Die NIS2-Frist in Deutschland hat mehr als nur eine Registrierungslücke offengelegt.
Das NIS2-Problem in Deutschland reicht tiefer als verspätete Registrierungen. Viele Unternehmen tun sich weiterhin schwer damit, nachzuweisen, welche Assets sie besitzen, welche davon exponiert sind und ob Sicherheitskontrollen in der gesamten Umgebung tatsächlich durchgesetzt werden. Im Rahmen von NIS2 wird operative Transparenz zunehmend ebenso wichtig wie die Richtlinien selbst.
Zusammenfassung (TL; DR):
- Die NIS2-Registrierungslücke in Deutschland deutet auf tieferliegende Probleme bei der operativen Asset-Verwaltung im Mittelstand hin.
- 96 Prozent der Ransomware-Leaks im Jahr 2025 betrafen Unternehmen mit weniger als 5.000 Mitarbeitern.
- Effektive NIS2-Compliance erfordert, dass Kontrollnachweise und operative Transparenz aus dem laufenden Endpoint-Management hervorgehen.
Die NIS2-Registrierungslücke in Deutschland mag auf den ersten Blick wie ein Verwaltungsrückstand wirken, verweist jedoch auf eine tiefere operative Herausforderung. Rund 18.000 registrierungspflichtige Einrichtungen sind nach wie vor nicht registriert. Das zeigt, dass viele Unternehmen noch immer damit ringen, zu verstehen, was in ihren Verantwortungsbereich fällt und wie sich dies konsistent verwalten lässt.
Angreifer warten unterdessen nicht darauf, dass Unternehmen aufholen. Google Threat Intelligence berichtete, dass im Jahr 2025 auf Unternehmen mit weniger als 5.000 Mitarbeitern 96 Prozent der Ransomware-Leaks in Deutschland entfielen. Dieselben mittelständischen Unternehmen, die nun ihre Governance stärken sollen, gehören bereits zu den am stärksten ins Visier genommenen Unternehmen.
Die eigentliche Frage war also nie, ob Unternehmen ein Registrierungsformular ausfüllen konnten. Es ging vielmehr darum, ob sie nachweisen konnten, dass die Assets, auf die sie angewiesen sind, aktiv überwacht und abgesichert werden.
Die Registrierungslücke ist ein Symptom, nicht das eigentliche Problem
Für viele mittelständische deutsche Unternehmen kommt NIS2 zu einem schwierigen Zeitpunkt. Das Regelwerk stellt höhere Anforderungen an Governance, Risikomanagement und Rechenschaftspflicht. Viele der Unternehmen, die nun in den Anwendungsbereich fallen, verfügen jedoch nicht über die personellen Ressourcen. Operative Reife oder ein zentraler Überblick fällt vielen schwer.
Zur Erfüllung dieser Erwartungen reicht die bloße Feststellung, ob eine Geschäftseinheit in den Anwendungsbereich fällt, nicht aus. Unternehmen müssen wissen, welche Systeme kritische Abläufe unterstützen, wer darauf zugreifen kann, welche Lieferanten angebunden sind, welche Schwachstellen weiterhin offen sind und welche Kontrollen tatsächlich durchgesetzt werden. Die meisten Unternehmen können einige dieser Fragen zu einem bestimmten Zeitpunkt beantworten. Die größere Herausforderung besteht darin, sicherzustellen, dass diese Antworten auch dann zutreffend bleiben, wenn sich das Unternehmen weiterentwickelt.
Ein neuer Auftragnehmer wird eingebunden. Eine Geschäftseinheit führt am normalen Beschaffungsprozess vorbei ein Cloud-Tool ein. Ein Gerät im Außeneinsatz verpasst mehrere Patch-Zyklen. Für sich genommen mag keines dieser Ereignisse besonders bedeutsam erscheinen. Zusammen schaffen sie genau die Art von Lücke, durch die Risiken zunächst schwer erkennbar und später schwer zu erklären sind.
NIS2 führt keine völlig neuen Sicherheitspflichten ein. Unternehmen beschäftigen sich bereits seit Jahren in der einen oder anderen Form damit. NIS2 erhöht lediglich die Anforderungen an den Nachweis, wie diese Pflichten erfüllt werden. Aufsichtsbehörden und Kunden werden zunehmend von Unternehmen erwarten, dass sie nachweisen, dass Risiken aktiv gemindert, Kontrollmaßnahmen systematisch durchgesetzt werden und die Verantwortlichkeit über die Formulierung von Richtlinien hinausgeht.
Im Kern bestätigt die Registrierungslücke, dass viele Unternehmen eine Komplexität erreicht haben, für die ihre Management-Frameworks ursprünglich nicht ausgelegt waren.
Wo NIS2-Readiness wirklich auf den Prüfstand kommt
Auch wenn NIS2 in allgemein gehaltener Risikomanagement-Sprache formuliert ist, zeigen operative Endpoint-Prozesse, wie wirksam diese Erwartungen erfüllt werden. Endpoints sind die Schnittstellen, an denen Mitarbeiter mit Daten arbeiten, Zugangsdaten verwendet werden und verschiedene Angriffsvektoren ansetzen. Ohne einen einheitlichen Echtzeit-Überblick über diese Umgebung können IT-Teams Risiken nicht verlässlich steuern, geschweige denn gegenüber einem externen Prüfer Compliance nachweisen.
Die Auswirkungen zeigen sich oft am deutlichsten bei den Kontrollmaßnahmen, auf die Unternehmen im Alltag angewiesen sind. Ein Beispiel ist das Patch-Management. Die meisten Unternehmen wissen, wie wichtig es ist, ihre Systeme auf dem neuesten Stand zu halten. Die größere Herausforderung besteht darin, die Transparenz über die gesamte Umgebung hinweg aufrechtzuerhalten. Führungskräfte müssen wissen, welche Geräte weiterhin exponiert sind, welche Updates fehlgeschlagen sind, wie schnell Abhilfe geschaffen wird und ob das zugrunde liegende Risiko tatsächlich reduziert wurde.
Beim Access Management zeigt sich dasselbe Muster. Multi-Faktor-Authentifizierung bleibt eine wichtige Schutzmaßnahme, doch Identität allein vermittelt nur ein unvollständiges Risikobild, wenn Geräte trotz erfolgreicher Authentifizierung weiterhin auf Unternehmensressourcen zugreifen, obwohl sie nicht zentral verwaltet werden, kompromittiert sind oder Compliance-Vorgaben nicht erfüllen.
Browser-Erweiterungen, mobile Apps, Rugged Devices und gemeinsam genutzte Workstations bringen ähnliche Herausforderungen mit sich. Sie sind eng mit dem Arbeitsalltag verzahnt, werden aber häufig über fragmentierte Tools und uneinheitliche Prozesse verwaltet. Dadurch übersieht man sie leicht, bis sie Teil eines Vorfalls oder einer Audit-Feststellung werden.
Für schlank aufgestellte IT-Teams besteht die Priorität nicht darin, alle denkbaren Kontrollen auf einmal umzusetzen. Vielmehr geht es darum, Vertrauen in die Grundlagen zu schaffen: welche Geräte vorhanden sind, ob sie sicher sind, auf welche Ressourcen sie zugreifen können und wie schnell Probleme behoben werden.
Im Rahmen von NIS2 kommt diesen Grundlagen nun echtes Gewicht zu. Sie trennen Unternehmen, die lediglich annehmen, vorbereitet zu sein, von solchen, die Kontrolle in der Praxis nachweisen können.
Nachweise sollten aus dem laufenden Betrieb hervorgehen
Der naheliegendste Fehler, den Unternehmen im Umgang mit NIS2 machen können, besteht darin, den ohnehin schon fragmentierten IT-Betrieb mit noch mehr manuellen Compliance-Aufgaben zu überfrachten.
Screenshots zu sammeln, Berichte zu exportieren, Tabellen zu pflegen und Nachweise zusammenzustellen, kann helfen, eine einzelne Audit-Anfrage zu erfüllen. Es trägt jedoch kaum dazu bei, das Risikomanagement zu verbessern. Der Aufwand fließt in die Dokumentation der Sicherheitslage, nicht in deren Weiterentwicklung.
Ein nachhaltigerer Ansatz besteht darin, Nachweise zu einem natürlichen Nebenprodukt der bestehenden Betriebsabläufe zu machen. Dafür müssen Endpoint-Management und Endpoint-Sicherheit enger zusammenarbeiten – nicht als Abkürzung zur Compliance, sondern um die Fragmentierung zu verringern, die Compliance überhaupt erst erschwert.
Viele Unternehmen verwalten Geräte, Schwachstellen, Zugriffskontrollen, Behebungsmaßnahmen und Reporting noch immer in getrennten Systemen. Das zwingt Teams dazu, erhebliche Zeit darauf zu verwenden, Informationen zu sammeln, zu überprüfen und sich einen Überblick über die Umgebung zu verschaffen, bevor sie Maßnahmen ergreifen können.
Automatisierung trägt dazu bei, diese Reibungsverluste zu verringern. Wenn Bestandserkennung, Behebung, Durchsetzung und Reporting als Teil vernetzter Workflows funktionieren, erzeugen dieselben Prozesse, mit denen Risiken gesteuert werden, auch die Aufzeichnungen, die nötig sind, um Kontrolle nachzuweisen. Die Berichterstattung wird zuverlässiger, da sie das aktuelle Geschehen widerspiegelt und nicht das, was Teams später rekonstruiert haben.
Der Nutzen geht über den reinen Compliance-Nachweis hinaus. Komplexität ist eine unvermeidliche Folge von Wachstum, doch es ist nicht unvermeidlich, dass diese Komplexität die Kontrolle untergräbt. Unternehmen, die Kontrolle, Verantwortlichkeit und Nachweise fest in ihre täglichen Abläufe integrieren, gewinnen ein weitaus klareres Verständnis für das Umfeld, in dem sie expandieren. Diese Klarheit ermöglicht es Führungskräften, Entscheidungen mit Überzeugung statt auf Basis bloßer Vermutungen zu treffen.



