Mit NIS-2 wird Cybersicherheit von einer reinen IT-Frage zu einer klaren Managementaufgabe. Geschäftsführungen und Vorstände sind nun dafür verantwortlich, Risiken zu verstehen, Ressourcen bereitzustellen und die Umsetzung der Maßnahmen aktiv zu steuern.

Was hinter NIS 2 steckt

Die NIS 2-Richtlinie soll in der EU ein einheitlich höheres Sicherheitsniveau für Netz- und Informationssysteme schaffen. Sie richtet sich an sogenannte wesentliche und wichtige Einrichtungen, zu denen deutlich mehr Unternehmen zählen als noch unter der Vorgängerregelung. Dazu gehören beispielsweise Unternehmen aus den Bereichen:

• Energie
• Gesundheit
• Verkehr
• Verwaltung
• digitale Infrastruktur
• Teile des produzierenden Gewerbes

Das Ziel umfasst nicht nur eine technische Härtung, sondern auch ein besseres Risikomanagement, klare Meldeprozesse und eine höhere Resilienz bei Sicherheitsvorfällen und mit dem deutschen NIS2-Umsetzungsgesetz wird dieser Rahmen konkretisiert. Unternehmen müssen daher geeignete und verhältnismäßige technische, organisatorische und operative Maßnahmen treffen, um Cyberrisiken zu minimieren und die Auswirkungen von Vorfällen zu begrenzen. Dazu gehören beispielsweise Risikomanagement, Backup-Strategien, Krisen- und Notfallplanung, Lieferkettensicherheit und strukturierte Meldeprozesse.

Verantwortung der Geschäftsleitung

Neu und für Entscheider besonders relevant ist, dass die Geschäftsleitung explizit Verantwortung trägt und Vorstand und Geschäftsführung sicherstellen müssen, dass angemessene Sicherheitsmaßnahmen eingeführt, überwacht und regelmäßig bewertet werden. Diese Pflichten lassen sich nicht einfach vollständig „an die IT delegieren“, sondern bleiben rechtlich bei der Unternehmensleitung, auch wenn operative Aufgaben übertragen werden. Dazu gehört auch, dass Leitungspersonen sich selbst schulen lassen und IT-Sicherheit in ihre Entscheidungsprozesse integrieren. Da sich der Bußgeldrahmen und mögliche Sanktionen an der Logik der DSGVO orientieren, können sie bei Missachtung von Pflichten spürbar ausfallen und für Geschäftsführungen bedeutet das, dass Unwissenheit über NIS 2 kein tragfähiges Argument mehr ist.

Vom Compliance Projekt zur Wettbewerbschance

Auf den ersten Blick wirkt NIS 2 wie eine zusätzliche Regulierung mit hohem Umsetzungsaufwand. Gleichzeitig eröffnet ein systematischer Umgang mit Risiken und Prozessen aber die Möglichkeit, IT-Sicherheit als Qualitätsmerkmal und Wettbewerbsfaktor zu nutzen. Wer NIS 2 als Chance für mehr Wettbewerbsfähigkeit nutzen will, kann die geforderten Maßnahmen mit bestehenden Initiativen in den Bereichen Qualitätsmanagement, Business Continuity oder Informationssicherheit verzahnen.​

Unternehmen, die ihre Sicherheitsarchitektur, Meldewege und Lieferketten transparent strukturiert haben, können dies gegenüber Kunden, Partnern und Aufsichtsbehörden besser nachweisen. In vielen Branchen sind belastbare Sicherheitsnachweise inzwischen Voraussetzung für Ausschreibungen, Zertifizierungen oder die Zusammenarbeit in digitalen Ökosystemen. Eine frühzeitige, strategische Auseinandersetzung mit NIS 2 ist von Vorteil, da die erforderlichen Prozesse und Zuständigkeiten dann bereits etabliert sind.

Konkrete Handlungsfelder für Entscheider

Für die Unternehmensleitung geht es zunächst darum, den eigenen Betroffenheitsgrad zu klären. Viele Industrie-, IT- oder Dienstleistungsunternehmen fallen künftig in die Kategorien „wesentlich“ oder „wichtig“ und müssen sich entsprechend registrieren, Kontakte benennen und Meldeprozesse etablieren. Anschließend gilt es, Rollen und Verantwortlichkeiten klar zu definieren, etwa durch ein Lenkungsgremium für Informationssicherheit oder eine benannte NIS 2 Verantwortlichkeit auf Leitungsebene.​

Auf dieser Grundlage lassen sich Risikomanagement , technische Schutzmaßnahmen, Backup- und Wiederanlaufkonzepte sowie Schulungen für Mitarbeitende strukturieren. Unternehmen nutzen dabei oft externe Expertise, um bestehende Strukturen zu überprüfen, branchentypische Bedrohungen zu identifizieren und passgenaue Lösungen zu entwickeln. NIS 2 kann als Impuls für eine Weiterentwicklung der eigenen Sicherheitskultur verstanden werden, die das Unternehmen robuster und zukunftsfähiger macht.