Die EU will den Schutz Kritischer Infrastrukturen stärken – doch Deutschland hinkt bei der Umsetzung der NIS2-Richtlinie gefährlich hinterher. Die Folgen könnten verheerend sein, wenn zentrale Systeme nicht rechtzeitig abgesichert werden. Warum es zu Verzögerungen kommt und welche Risiken drohen, zeigt eine aktuelle Analyse.
Was ist NIS2 – und warum ist sie so wichtig?
Die NIS2-Richtlinie (Network and Information Security Directive 2), verabschiedet vom Europäischen Parlament im November 2022, ist der Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Sie stellt die europaweite Mindestanforderung für die Cybersicherheit von Unternehmen und öffentlichen Einrichtungen dar, die als Kritische Infrastrukturen (KRITIS) gelten. Im Vergleich zu ihrer Vorgängerin verfolgt NIS2 ein deutlich verschärftes Regelwerk mit erweitertem Geltungsbereich, höheren Sicherheitsanforderungen und strikteren Meldepflichten bei Sicherheitsvorfällen.
Die Ziele: Erhöhte Resilienz digitaler Systeme, einheitliche Schutzstandards in der EU und ein schnelleres Reaktionsvermögen bei Cyberangriffen. Betroffen sind künftig rund 30.000 Unternehmen allein in Deutschland – drei Mal so viele wie bisher.
Deutschland im Rückstand – wo steht das Umsetzungsgesetz?
Eigentlich hätten die EU-Mitgliedstaaten NIS2 bis zum 17. Oktober 2024 in nationales Recht überführen müssen. Deutschland liegt jedoch deutlich hinter diesem Zeitplan zurück. Ein Artikel auf Heise Online vom 22. Oktober 2024 zeigte, dass das Bundesministerium des Innern und für Heimat (BMI) damals noch keinen finalen Gesetzesentwurf zum deutschen NIS2-Umsetzungsgesetz vorgelegt hatte. Zwar wurden Mitte 2024 erste Diskussionsentwürfe öffentlich, doch die endgültige Ausarbeitung stockt – auch infolge komplexer Abstimmungsprozesse zwischen Ministerien, Ländern und Verbänden.
Aktuell (Stand November 2025) ist der Gesetzentwurf immer noch nicht final verabschiedet, das parlamentarische Verfahren läuft schleppend. Experten warnen: Das Zeitfenster schrumpft drastisch. Ohne zügige Umsetzung droht Deutschland eine Vertragsverletzungsklage der EU-Kommission sowie Sicherheitslücken bei essenziellen systemrelevanten Einrichtungen.
Welche Branchen und Unternehmen betrifft NIS2?
NIS2 gilt nicht nur für klassische Betreiber Kritischer Infrastrukturen wie Energieversorger, Wasserwerke oder Krankenhausbetreiber, sondern dehnt den Anwendungsbereich auch auf viele neue Sektoren aus. Dazu gehören:
- Digitale Dienste (z. B. Cloud-Hosting, DNS-Anbieter)
- Hersteller von medizinischen Geräten, Chemikalien, Maschinenbau
- Öffentliche Verwaltungen mit IT-Systeme kritischer Bedeutung
- Finanzmarktinfrastrukturen und große IT-Dienstleister
Entscheidendes Kriterium ist nicht mehr nur Branchenrelevanz, sondern auch die Unternehmensgröße. Laut Richtlinie gilt NIS2 ab einer Beschäftigtenzahl von 50 Personen oder einem Jahresumsatz von mehr als 10 Millionen Euro – unabhängig davon, ob das Unternehmen sich bislang mit KRITIS-Vorgaben auseinandersetzen musste.
Verzögerungen mit weitreichenden Folgen
Die mangelhafte Umsetzung von NIS2 in Deutschland ist nicht nur ein politisches Versäumnis, sondern stellt ein reales Risiko dar: Aktuelle Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigen einen dramatischen Anstieg schwerwiegender Sicherheitsvorfälle. Laut dem BSI-Lagebericht 2024 gab es allein im Jahr 2023 rund 70 Prozent mehr gemeldete Ransomware-Angriffe auf KRITIS-Organisationen als im Vorjahr – ein potenzielles Menetekel für ungenügend geschützte Sektoren ohne NIS2-konformes Sicherheitsmanagement.
Im europäischen Vergleich steht Deutschland damit schlecht da. Länder wie Frankreich, die Niederlande oder Dänemark haben bereits frühzeitig gesetzliche Umsetzungsmaßnahmen getroffen oder entsprechende Regelungen auf den Weg gebracht. Hierzulande droht hingegen ein Migrationsstau, der durch fehlende Ressourcen und unklare Zuständigkeiten zusätzlich befeuert wird.
Was muss ein NIS2-konformes Sicherheitskonzept beinhalten?
Organisationen, die unter NIS2 fallen, müssen ein umfassendes Sicherheitskonzept einführen, das technische, organisatorische und prozessuale Maßnahmen bündelt. Die Anforderungen orientieren sich am Stand der Technik und umfassen unter anderem:
- Risikomanagementverfahren für IT-Systeme und Netzwerke
- Maßnahmen zur Abwehr von Vorfällen, Geschäftsfortführungsstrategien
- Zwei-Faktor-Authentifizierung und Zero-Trust-Architektur
- Verschlüsselungs- und Schwachstellenmanagement
Ein zentraler Bestandteil ist außerdem die Meldepflicht: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die erbrachten Dienste haben könnten, müssen binnen 24 Stunden an die zuständige Behörde gemeldet werden – inklusive Zwischenbericht nach 72 Stunden und Abschlussbericht spätestens nach einem Monat.
Herausforderungen speziell für Mittelstand und Kommunen
Besonders stark betroffen von der NIS2-Ausweitung ist der Mittelstand, der bislang außerhalb des KRITIS-Regimes agierte. Viele dieser Betriebe verfügen weder über eigene IT-Sicherheitsabteilungen noch über Ressourcen für ein fortgeschrittenes Risikomanagement. Ähnliches gilt für kleine und mittlere Kommunalverwaltungen – auch sie könnten in den Anwendungsbereich fallen, wenn ihre Dienste kritisch genug sind.
Ein weiteres Problem: Die Unsicherheit durch das fehlende Umsetzungsgesetz hemmt Investitionsentscheidungen. Unternehmen wissen derzeit nicht, ob und wie sie sich auf regulatorische Anforderungen vorbereiten sollen. Branchenverbände fordern daher seit Monaten mehr Klarheit, konsistente Leitlinien und finanzielle Unterstützung – insbesondere für nicht börsennotierte Unternehmen ohne zentralisierte Compliance-Strukturen.
Statistische Einordnung: Wie groß ist das Exposure tatsächlich?
Laut einer Studie des Branchenverbands Bitkom von Oktober 2024 sehen sich 61 Prozent der befragten Unternehmen mit kritischer digitaler Infrastruktur nicht ausreichend auf NIS2 vorbereitet. Die größten Defizite bestehen demnach bei:
- der Risikoanalyse und Priorisierung von Assets (45 %)
- der Etablierung automatisierter Reaktionsmechanismen (38 %)
- realistischen Notfallplanungen mit Verantwortungstransparenz (27 %)
Zudem zeigt eine Untersuchung des Digitalverbandes eco (März 2024), dass nur 26 Prozent der betroffenen Organisationen aktuell über ein NIS2-konformes Sicherheitskonzept verfügen.
Praktische Tipps zur Vorbereitung auf NIS2
- Jetzt mit der Gap-Analyse starten: Beziehen Sie Experten ein, um zu prüfen, welche Systeme, Prozesse und Ressourcen noch nicht NIS2-konform sind. Tools wie ISO/IEC 27001 bieten gute Orientierung.
- Interne Verantwortlichkeiten klären: Wer ist zuständig für IT-Risiken, Compliance und Meldeprozesse? Legen Sie feste Rollen, Notfallketten und Eskalationsstufen fest.
- Frühzeitig technische Partner einbinden: Managed Security Services, Secure-Access-Lösungen und Threat-Hunting-Dienstleister sind wichtige Bausteine für Organisationen ohne Security-Team.
Fazit: Verzögerungen sind gefährlich, aber noch aufholbar
Die schleppende Umsetzung von NIS2 in Deutschland ist eine ernsthafte Bedrohung für die Cybersicherheit kritischer Sektoren. Wenn digitale Systeme zunehmend vernetzt, aber nicht regulatorisch abgesichert sind, entsteht ein fragiles Ökosystem mit hohem Angriffsrisiko. Und doch: Die Zeit, um zu handeln, ist noch nicht abgelaufen – vorausgesetzt, Gesetzgeber und Wirtschaft reagieren jetzt gemeinsam entschlossen.
Wir möchten Ihre Meinung hören: Wie bereitet sich Ihr Unternehmen auf NIS2 vor? Welche besonderen Herausforderungen sehen Sie in der Umsetzung? Diskutieren Sie mit uns in den Kommentaren oder senden Sie Ihre Erfahrungen an unsere Redaktion – Ihre Einsichten helfen der ganzen Community.
