NIS2 verstehen: Die größten Stolpersteine

NIS2 verstehen: Die größten Stolpersteine

Die neue NIS2-Richtlinie gilt als Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Sie weitet den Anwendungsbereich deutlich aus, erhöht die Anforderungen und sieht spürbare Sanktionen vor. Für viele Unternehmen ist NIS2 jedoch nicht nur eine regulatorische Vorgabe, sondern auch eine ernsthafte organisatorische und technische Herausforderung.

Denn zwischen dem Verständnis der Richtlinie und ihrer praktischen Umsetzung liegen oft Welten. Viele Unternehmen starten motiviert, geraten aber auf halber Strecke ins Stocken – nicht aus bösem Willen, sondern weil die Stolpersteine oft dort liegen, wo man sie zunächst gar nicht vermutet.

In diesem Artikel schauen wir uns die häufigsten Fallstricke an, analysieren, warum sie gefährlich sind, und zeigen, wie sie sich vermeiden lassen. Ziel ist, NIS2 nicht nur als Pflicht zu sehen, sondern als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken.

Stolperstein 1 – Falsche oder verspätete Betroffenheitsanalyse

Einer der ersten Fehler passiert oft schon ganz am Anfang: Unternehmen prüfen zu spät oder zu oberflächlich, ob sie überhaupt unter NIS2 fallen. Manche verlassen sich auf die Annahme „Wir sind keine kritische Infrastruktur, also betrifft es uns nicht“. Das war unter NIS1 in vielen Fällen korrekt, unter NIS2 jedoch nicht mehr.

Die Richtlinie erfasst deutlich mehr Branchen – von Post- und Kurierdiensten über Lebensmittelproduktion bis hin zu IT-Dienstleistern. Auch die Größenkriterien (mindestens 50 Mitarbeitende oder 10 Millionen Euro Umsatz) greifen schnell. Hinzu kommt die „besondere Bedeutung“: Selbst kleinere Unternehmen können betroffen sein, wenn sie Teil einer kritischen Lieferkette sind.

Warum das problematisch ist: Wer seine Betroffenheit zu spät erkennt, verliert wertvolle Vorbereitungszeit. Die Umsetzungsfrist bis Oktober 2024 mag noch weit erscheinen, doch die Anpassung von Prozessen, Technik und Verträgen braucht oft Monate.

Wie man es vermeidet:

• Frühzeitig prüfen, ob die eigenen Geschäftstätigkeiten oder Kundenbeziehungen in den Anwendungsbereich fallen.
• Nicht nur den Hauptsitz betrachten, sondern auch Tochtergesellschaften, Joint Ventures und ausgelagerte Standorte.
• Externe Rechts- oder Compliance-Expertise hinzuziehen, um Interpretationsspielräume zu klären.

Stolperstein 2 – NIS2 auf reine IT-Sicherheit reduzieren

Ein weit verbreitetes Missverständnis ist, NIS2 sei im Kern ein „IT-Thema“. Natürlich spielen Firewalls, Zugriffskontrollen und Verschlüsselung eine zentrale Rolle. Doch die Richtlinie geht weit darüber hinaus: Sie fordert ein umfassendes Risikomanagement, die Absicherung der Lieferkette, klar definierte Meldeprozesse und die Einbindung der Geschäftsführung.

Warum das problematisch ist: Wer NIS2 ausschließlich der IT-Abteilung überlässt, übersieht organisatorische Pflichten und Governance-Vorgaben. Spätestens bei der ersten Prüfung wird deutlich, dass wichtige Bausteine fehlen – und die Nachbesserung unter Zeitdruck kostet.

Wie man es vermeidet:

• NIS2 als unternehmensweites Projekt begreifen.
• Geschäftsführung, IT, Einkauf, Rechtsabteilung und operatives Geschäft gemeinsam einbinden.
• Verantwortlichkeiten klar definieren und schriftlich festhalten.

Stolperstein 3 – Unterschätzung der Meldepflichten

Die neuen Meldefristen sind verbindlich und kurz: Frühwarnung innerhalb von 24 Stunden, Zwischenbericht nach 72 Stunden, Abschlussbericht innerhalb eines Monats. Diese Zeitvorgaben gelten unabhängig davon, wie komplex der Vorfall ist oder ob er vollständig aufgeklärt wurde.

Warum das problematisch ist: Ohne klare interne Abläufe vergeht wertvolle Zeit mit interner Abstimmung, bevor überhaupt entschieden wird, wer meldet und welche Informationen notwendig sind. Unternehmen, die nicht rechtzeitig melden, riskieren Bußgelder – und das selbst dann, wenn der Vorfall technisch vergleichsweise harmlos war.

Wie man es vermeidet:

• Vorab einen klaren Meldeprozess mit Zuständigkeiten definieren.
• Notfallkontakte bei den zuständigen Behörden hinterlegen.
• Meldeprozesse mindestens einmal jährlich in einer Übung durchspielen.

Stolperstein 4 – Vernachlässigung der Lieferkettensicherheit

NIS2 legt großen Wert darauf, dass auch Dienstleister und Zulieferer ein angemessenes Sicherheitsniveau einhalten. Das betrifft nicht nur IT-Dienstleister, sondern jede Art von externem Partner, der für kritische Funktionen wichtig ist.

Warum das problematisch ist: Viele Unternehmen haben keine ausreichende Transparenz darüber, wie ihre Partner mit Cybersicherheit umgehen. Ohne vertragliche Regelungen und Überprüfungen bleibt ein potenziell großes Einfallstor offen.

Wie man es vermeidet:

• Bestehende Verträge auf Sicherheitsklauseln prüfen und bei Bedarf anpassen.
• Sicherheitsanforderungen in Ausschreibungen und Vergaben aufnehmen.
• Kritische Lieferanten regelmäßig auditieren oder entsprechende Nachweise anfordern.

Stolperstein 5 – Unklare Verantwortlichkeiten im Krisenfall

Ein Cybervorfall ist Stress pur. Wenn im Ernstfall nicht klar ist, wer Entscheidungen trifft, wer mit den Behörden kommuniziert und wer die internen Teams steuert, führt das zu Verzögerungen und Fehlentscheidungen.

Warum das problematisch ist: Selbst technisch beherrschbare Vorfälle können eskalieren, wenn die interne Koordination versagt. Zudem drohen Fehlmeldungen oder verspätete Meldungen.

Wie man es vermeidet:

• Ein Krisenteam mit klaren Rollen benennen (Incident Response Team).
• Stellvertreterregelungen festlegen, um Ausfälle im Team abzufangen.
• Notfallhandbücher erstellen und regelmäßig aktualisieren.

Stolperstein 6 – Fehlende Sicherheitskultur

Technische Schutzmaßnahmen sind nur so gut wie die Menschen, die sie bedienen. Fehlende Awareness ist nach wie vor eine der Hauptursachen für Sicherheitsvorfälle. Phishing, Social Engineering oder unsichere Passwörter sind Beispiele, die in vielen Fällen den ersten Schritt eines Angriffs darstellen.

Warum das problematisch ist: Selbst das beste Sicherheitssystem hilft wenig, wenn Mitarbeitende versehentlich Türen für Angreifer öffnen. Die Schulungspflicht unter NIS2 ist daher kein Nebenthema, sondern zentral.

Wie man es vermeidet:

• Regelmäßige Awareness-Trainings für alle Mitarbeitenden durchführen.
• Inhalte praxisnah gestalten, um Relevanz zu erhöhen.
• Schulungserfolge messen und Folgeaktionen planen.

Stolperstein 7 – Zu späte oder unstrukturierte Umsetzung

Viele Unternehmen beginnen erst wenige Monate vor der Frist mit der Umsetzung – oft in der Annahme, die Anforderungen ließen sich schnell erfüllen. In der Realität erfordert NIS2 jedoch eine Reihe ineinandergreifender Maßnahmen, deren Umsetzung Monate dauern kann.

Warum das problematisch ist: Zeitdruck führt zu oberflächlicher Umsetzung, die weder die Anforderungen erfüllt noch nachhaltig ist. Zudem steigt das Risiko, dass technische Lösungen ohne ausreichende Prozessintegration scheitern.

Wie man es vermeidet:

• Umsetzung frühzeitig starten – idealerweise sofort nach Feststellung der Betroffenheit.
• Einen detaillierten Maßnahmenplan mit Meilensteinen erstellen.
• Fortschritte regelmäßig überprüfen und bei Bedarf anpassen.

Praxisbeispiel – Wenn Stolpersteine teuer werden

Ein mittelständisches Logistikunternehmen erkannte seine Betroffenheit unter NIS2 erst im Sommer 2024. Die Zeit bis zur Frist reichte nicht, um Lieferantenverträge anzupassen oder ein funktionierendes Meldewesen aufzubauen. Als ein IT-Ausfall im Januar 2025 eine bundesweite Lieferverzögerung auslöste, konnte der Vorfall nicht fristgerecht gemeldet werden. Das Ergebnis: ein fünfstelliges Bußgeld, negative Presse und zusätzliche Kosten für externe Krisenberater. Hätte das Unternehmen ein Jahr früher begonnen, wären die meisten Probleme vermeidbar gewesen.

Fazit – Stolpersteine kennen heißt sie vermeiden

NIS2 ist komplex, aber nicht unüberwindbar. Die größten Risiken entstehen nicht durch einzelne technische Anforderungen, sondern durch organisatorische Versäumnisse, fehlende Priorisierung und unklare Verantwortlichkeiten. Wer die Stolpersteine kennt, kann sie frühzeitig umschiffen – und aus einer regulatorischen Pflicht eine Chance zur nachhaltigen Stärkung der eigenen Cyber-Resilienz machen.