Mit NIS 2 will die EU Cybersicherheit in kritischen Infrastrukturen europaweit stärken. Doch in Deutschland stoßen die Umsetzungsbemühungen auf Widerstand. Zwischen dem legitimen Interesse an resilienten Netzwerken und wachsender Bürokratiewarnung formiert sich eine hitzige Debatte – mit weitreichenden Implikationen für Unternehmen und Betreiber kritischer Dienste.
Einleitung: Sicherheitsgesetz mit Nebenwirkungen
Die EU-Richtlinie NIS 2 (Network and Information Security Directive) stellt die nationalen Gesetzgeber vor eine große Herausforderung. Seit ihrer Verabschiedung im Jahr 2022 zielt sie darauf ab, die Cyberresilienz in Europa spürbar zu erhöhen – durch deutlich strengere Verpflichtungen für Unternehmen in essenziellen Bereichen wie Energie, Verkehr, Gesundheit, Telekommunikation oder digitale Dienste.
In Deutschland wird die Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz realisiert – kurz NIS2UmsuCG. Der aktuelle Gesetzesentwurf sorgt jedoch für Turbulenzen: Wirtschaftsverbände, Telekommunikationsanbieter und IT-Sicherheitsexperten kritisieren eine massive Ausweitung der Bürokratie, während Behörden das Regelwerk als unerlässlich für die nationale Cybersicherheit betrachten.
Was ist NIS 2?
NIS 2 ist die Nachfolgerichtlinie der NIS-Richtlinie von 2016, die erstmals EU-weit Anforderungen an die IT-Sicherheit von Betreibern wesentlicher Dienste einführte. Die neue Fassung dehnt die Regelungen deutlich aus: War NIS 1 auf rund 1.500 deutsche Unternehmen beschränkt, sollen durch NIS 2 nun 29 verschiedene Sektoren und zahllose Unternehmen – schätzungsweise bis zu 30.000 allein in Deutschland – in die Pflicht genommen werden.
Die betroffenen Betriebe müssen zukünftig ein Risikomanagementsystem einführen, Sicherheitsvorfälle melden, regelmäßige Schulungen durchführen und umfassende Dokumentationspflichten erfüllen. Dazu kommen deutlich härtere Sanktionen bei Verstößen, bis hin zu Bußgeldern in Millionenhöhe.
Zwischen Sicherheitsgewinn und Bürokratielast
Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Innenministerium die Richtlinie als Meilenstein bewerben, schlagen andere Alarm. So berichtete Heise Online in einem Hintergrundartikel im April 2024 von wachsendem Unmut gerade unter mittelständischen IT-Dienstleistern und Kommunen, die sich überfordert sehen. Der Tenor: Der Gesetzgeber verfehle die Balance zwischen Sicherheit und Umsetzbarkeit.
Auch Golem.de greift die Kritik auf und verweist auf Stimmen aus der Telekommunikationsbranche, insbesondere von der Deutschen Telekom und Verbänden wie Bitkom. Sie warnen vor einem teuren, unverhältnismäßigen Ausbau administrativer Pflichten. Bitkom-Hauptgeschäftsführer Bernhard Rohleder kritisierte, dass die Richtlinie „mit der Gießkanne Anforderungen verteilt, die kleine Betriebe kaum schultern können“.
Bundestag und Bundesrat im Spannungsfeld
Der Bundestag hat den Entwurf zur Umsetzung von NIS 2 im Sommer 2025 mehrheitlich verabschiedet – begleitet von zahlreichen Änderungsanträgen, insbesondere zur Praktikabilität und Datensparsamkeit. Besonders ins Gewicht fiel dabei die Forderung, branchenspezifische Anpassungen und Übergangsfristen zu ermöglichen.
Im Bundesrat formierte sich jedoch Widerstand: Mehrere Länder, darunter Bayern, NRW und Niedersachsen, forderten eine nochmalige Prüfung. Hauptkritikpunkt: Der Verwaltungsaufwand übersteige in vielen Fällen den Nutzen, vor allem bei mittleren Kommunen und privaten Krankenhäusern.
Bedenken äußerte auch die Wirtschaftskammer Baden-Württemberg, die schätzt, dass allein durch die Umsetzung von NIS 2 auf ein Durchschnittsunternehmen jährlich bis zu 135.000 Euro Mehrkosten zukommen könnten (Quelle: IHK BW Research, Mai 2025).
Cybersicherheitslage macht Reform notwendig
Auf der anderen Seite machen aktuelle Sicherheitsanalysen deutlich, wie dringlich der Ausbau der IT-Sicherheit ist. Laut dem „Lagebericht zur IT-Sicherheit in Deutschland 2024“ des BSI verzeichnete Deutschland im vergangenen Jahr über 75 Millionen registrierte Schadprogrammvarianten – ein Anstieg von 22 % gegenüber 2023 (Quelle: BSI Jahresbericht 2024).
Insbesondere kritische Infrastrukturen (KRITIS) standen verstärkt im Visier internationaler APT-Gruppen. Der Ransomware-Angriff auf ein südwestdeutsches Versorgungsnetz im Juli 2024 zeigte alarmierende Defizite bei der Reaktion auf Cybervorfälle. Ein flächendeckendes NIS-2-konformes Sicherheitskonzept gilt in der Fachszene daher als dringlich – gleichzeitig bleibt die Frage offen, wie struktur- und ressourcenschwache Einrichtungen dies stemmen sollen.
Verpflichtungen für Unternehmen – und ihre Tücken
Die Anforderungen sind umfangreich: IT-Risikoanalysen, Notfallpläne, Zugangskontrollen, Systemhärtung, Lieferkettenprüfungen. Hinzu kommen erweiterte Meldepflichten (§11 NIS2UmsuCG), die Störungen binnen 24 Stunden an das BSI melden lassen – unter Androhung empfindlicher Sanktionen bei verspäteter Meldung.
Ein besonderes Problem: Viele Unternehmen wissen noch nicht einmal, dass sie dem Gesetz unterliegen. Eine Studie von KPMG Deutschland vom Oktober 2024 ergab, dass 46 % der befragten Betriebe mit mehr als 50 Mitarbeitenden „keine oder nur unzureichende Kenntnis“ von der neuen Regulierung haben (Quelle: KPMG Survey Digital Risk & Compliance, 10/2024).
Für IT-Abteilungen bedeutet die neue Gesetzeslage nicht nur technische Umstellungen, sondern vor allem interne Prozesse: Verantwortlichkeiten müssen klar definiert, externe Dienstleister eingebunden und Security by Design umgesetzt werden.
Tipps für eine erfolgreiche NIS-2-Umsetzung
- Frühzeitig Zuständigkeiten klären: Verantwortliche für IT-Sicherheit benennen, Berichtswege definieren, Compliance-Teams aufbauen.
- Gap-Analyse durchführen: Prüfen, in welchen Punkten das eigene Unternehmen noch nicht NIS-2-konform aufgestellt ist.
- Security-Awareness-Trainings etablieren: Das Sicherheitsniveau steigt mit dem Bewusstsein der Mitarbeitenden – Schulungen sind Pflicht.
Fazit: Sicherheit braucht Struktur – nicht Überlastung
NIS 2 ist ein bedeutender Schritt in Richtung eines sichereren digitalen Europas – doch die Umsetzung in Deutschland wirft neue Fragen auf. Besonders die Bürokratielast, die auf KMU und Einrichtungen der Daseinsvorsorge zukommt, muss eingehegt werden. Gleichzeitig zeigt die Cyberbedrohungslage, dass Nichtstun keine Option mehr ist.
Erforderlich sind pragmatische Lösungen: angemessene Fristen, individuell angepasste Vorgaben – und eine engere Kooperation zwischen Staat, Wirtschaft und IT-Branche. Nur so kann die Richtlinie ihre Wirkung entfalten – ohne dabei wertvolle Ressourcen in der Umsetzung zu verschleißen.
Wie steht ihr zur NIS-2-Umsetzung? Welche Herausforderungen bereiten euch oder eurem Unternehmen am meisten Kopfzerbrechen? Tauscht euch mit der Community in den Kommentaren aus – eure Sicht ist gefragt!
