Das schon 2024 begonnene Gesetzgebungsverfahren zur Umsetzung der EU-Richtlinie NIS2 ist in Deutschland vorerst gescheitert. Das sorgt derzeit für viel Verunsicherung bei den Unternehmen. Doch zur Panik besteht kein Anlass. Nur etwa ein Prozent der Unternehmen in Deutschland ist durch NIS2 direkt betroffen, aufgrund ihrer Einbindung in Lieferketten können es insgesamt bis zu sieben Prozent sein.

Bei den von NIS2 betroffenen Unternehmen handelt es um Konzerne und Mittelständler, die kritische Infrastrukturen betreiben oder in kritischen Wirtschaftssektoren tätig sind, dazu zählen auch viele Zulieferer. All diese Unternehmen sollten jetzt jedoch nicht auf das Wirksamwerden des NIS2-Umsetzungsgesetzes warten.

Denn die geforderten Risikomaßnahmen der Richtlinie sind bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken in den betroffenen Unternehmen zu reduzieren.

Verzögerungen in Deutschland

Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz sind vielfältig. Fest steht jedoch: Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung - also frühestens Ende 2025 - verabschiedet werden.

Aber auch ohne ein neues Gesetz gilt die NIS2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, verspielt also wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.

Anforderungen sind bekannt

Die zugrunde liegende EU-Richtlinie ist seit 2022 bekannt und ihre Risikomaßnahmen bleiben bestehen. Die Verzögerung bis mindestens Ende 2025 bietet eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, Incident Response und Business Continuity entsprechen bereits seit Jahren dem Stand der Technik und sind keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung ist die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen.

Führungskräfte sollten sich bewusst sein, dass Cyber Security nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen. Jetzt geht es darum, diese Standards im Hinblick auf NIS2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

Sich mit Cybersicherheit gegenüber dem Wettbewerb absetzen

Unternehmen sollten Cybersicherheit nicht als bürokratische Hürde, sondern als Chance begreifen. Cybersicherheit ist nicht nur eine gesetzliche Pflicht, sondern gilt auch als ein Qualitätsmerkmal. Wer schon heute die nötigen Prozesse etabliert und als Vorbereitung auf die NIS2-Richtlinie die notwendigen Maßnahmen ergreift, kann sich einen Wettbewerbsvorteil verschaffen.

Zudem fällt es den betroffenen Unternehmen leichter, sich auf zukünftige Anforderungen einzustellen, wenn sie sich bereits mit den Grundlagen von NIS2 vertraut gemacht haben. Falls nicht, sollten Unternehmen Verantwortung übernehmen und diese fünf Aufgaben sofort in Angriff nehmen, um von der Inkraftsetzung der NIS2-Richtlinie in Deutschland nicht unangenehm überrascht zu werden:

1. Betroffenheitsanalyse durchführen
   Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt von NIS2 betroffen sind, um gezielte Maßnahmen zu ergreifen

2. Sicherheitsorganisation etablieren
   Verantwortlichkeiten für Cybersicherheit definieren und sicherstellen, dass die Geschäftsleitung in alle dazugehörigen Prozesse involviert ist

3. Meldeprozesse entwickeln
   Klare Strukturen für Incident Response-Aktivitäten und für Meldungen an das BSI festlegen, um auf Vorfälle vorbereitet zu sein

4. IT-Risiken identifizieren
   Ein strukturiertes Asset Management aufbauen und Sicherheitsrisiken systematisch bewerten

5. Notfallpläne und Business Continuity-Konzepte vorbereiten
   Strategien entwickeln, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und Resilienz zu stärken

Strategie statt Unsicherheit: Implementation Acts bringen weitere Klarheit

Aktuell liegen bereits zwei Implementation Acts der EU und der Mitgliedsstaaten vor, die die NIS2-Anforderungen an IT-Dienstleister beschreiben und die Inhalte der Meldungen bei schwerwiegenden Sicherheitsvorfällen konkretisieren. Es ist davon auszugehen, dass auch weitere konkrete branchenspezifische Anforderungen in neuen Implementation Acts hinzukommen werden.

Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt die grundlegenden Maßnahmen zu ergreifen. Von NIS2 betroffene Firmen sind daher gut beraten, das verspätete Inkrafttreten der Richtlinie als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen. Externe Dienstleister helfen gerne, sich NIS2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.

Mehr zum Thema NIS2:

Kabinett beschließt Gesetz zur Umsetzung der NIS-2-Richtlinie
Ratgeber zur Umsetzung von NIS2
NIS2-Richtlinie und der Remote-Zugriff
Der externe Informationssicherheitsbeauftragte
NIS2 im Praxis-Check