NIS2 gescheitert: Wie Unternehmen gewonnene Zeit nutzen können

Veröffentlicht am: 12.Februar.2025
NIS2, Risikomanagement
Einsteiger

Gesetzgebungsverfahren zur NIS2 gescheitert: Wie Unternehmen die gewonnene Zeit nutzen können

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass. Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein.

Es handelt sich dabei um Konzerne und KMU, die kritische Infrastrukturen betreiben oder in kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer. Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS2-Umsetzungsgesetzes warten. Denn die geforderten Risikomaßnahmen der Richtlinie sind bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren.

NIS2: Verzögerungen in Deutschland

Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz sind vielfältig. Fest steht jedoch: Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung – also frühestens Ende 2025 – verabschiedet werden. Aber auch ohne ein neues Gesetz gilt die NIS2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.

Anforderungen sind bekannt

Die zugrunde liegende EU-Richtlinie ist seit 2022 bekannt und ihre Risikomaßnahmen bleiben bestehen. Die Verzögerung bis mindestens Ende 2025 bietet eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, Incident Response und Business Continuity entsprechen bereits seit Jahren dem Stand der Technik und sind keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung ist die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen. Führungskräfte sollten sich bewusst sein, dass Cyber Security nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen. Jetzt geht es darum, diese Standards im Hinblick auf NIS2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

Wer schon heute Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cybersicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal. Zudem fällt es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, wenn sie sich bereits mit den Grundlagen von NIS2 vertraut gemacht haben. Unternehmen sollten mit diesen fünf Schritten beginnen:

Betroffenheitsanalyse durchführen: Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.
Sicherheitsorganisation etablieren: Verantwortlichkeiten für Cybersicherheit definieren und sicherstellen, dass die Geschäftsleitung involviert ist.
Meldeprozesse entwickeln: Klare Strukturen für Incident Response und Meldungen an das BSI festlegen, um auf Vorfälle vorbereitet zu sein.
IT-Risiken identifizieren: Ein strukturiertes Asset Management aufbauen und Sicherheitsrisiken systematisch bewerten.
Notfallpläne und Business Continuity vorbereiten: Strategien entwickeln, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und Resilienz zu stärken.

Strategie statt Unsicherheit: Implementation Acts bringen weitere Klarheit

Aktuell liegen bereits zwei Implementation Acts der EU und der Mitgliedsstaaten vor, die die Anforderungen zu NIS2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisieren. Es ist davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen Implementation Acts spezifiziert werden. Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie sind gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen. Externe Dienstleister helfen Ihnen gerne, sich NIS2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.

LinkedIn
Xing

Autor

Volker Scholz: Anbieter

Volker Scholz ist Information Security Architect bei Axians.

Neueste Beiträge

NIS2 gescheitert: Wie Unternehmen gewonnene Zeit nutzen können

Nichts mehr verpassen?

Newsletter IT-Sicherheit

Beiträge IT-Sicherheit

News

Artikel

Blog

Whitepaper

ITS-Couch

Marktplatz Formate

IT-Sicherheit-Podcast

NEU

Köpfe der IT-Sicherheit

Alles von Beiträge

Interaktive Listen

Zertifkate IT-Sicherheit

IT-Sicherheitstools

Ratgeber IT-Sicherheit

Alle Inhalte des Ratgebers

News

Artikel

Blog

Whitepaper

ITS-Couch

Interaktive Listen

Alle Ratgeber-Inhalte

NIS2 gescheitert: Wie Unternehmen gewonnene Zeit nutzen können

NIS2: Verzögerungen in Deutschland

Anforderungen sind bekannt

Strategie statt Unsicherheit: Implementation Acts bringen weitere Klarheit

Autor

Weitere Inhalte zum Thema

10 von 10 Cyberkriminelle würden die deutsche Politik weiterempfehlen

NIS2 Umsetzung gescheitert – Warum trotzdem handeln?

NIS-2-Compliance: Sicherheit braucht proaktives Vorgehen

Nichts mehr verpassen?

INFORMATION

MITMACHEN