, also auf Krisenfähigkeit, Angriffserkennung, Wiederanlaufprozesse, Risikomanagement und eine belastbare Sicherheitsgovernance.

Unternehmen, die nur „Compliance-Häkchen“ setzen wollen, werden langfristig scheitern.

Welche Sofortmaßnahmen jetzt sinnvoll sind

Unternehmen müssen nicht sofort ein perfektes Security-Programm aufbauen. Entscheidend ist ein strukturierter Einstieg.

1. Betroffenheit kurzfristig prüfen

Die wichtigste erste Frage lautet:
Fällt das Unternehmen unter NIS2?

Dabei sollten insbesondere Branche, Unternehmensgröße, kritische Dienstleistungen, die Rolle innerhalb von Lieferketten sowie bestehende regulatorische Abhängigkeiten bewertet werden.

2. Management-Verantwortung definieren

NIS2 ist keine isolierte IT-Aufgabe.

Geschäftsleitung, IT, Compliance, Datenschutz und operative Bereiche müssen gemeinsam Verantwortung übernehmen.

Empfehlenswert sind klar definierte Verantwortlichkeiten, regelmäßiges Reporting sowie eine nachvollziehbar dokumentierte Governance-Struktur.

3. Bestehende Sicherheitsmaßnahmen realistisch bewerten

Viele Unternehmen besitzen bereits einzelne Sicherheitsmaßnahmen, jedoch ohne strategische Gesamtstruktur.

Wichtige Fragen betreffen unter anderem vorhandene Incident-Response-Prozesse, getestete Backups, den Einsatz von MFA und Zugriffskontrollen, die Bewertung von Lieferanten sowie die systematische Dokumentation von Risiken.

4. Prioritäten statt Perfektion

Der größte Fehler ist Stillstand.

Unternehmen sollten zunächst ihre kritischsten Risiken identifizieren, die größten Schwachstellen reduzieren und pragmatische Mindeststandards etablieren. Entscheidend ist nicht Perfektion innerhalb weniger Wochen, sondern ein strukturierter und nachvollziehbarer Einstieg. Resilienz entsteht schrittweise.

Erfolgreiche Umsetzung: Was erfolgreiche Unternehmen anders machen

Die erfolgreichsten Unternehmen betrachten NIS2 nicht als Belastung, sondern als Anlass zur Professionalisierung.

Sie verbinden regulatorische Anforderungen mit operativer Resilienz und einem strukturierten Risikomanagement. Genau darin liegt der entscheidende Unterschied zwischen reiner Pflichterfüllung und nachhaltiger Sicherheitsstrategie.

Besonders wirksam sind dabei drei Prinzipien.

Sicherheit als Management-Thema etablieren

Cybersecurity darf nicht ausschließlich in der IT verbleiben.

Erfolgreiche Unternehmen integrieren Informationssicherheit in:

  • Unternehmenssteuerung,

  • Risikomanagement,

  • Lieferantenmanagement,

  • und Krisenplanung.

Pragmatismus statt Bürokratie

Nicht jedes Unternehmen benötigt sofort komplexe Enterprise-Strukturen.

Oft reichen bereits:

  • klare Verantwortlichkeiten,

  • dokumentierte Prozesse,

  • regelmäßige Risikoanalysen,

  • und belastbare Basismaßnahmen.

Resilienz statt reine Compliance

Der eigentliche Mehrwert entsteht nicht durch das Erfüllen regulatorischer Pflichten.

Der eigentliche Mehrwert entsteht durch geringere Ausfallrisiken, schnellere Reaktionsfähigkeit, stabilere Geschäftsprozesse und ein höheres Vertrauen bei Kunden und Partnern. Genau darin liegt die strategische Bedeutung von NIS2.

Fazit

Die hohe Zahl nicht registrierter Unternehmen zeigt vor allem eines:
Viele Organisationen unterschätzen weiterhin die strategische Tragweite von NIS2.

Dabei geht es längst nicht mehr nur um Regulierung.

Es geht um betriebliche Widerstandsfähigkeit, verlässliche Geschäftsprozesse, Kundenvertrauen und die Fähigkeit, digitale Geschäftsmodelle nachhaltig abzusichern.

Für mittelständische Unternehmen ist jetzt der entscheidende Zeitpunkt, um aus reaktiver Compliance ein strukturiertes Sicherheitsmanagement zu entwickeln.

Mit der verabschiedeten Gesetzgebung steht nun weniger die Frage nach dem „Ob“ im Mittelpunkt, sondern vielmehr die Geschwindigkeit und Qualität der praktischen Umsetzung in den Unternehmen. 

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »