Cybersicherheit war lange eine freiwillige Disziplin — mit der NIS2-Richtlinie macht die EU sie für einen großen Teil der Wirtschaft zur Pflicht. Betroffen sind nicht mehr nur Kraftwerke und Banken, sondern auch Maschinenbauer, Lebensmittelproduzenten, Logistiker, Entsorger und viele Zulieferer ab 50 Mitarbeitenden oder zehn Millionen Euro Umsatz. Wer bisher dachte, das Thema betreffe nur kritische Infrastruktur, sollte jetzt genauer hinsehen.
Was NIS2 verlangt
Der Kern der Richtlinie ist ein Katalog von Mindestmaßnahmen für das Risikomanagement: Konzepte zur Risikoanalyse, Vorfallsbehandlung und Business Continuity, Sicherheit der Lieferkette, Verschlüsselung, Zugriffskontrolle und Multi-Faktor-Authentifizierung sowie regelmäßige Schulungen — ausdrücklich auch für die Führungsebene. Dazu kommen Meldepflichten mit sportlichen Fristen: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden erstgemeldet und binnen 72 Stunden detailliert berichtet werden.
Die Geschäftsführung haftet persönlich
Die vielleicht wichtigste Neuerung steht nicht im Maßnahmenkatalog: NIS2 verpflichtet die Leitungsorgane, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen — und sieht bei Verstößen eine persönliche Verantwortlichkeit vor. Cybersicherheit lässt sich damit nicht mehr vollständig an die IT-Abteilung oder einen Dienstleister delegieren. Sie wird zur Governance-Aufgabe, vergleichbar mit Arbeitssicherheit oder Datenschutz.
Pragmatisch starten: drei Prioritäten
Erstens Betroffenheit klären: Fällt das Unternehmen unter die Richtlinie — direkt oder als Teil der Lieferkette eines betroffenen Kunden? Zweitens eine Gap-Analyse: Welche der geforderten Maßnahmen existieren bereits, welche nur auf dem Papier, welche gar nicht? Ein etabliertes Rahmenwerk wie ISO 27001 oder der BSI-Grundschutz liefert dafür die Struktur. Drittens einen Umsetzungsplan mit Reihenfolge nach Risiko: Multi-Faktor-Authentifizierung, Backup-Härtung und ein geübter Incident-Response-Prozess bringen mehr reale Sicherheit als jedes Zertifikat an der Wand.
Compliance als Nebenprodukt guter Sicherheit
Unsere Erfahrung aus Projekten: Wer NIS2 als reine Dokumentationsübung angeht, zahlt doppelt — einmal für Papier, einmal beim ersten echten Vorfall. Sinnvoller ist der umgekehrte Weg: ein funktionierendes Sicherheitsniveau aufbauen und die geforderten Nachweise daraus ableiten. So entsteht Compliance als Nebenprodukt, nicht als Selbstzweck.
Fazit
NIS2 verschiebt Cybersicherheit vom Kann zum Muss — mit klaren Pflichten und persönlicher Verantwortung der Führung. Der richtige Zeitpunkt für die Standortbestimmung ist jetzt. Wir begleiten Sie von der Betroffenheitsanalyse bis zur Umsetzung: Sprechen Sie uns an.