site-logo
site-logo
site-logo

Bewältigung der Herausforderungen bei der Umsetzung von NIS2

Startseite

Blogs

Bewältigung der Herausforderungen bei der Umsetzung von NIS2

Bewältigung der Herausforderungen bei der Umsetzung von NIS2

Umsetzung der NIS2-Richtlinie
Shieldworkz logo

Team Shieldworkz

Beginnen wir den heutigen Beitrag mit einem Realitätscheck. Die NIS2-Richtlinie trat im Januar 2023 in Kraft, mit einer Umsetzungsfrist bis zum 17. Oktober 2024. Diese Frist ist nun längst verstrichen. Und doch bleibt die Landschaft zersplittert. Anfang 2026 haben nur etwa 14 EU-Mitgliedstaaten die Umsetzung abgeschlossen. Die Europäische Kommission hat 19 Mitgliedstaaten, die den Prozess nicht abgeschlossen haben, mit begründeten Stellungnahmen ermahnt und gewarnt, dass Fälle dem Gerichtshof der Europäischen Union vorgelegt werden könnten. Deutschland – Heimat von schätzungsweise 30.000 betroffenen Unternehmen – hat sein nationales Gesetz erst im Dezember 2025 erlassen. Frankreich, Irland und Spanien arbeiten noch an ihren Gesetzgebungsverfahren.

Für die in der Mitte gefangenen Organisationen entsteht dadurch eine einzigartig unangenehme Situation: Sie sind rechtlich verpflichtet, eine Richtlinie zu befolgen, deren nationale Umsetzungsregeln möglicherweise in Ihrem Zuständigkeitsbereich noch nicht vollständig in Kraft sind, während Regulierungsbehörden in anderen Mitgliedstaaten, wo Sie tätig sind, bereits Prüfungen durchführen. Willkommen bei NIS2.

  • 14 Mitgliedstaaten mit abgeschlossener Umsetzung Anfang 2026

  • 19 Staaten erhielten begründete Stellungnahmen der Kommission wegen Nichtumsetzung

  • ~75% der befragten Organisationen hatten kein gesondertes NIS2-Implementierungsbudget (ECSO, 2025)

„Compliance ist kein Projekt mit einem Ziel. Es ist eine operative Haltung, die Ihr Vorstand übernehmen muss. Diese Veränderung der Denkweise ist die größte Implementierungsherausforderung überhaupt.“

Das Umsetzungs-Dilemma

Hier ist das Kernstrukturproblem, das die meisten Leitfäden unterschätzen: NIS2 ist eine Richtlinie, keine Verordnung. Jeder Mitgliedstaat setzt sie mit eigenen Interpretationen, Erweiterungen und Abweichungen in nationales Recht um. Dies ist kein theoretisches Problem – es verursacht bereits reale betriebliche Schmerzen für jede Organisation, die in mehr als einem EU-Land präsent ist.

Belgien hat eine verpflichtende Politik zur koordinierten Schwachstellenoffenlegung eingeführt. Italien hat die Liste der regulierten Sektoren über die Anhänge von NIS2 hinaus erweitert und nun auch Rechtsdienstleistungen für große Einzelhändler und Kultureinrichtungen eingeschlossen. Griechenland fordert strukturierte risikobasierte Bewertungen mit verpflichtenden jährlichen Überprüfungen und Konformitätserklärungen. Ungarn betreibt ein duales Rechtsrahmen, das erfordert, dass Organisationen innerhalb von 120 Tagen nach Registrierung zertifizierte externe Prüfer engagieren.

Für ein mittelgroßes Logistikunternehmen, das in sechs Mitgliedstaaten tätig ist, bedeutet dies sechs potenziell unterschiedliche Compliance-Rahmen, die über dem gemeinsamen NIS2-Baseline liegen. Telekommunikationsunternehmen, Cloud-Anbieter und Managed-Service-Provider stehen vor noch größerer Komplexität: Je nach Dienstleistungstyp unterliegen sie möglicherweise dem Gesetz ihres "Hauptniederlassungs"-Staat oder im Gegenzug den Gesetzen jedes Mitgliedstaats, in dem sie Dienstleistungen erbringen.

Was dagegen tun?

Aktionen von Praktikern

  • Erstellen Sie eine Länder-Matrix. Zuordnen jedes Landes, in dem Sie tätig sind, Daten verarbeiten oder Dienstleistungen erbringen, mit dem Umsetzungsstatus dieses Landes und allen Abweichungen von der Baseline-Richtlinie. Aktualisieren Sie dies vierteljährlich – es verändert sich tatsächlich.

  • Behandeln Sie die NIS2-Baseline nicht als Ihre Obergrenze. Mehrere Mitgliedstaaten haben sie bereits überschritten. Kalibrieren Sie auf die strengste Gerichtsbarkeit, in der Sie tätig sind, als Ihr Standard.

  • Identifizieren Sie frühzeitig Ihre „Hauptniederlassungs“-Gerichtsbarkeit. Cloud-Anbieter und Betreiber von Rechenzentren unterliegen anderen juristischen Zuweisungsregeln als andere Einheitstypen – klären Sie dies rechtzeitig, bevor Regulierungsbehörden dies für Sie festlegen.

  • Verfolgen Sie den Vorschlag zur EU Digital Omnibus aufmerksam. Im Januar 2026 hat die Europäische Kommission gezielte NIS2-Änderungen vorgeschlagen, um die rechtliche Klarheit zu erhöhen und die Compliance für rund 28.700 Unternehmen, einschließlich kleinerer Einheiten, zu erleichtern. Diese sind noch nicht in Kraft, werden aber die Verpflichtungen ändern, wenn sie eingeführt werden.


Den Umfang verstehen

Die NIS2 hat den Umfang gegenüber seinem Vorgänger drastisch ausgeweitet. Es umfasst nun 18 kritische Sektoren, darunter – neu – Post- und Kurierdienste, Lebensmittelproduktion, Chemikalien, Abfallentsorgung und Herstellung von medizinischen Geräten, Elektronik und Maschinen. Die „Größenregel“ bedeutet, dass alle mittelgroßen und großen Unternehmen, die in diesen Sektoren tätig sind, automatisch in den Umfang fallen, ohne dass eine formelle Designation erforderlich ist.

Das Problem ist, dass „mittelgroß“ eine spezifische EU-Definition hat (50+ Mitarbeiter oder 10+ Millionen Euro Umsatz), und in der Praxis wissen viele Organisationen nicht genau, ob sie qualifizieren. Ich begegne regelmäßig Unternehmen, die davon ausgingen, sie wären aus dem Umfang, weil sie sich nach Branchenstandards als „klein“ betrachteten, nur um später festzustellen, dass sie die Schwelle vor Jahren überschritten hatten. Andere fallen in den Umfang, weil eine Tochtergesellschaft oder Geschäftseinheit die Schwelle überschreitet, auch wenn das Stammhaus dies nicht tut.

Dann gibt es den Lieferketten-Effekt. Selbst wenn Ihre Organisation die Kriterien nicht direkt erfüllt, müssen Sie damit rechnen, bei einem direkten Lieferanten für eine Einheit im Umfang Vertragsanforderungen zu stellen. NIS2 erfordert ausdrücklich, dass im Umfang befindliche Einheiten die Sicherheit der Lieferkette adressieren – und der einzige praktische Weg, dies zu tun, ist es, Anforderungen in Verträge mit Lieferanten aufzunehmen.

Was dagegen tun?

Aktionen von Praktikern

  • Führen Sie eine formelle Umfangseinschätzung mit den tatsächlichen Sektordefinitionen in den NIS2-Anhängen I und II, nicht nur eine oberflächliche Selbsteinschätzung. Inklusive aller Tochtergesellschaften, Joint Ventures und Entitäten, bei denen Sie bedeutende operative Kontrolle haben.

  • Überprüfen Sie das Registrierungsportal Ihrer nationalen zuständigen Behörde (NCA). Mehrere Mitgliedstaaten – darunter Italien, Ungarn und Griechenland – haben bereits mit Registrierungsprozessen begonnen und erwarten, dass sich Einheiten selbst registrieren. Deutschlands BSI-Portal wurde zu Beginn des Jahres 2026 für die Registrierung aktiviert.

  • Wenn Sie Lieferant für regulierte Einheiten sind, führen Sie eine proaktive Vertragsprüfung durch. NIS2-getriebene Sicherheitsklauseln tauchen in Beschaffungs- und Outsourcingverträgen in der gesamten EU auf. Diese Diskussionen voraus zu sein – anstatt Anforderungen diktiert zu bekommen – erhält den kommerziellen Einfluss.


Die Uhr für Vorfallmeldungen ist unerbittlich

Von allen operativen Anforderungen von NIS2 verursacht die gestufte Vorfallsmeldefrist die größte Angst bei Organisationen, die sich darüber tatsächlich Gedanken gemacht haben – und die größte Selbstzufriedenheit bei denen, die dies nicht getan haben.

Die Struktur ist: eine 24-Stunden-Frühwarnung für erhebliche Vorfälle, eine 72-Stunden-detaillierte Mitteilung einschließlich einer ersten Bewertung der Schwere und der Auswirkung sowie ein Abschlussbericht innerhalb eines Monats. Dieses 24-Stunden-Fenster ist außergewöhnlich eng. Es geht davon aus, dass Sie einen bedeutenden Vorfall erkennen, ihn korrekt klassifizieren, die verantwortliche Führungskraft erreichen und eine strukturierte Mitteilung an Ihr nationales CSIRT senden können – alles innerhalb eines Arbeitstags, der um 2 Uhr morgens am Sonntag beginnen kann.

In Wirklichkeit können die meisten Organisationen keine dieser Dinge zuverlässig schnell erledigen. Die Vorfallserkennung wird oft in Wochen, nicht Stunden gemessen. Die Klassifizierung der „Bedeutung“ – ob ein Vorfall schwere Störungen, finanziellen Verlust oder Schaden für andere Parteien verursacht oder verursachen könnte – erfordert Beurteilungen, bei denen sich juristische und technische Teams unter Druck nicht einig sind. Und der Benachrichtigungsprozess setzt voraus, dass man weiß, welche Behörde benachrichtigt wird, in welcher Gerichtsbarkeit und in welchem Format.

Das ENISA-Dokument mit Leitlinien vom Juni 2025 – fast 200 Seiten – bietet hilfreiche, aber anspruchsvolle technische Standards für Incident Response. Die Erwartung ist klar: Regulierungsbehörden wollen substanzielle, evidenzbasierte Berichterstattung, keine Standardmitteilungen.

Was dagegen tun?

Aktionen von Praktikern

  • Führen Sie eine Simulation speziell kalibriert auf die 24-Stunden-Benachrichtigungsfrist durch. Sie müssen heute wissen, wer entscheidet, dass ein Vorfall „bedeutend“ ist, wer bei dessen Abwesenheit Delegationsbefugnis hat, und wie die Benachrichtigung die richtige Behörde erreicht. Dies kann nicht während eines Vorfalls herausgefunden werden.

  • Bereiten Sie Ihre Benachrichtigungsvorlagen vor. Das Ausfüllen eines strukturierten Vorfallsmeldeformulars unter Druck, in einer potenziell unbekannten Landessprache, mit unvollständigen Informationen, ist wirklich schwierig. Vorab von Rechts- und Kommunikationsabteilungen genehmigte Vorlagen reduzieren dies auf eine Lückenausfüllübung.

  • Investieren Sie in die Erkennung vor dem Melden. Sie können nicht melden, was Sie nicht erkannt haben. SIEM-Anpassung, Endpoint Detection Coverage und Sichtbarkeit der OT/IT-Netzwerke sind upstream-Anforderungen zur Einhaltung der Meldefrist.

  • Verfolgen Sie die EU Digital Omnibus-Vorschläge: Die Kommission hat die Einführung eines einzigen portalen Vorfallmeldungsportals angedeutet, das NIS2-, GDPR-, Cyber Resilience Act- und DORA-Berichterstattung konsolidieren wird. Entwerfen Sie Ihre Prozesse jetzt für die Multi-Portal-Einreichung, um technische Schulden zu vermeiden.


„Ein 24-Stunden-Frühwarnfenster geht davon aus, dass Sie bereits die Erkennung, Klassifizierung, Eskalation und Autoritätszuweisung gelöst haben. Die meisten Organisationen haben keine dieser Dinge schnell gelöst.“

Vorstandsverantwortung ist real

NIS2 hat etwas wirklich Neues im EU-Cybersecurity-Gesetz eingeführt: direkte persönliche Haftung für das obere Management. Sie müssen die Genehmigung und Überwachung der Cybersicherheitsrisikomanagement-Maßnahmen übernehmen. Sie müssen eine Cybersicherheitsschulung absolvieren. Und entscheidend, im Falle schwerer Nichtkonformität können einzelne Führungskräfte mit Geldstrafen, rechtlichen Maßnahmen oder temporären Führungsverboten konfrontiert werden.

Dies ist keine theoretische Sanktion, die eingefügt wurde, um stark auszusehen. Die gesetzgeberische Absicht besteht genau darin, das Muster zu beenden, bei dem Vorstände Cybersicherheitsbudgets auf der Grundlage beruhigender Präsentationsfolien genehmigen, ohne das zugrunde liegende Programm substanziell zu verstehen oder zu überwachen. Die NIS2-Durchführungsverordnungen und die ENISA-Leitlinien sind eindeutig: Cybersicherheitsrisikomanagement ist eine Governance-Angelegenheit der Vorstandsebene.

Die praktische Herausforderung besteht darin, dass die meisten Vorstände dafür nicht gerüstet sind. Eine Umfrage von 155 Organisationen aus 23 Ländern, die von ECSO Anfang 2025 veröffentlicht wurde, ergab, dass ein Drittel der Organisationen keine Managementbeteiligung an der NIS2-Implementierung berichteten, trotz der Bestimmungen zur persönlichen Haftung. Die Kluft zwischen der Absicht der Richtlinie und der Organisationsrealität ist erheblich.

Die Durchsetzungsasymmetrie, die zu verstehen ist: essentielle Einheiten können mit Geldstrafen von bis zu 10 Millionen Euro oder 2% des globalen Jahresumsatzes (je nachdem, welcher höher ist) konfrontiert werden. Wichtige Einheiten können Geldstrafen von bis zu 7 Millionen Euro oder 1,4% des globalen Umsatzes erhalten. Diese sind keine symbolischen Zahlen — sie sind auf GDPR-Konsequenzen kalibriert.

Was dagegen tun?

Aktionen von Praktikern

  • Erhalten Sie eine formale Beschlussfassung des Vorstands zur NIS2. Dies sollte formal den Status der Einheit im Umfang anerkennen, das Cybersicherheitsrisikomanagement-Rahmenwerk genehmigen und Überwachungsverantwortlichkeiten zuweisen. Es schafft Verantwortlichkeit, belegt Governance und verändert das Gespräch von IT-Projekt zu Vorstandsthematik.

  • Liefern Sie strukturierte Vorstandsschulungen — keine Anbieter-Präsentation, sondern eine 90-minütige moderierte Sitzung darüber, was NIS2 vom Management verlangt, was „angemessen und verhältnismäßig“ Risikomanagement in Ihrem Sektor bedeutet und was persönliche Haftung tatsächlich umfasst. Verwenden Sie die ENISA-Leitlinien zu Cybersicherheitsrollen und -kompetenzen als ein Referenzrahmen für die auf verschiedenen Ebenen benötigten Fähigkeiten.

  • Etablieren Sie eine Governance-Rhythmik. Quartalsweise Berichterstattung auf Vorstandsebene über Cybersicherheitsposition, Vorfallstatus und Fortschritt des Compliance-Programms ist unter NIS2 nicht optional — es ist der Mechanismus, mit dem das Management seine Überwachungsverpflichtung ausübt.


Lieferkettensicherheit: Der schwierigste operative Teil

Artikel 21 der NIS2 verlangt von den Einheiten, die „Lieferkettensicherheit, einschließlich sicherheitsbezogener Aspekte hinsichtlich der Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern“ zu adressieren. Dieser Satz – täuschend kurz im Text der Richtlinie – übersetzt sich in eines der operativ anspruchsvollsten Programme, die die meisten Organisationen durchführen werden.

Die praktische Interpretation, verstärkt durch die ENISA-Leitlinien und die NIS2-Durchführungsverordnung, erfordert, dass Einheiten: eine Lieferkettensicherheitsrichtlinie führen, die Mindestanforderungen für alle Lieferanten setzt; Risikoanalysen von Lieferanten durchführen, die das Netzwerk und die Informationssysteme beeinflussen könnten; Cybersicherheitsverpflichtungen in Lieferantenverträge einbetten, einschließlich Anforderungen zur Vorfallmeldung, Prüfungsrechte und Verantwortlichkeit bei Verletzungen; und die Einhaltung der Lieferanten kontinuierlich überwachen.

Für ein großes Energieunternehmen oder ein Krankenhausnetzwerk kann dies Hunderte oder Tausende von Lieferanten bedeuten, die Cloud-Plattformen, SCADA-Systemanbieter, Managed-Service-Provider und Facility-Management-Subunternehmer umfassen. Deloittes NIS2-Lieferkettenanalyse wies darauf hin, dass die Aktualisierung von Lieferantenverträgen zur Einbettung dieser Anforderungen eines der meist unterschätzen Aspekte der Compliance ist — es erfordert Sicherheit, Recht und Beschaffungs-Teams, die in einer nachhaltigen Koordination arbeiten, um Bedingungen mit Lieferanten neu zu verhandeln, die möglicherweise begrenztes Interesse an einer Compliance-Anhebung haben.

Die Lieferkettenverpflichtungen schaffen auch eine praktische Spannung: NIS2 technisch setzt Lieferkettenanforderungen auf Lieferanten, deren Kompromittierung das Netzwerk und die Informationssysteme des Unternehmens betreffen könnte. Lieferanten, die physische Materialien oder Infrastruktur für kritische Dienstleistungen bereitstellen, sind möglicherweise technisch außerhalb dieser Definition. Doch angesichts dessen, dass ein kompromittierter physischer Lieferant kritische Dienstleistungen absolut stören kann, ist es betrieblich fahrlässig, dies als Fluchtweg aus der Compliance zu behandeln.

Was dagegen tun?

Aktionen von Praktikern

  • Erstellen Sie eine tiergestufte Lieferantentaxonomie. Nicht alle Lieferanten stellen gleiches Risiko dar. Tier 1 (direkter Zugriff auf Ihre NIS-Systeme), Tier 2 (erhebliche operative Abhängigkeit) und Tier 3 (allgemeine kommerzielle Lieferanten) erfordern unterschiedlich Behandlung. Konzentrieren Sie Ihre Bewertung auf Tier 1 Lieferanten zuerst - es ist der einzige skalierbare Ansatz.

  • Entwickeln Sie einen standardisierten Lieferantensicherheitsfragebogen, der an die Risikomanagementanforderungen der NIS2-Durchführungsverordnung angepasst ist. Verwenden Sie dies als Basis für alle neuen Beschaffungen und zur Neuverhandlung bestehender Verträge. Akzeptieren Sie, dass Hochrisikolieferanten zurückdrängen werden — und planen Sie die kommerzielle Verhandlung, die dies mit sich bringt.

  • Beinhaltet Vorfallmeldungen in Lieferantenverträgen explizit: Fordern Sie Lieferanten auf, Sie innerhalb derselben Frist zu informieren, wie NIS2 Sie verpflichtet, Ihre nationale Behörde zu benachrichtigen. Dies ist noch nicht die Industrie-Norm – doch es ist der einzige Weg, um Ihre eigene 24-Stunden-Frühwarnpflicht zu erfüllen, wenn der Vorfall seinen Ursprung in Ihrer Lieferkette hat.

  • Überprüfen Sie Ihre Cloud-, SaaS- und Managed-Service-Provider-Beziehungen sorgfältig. Diese sind mit großer Sicherheit Ihre höchsten Risiko Tier 1 Lieferanten, und viele haben eigene NIS2-Verpflichtungen. Nutzen Sie deren Compliance-Position als Kriterium für Beschaffungsentscheidungen.


Das Budget- und Kompetenzlücke ist strukturell

Fast drei Viertel der von ECSO Anfang 2025 befragten Organisationen hatten kein gesondertes NIS2-Implementierungsbudget. Dies ist nicht nur ein Bereitschaftsproblem – es zeigt, dass viele Organisationen noch nicht die grundlegende Entscheidung getroffen haben, NIS2-Compliance als Programm zu behandeln, das Ressourcenzuweisungen erfordert, und nicht als Projekt, das neben bestehenden Arbeitslasten behandelt werden sollte.

Informationssicherheit repräsentiert jetzt 9% der EU-IT-Investitionen – ein bedeutender Anstieg gegenüber den Vorjahren, laut ENISAs Investitionssammeltaten. Aber die neuen Sektoren, die in den Umfang von NIS2 einbezogen wurden – Lebensmittelproduktion, Chemikalien, Postdienstleistungen, Fertigung – beginnen typischerweise mit niedrigen Cybersicherheits-Reifegraden. Für diese Organisationen bedeutet es, „angemessene und verhältnismäßige“ Standards zu erfüllen, nicht eine inkrementelle Verbesserung; es ist ein Wandel in der organisationalen Fähigkeit, der über mehrere Jahre hinweg nachhaltige Investitionen erfordert.

Die im Juni 2025 von ENISA veröffentlichten Leitlinien zu Cybersicherheitsrollen und -kompetenzen erkennt dies ausdrücklich an, kartographiert die internen Expertisen, die für NIS2-Compliance benötigt werden und betont, dass es funktionsübergreifende Teams erfordert, die IT, Cybersicherheit, Recht, Risiko und Betrieb umfassen. Für die meisten neu in den Umfang aufgenommenen Einheiten existiert diese funktionsübergreifende Fähigkeit in ihrer derzeitigen Form einfach nicht.

Ein realistisches NIS2-Compliance-Programm — einschließlich Asset-Inventory, Lückenbewertung, Policy-Entwicklung, technischen Kontrollverbesserungen, Lieferkettenprüfung, Incident Response-Fähigkeit und Vorstandsschulung — benötigt mindestens 12 Monate in gut ausgestatteten Organisationen. In unterausgestatteten dauert es länger und die Qualität der Ergebnisse spiegelt die Ressourceninvestition wider.

Was dagegen tun?

Aktionen von Praktikern

  • Beauftragen Sie eine formale Lückenbewertung als Ihr erstes Projektziel, nicht ein reife-bewertung von einem Anbieter. Erfassen Sie genau, was Sie haben, was Ihnen fehlt und was es tatsächlich kosten wird, die Lücken zu schließen. Dies ist die Grundlage für eine glaubwürdige Budgetanfrage an den Vorstand.

  • Verwenden Sie risikobasierte Priorisierung. Die im Juni 2025 veröffentlichten ENISA-Leitlinien umfassen fast 200 Seiten von Sicherheitsmaßnahmen. Keine Organisation implementiert alles auf einmal. Priorisieren Sie die Kontrollen, die das größte Durchsetzungsrisiko adressieren: Vorfallerkennung und -reaktion, Zugriffskontrolle einschließlich MFA auf internetzeigenden Systemen und Lieferketten-Sicherheit. Dokumentieren Sie Ihre Priorisierungsrationale — es ist Ihre Verteidigung, wenn ein Regulator fragt, warum Sie dort angefangen haben.

  • Erwägen Sie Managed Services für gezielte Kompetenzlücken, behalten Sie jedoch die interne Verantwortung für das Programm. Outsourcing von Incident Response-Fähigkeit oder Sicherheitsoperationen ist pragmatisch. Outsourcing von Verantwortlichkeit für NIS2-Compliance ist es nicht — Managementhaftung ist nicht übertragbar.

  • Nutzen Sie bestehende Rahmenwerke. Wenn Sie bereits zertifiziert sind gegen ISO 27001 oder an NIST CSF angelehnt sind, haben Sie einen bedeutenden Vorsprung. ENISA hat sich verpflichtet, ihre Leitlinien an internationale Standards anzupassen, und viele der technischen Kontrollen überlappen. Karten Sie Ihre bestehenden Kontrollen auf, bevor Sie neue entwickeln.


Die nächsten Schritte

Die Implementierung von NIS2 im Jahr 2026 ist gleichzeitig dringender und komplexer als die meisten Organisationen erwartet haben. Dringend, weil Regulierungsbehörden in umgesetzten Rechtsgebieten Audit-Aktivitäten beginnen – Griechenland hat Prüfungen ab Q4 2025 angekündigt und die Durchsetzungshaltung in Belgien, Italien und den baltischen Staaten wird härter. Komplex, weil die fragmentierte Umsetzung den Landschaft bedeutet, dass Ihre Verpflichtungen in Brüssel sich von Ihren Verpflichtungen in Berlin oder Dublin unterscheiden.

Das eine, was ich konsequent als Unterscheidungsmerkmal zwischen Organisationen, die dies gut handhaben, und denen, die es nicht tun, gesehen habe: Diejenigen, die gut abschneiden, haben früh angefangen, Vorstandseinbindung erhalten, bevor es bequem war, und NIS2 als eine operative Transformation und nicht als Compliance-Kontrollkästchen behandelt. Sie nutzen die Richtlinie als Gelegenheit, Dinge zu reparieren, die bereits kaputt waren – Erkennungslücken, Schatten-IT-Ausbreitung, Lieferantenbeziehungen ohne Sicherheitsklauseln, Incident Response-Pläne, die nie getestet wurden.

Die kämpfenden Organisationen sind diejenigen, die auf ihre nationale Gesetzgebung warten oder darauf, dass der Regulator detailliertere Leitlinien veröffentlicht oder auf eine Anbieter-Lösung warten, die alles erledigt. Die Warten-Strategie funktioniert hier nicht. Die Basisverpflichtungen sind klar. Der Durchsetzungsverlauf ist klar. Die persönlichen Haftungsbestimmungen sind klar.

Mein praktischer Rat: beginnen Sie mit einer umfangsbestätigung, holen Sie eine formelle Vorstandsresolution ein, führen Sie eine fokussierte Lückenbewertung gegen die technischen Anforderungen der NIS2-Durchführungsverordnung durch und bauen Sie Ihre Incident Response-Fähigkeiten parallel auf. Versuchen Sie nicht, die gesamte Richtlinie auf einmal zu verdauen. Priorisieren Sie die Bereiche mit dem größten Durchsetzungsrisiko, dokumentieren Sie Ihre Argumentation und zeigen Sie kontinuierlichen Fortschritt. Diese Kombination — strukturiertes Programm, evidenzbasierte Priorisierung, Verantwortung auf Vorstandsebene — ist das, was Regulierungsbehörden suchen, und es ist auch das, was Ihre Organisation wirklich widerstandsfähiger macht.

NIS2 ist noch nicht zu Ende geschrieben. Mit den Digital-Omnibus-Änderungen, die im Januar 2026 vorgeschlagen wurden, und den weiterhin divergierenden nationalen Umsetzungen der Mitgliedstaaten wird sich das Landschaft verändern. Bauen Sie Ihr Programm langlebig auf, nicht nur konform mit dem aktuellen Text. Die Organisationen, die dies gut machen, werden feststellen, dass die Investition weit über die Einhaltung gesetzlicher Vorschriften hinaus Dividenden zahlt.

Zusätzliche Ressourcen

NIS2-Master-Checkliste für OT-Betreiber 
NIS2-Compliance-Blaupause
In weniger als 5 Wochen NIS2-konform werden
NIS2-Compliance-Rahmenwerk: Ein praktischer Leitfaden für OT/ICS/IIoT-Besitzer und Betreiber 


Wöchentlich erhalten

Ressourcen & Nachrichten

Dies könnte Ihnen auch gefallen.

Nova Scotia Power breach

From click to crisis: How Nova Scotia Power got breached

Team Shieldworkz

Handala iranischer Akteur der Bedrohung

Entpacken Sie Handalas Resilienz-Leitfaden

Prayukth K V

Zuordnung des NIST CSF 2.0 zu IEC 62443

Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit

Shieldworkz-Logo

Team Shieldworkz

IEC 62443-Kontrollen

Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden

Prayukth K V

Air-Gapped SCIFs und NERC CIP-015: Warum SCADA nicht ausreicht

Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht

Shieldworkz Logo

Team Shieldworkz

Handala, Iran

Handala: Anatomie des destruktivsten Bedrohungsakteurs Irans

Team Shieldworkz

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern