NIS 2: Warum Cybersicherheit plötzlich Chefsache ist

Am 6. Dezember 2025 trat in Deutschland das Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft. Die EU-weit geltende Vorschrift zur Netz- und Informationssicherheit verpflichtet Unternehmen und Organisationen zu systematischen Cybersicherheitsmaßnahmen, die weit über die bisherigen Pflichten für Betreiber kritischer Infrastruktur hinausreichen.

Nach bisheriger Schätzung werden rund 30.000 Unternehmen unter die neuen Regeln fallen, vor allem Betriebe aus Industrie, Logistik, Energie, Gesundheitswesen, IT und produzierendem Mittelstand sowie deren Zulieferer und Dienstleister. Ein erheblicher Teil dieser Betriebe weiß wohlgemerkt nicht, dass er unter die Regulierung fällt.

Denn NIS 2 legt nicht nur die Branchenzugehörigkeit als Kriterium an, sondern auch Faktoren wie Unternehmensgröße und die Funktion am Markt. Wer als Dienstleister innerhalb einer Lieferkette agiert, kann ebenso betroffen sein wie ein Unternehmen, das in einem regulierten Sektor tätig ist.

Die gesetzlichen Anforderungen sind bewusst offen formuliert. Sie geben Ziele vor, aber kaum konkrete Wege. Für viele Organisationen erschwert das die Einordnung: Welche Maßnahmen müssen ergriffen werden? Was ist angemessen? Was erwartet die Aufsichtsbehörde?

NIS 2 kommt in einer Zeit, in der es an Zeit und Fachpersonal für Cybersecurity mangelt. Vielerorts arbeiten IT-Teams am Limit, nun kommen neue Dokumentations-, Melde- und Nachweispflichten hinzu. Firewalls, Backups und Zugriffsbeschränkungen existieren zwar, sind aber oft nicht getestet und in ein übergreifendes Risikomanagement eingebettet. Seit NIS 2 gelten diese Versäumnisse nicht mehr als rein technisches Problem, sondern als Organisationsverschulden, für das die Geschäftsleitung persönlich verantwortlich gemacht werden kann. Cybersicherheit wird somit zur Managementaufgabe.

Die NIS-2-Richtlinie verlangt nichts weniger als ein lückenloses Sicherheits- und Risikomanagement über alle Unternehmensbereiche hinweg. Es sollte in mehreren aufeinander aufbauenden Schritten in die Praxis umgesetzt werden.

• Ersteinschätzung und Betroffenheitsprüfung: Ein Check zeigt, ob die Organisation tatsächlich unter die NIS-2-Vorgaben fällt und in welchem Umfang. Viele Entscheidungen zu Meldepflichten, Risikoprofilen und zum Dokumentationsumfang lassen sich erst nach einer solchen Analyse treffen.

• Gap-Analyse: Eine Prüfung aller vorhandenen Prozesse zeigt auf, wo Lücken bestehen. Dabei werden nicht nur technische Schwächen erkennbar, sondern auch organisatorische Defizite.

• Priorisierte Umsetzung: Die Erkenntnisse aus der Gap-Analyse fließen in einen Maßnahmenkatalog ein. Risiken und Aufwand werden abgeglichen, die Reihenfolge des Vorgehens definiert.

• Risikoanalyse und Krisenmanagement: NIS-2 fordert klare Zuständigkeiten und Abwehrmaßnahmen bei Vorfällen. Dazu zählen die Definition der Risikostufen sowie Notfall- und Wiederanlaufpläne, die regelmäßig geübt werden müssen.

• Lieferketten- und Dienstleisterbewertung: Da Unternehmen nicht nur für eigene IT, sondern auch für die ihrer Partner Verantwortung übernehmen müssen, reduziert eine Bewertung von Dienstleistern und Lieferanten externe Cyber-Risiken.

• Technische Implementierung: Sie umfasst die praktische Implementierung von Sicherheitsmaßnahmen wie Firewalls, Monitoring, Backups, Zugriffskontrollen et cetera. Diese Technik muss in den Unternehmensalltag integriert werden.

• Schulungen und Kontrollen: Mitarbeiter müssen befähigt sein, Sicherheitsregeln anzuwenden. Praxisnahe Trainings und verständliche Richtlinien sorgen dafür, dass entsprechende Konzepte nicht als abstrakte Checkliste versauern.

Unter diesem Firmenslogan stellt Cyber Complete aus Schmallenberg einen NIS-2-Fahrplan auf, der Ersteinschätzung, Gap-Analyse, Maßnahmenpriorisierung, Risiko- und Krisenmanagement, Lieferkettenbewertung, Implementierung inklusive Schulungen beinhaltet. Die Firma begleitet Kunden von der ersten Bewertung bis zur Durchsetzung durch Management-Briefings, Workshops, Awareness-Programme und prüft auf Wunsch Fördermöglichkeiten für Cyber-Security-Maßnahmen.

Cyber Complete versteht NIS 2 nicht als Kontrollinstrument, sondern als Führungsaufgabe. "NIS 2 ist kein IT-Projekt. Es ist eine Haltung FÜR ein sicherheitsrelevantes Management-System", sagt Firmengründer Benjamin Richter. Entsprechend unterscheidet sich sein Ansatz bewusst von herkömmlicher Audit-Vorbereitung. Cyber Complete erstellt keine Standard-Checklisten, sondern entwirft Sicherheitsarchitekturen, die zur Organisation, zur Kultur und zum Geschäftsmodell passen: Welche Risiken drohen tatsächlich? Welche Maßnahmen wirken sofort? Was lässt sich gegebenenfalls hintanstellen? Richter formuliert es zugespitzt: "Wer einfach nur nach Lehrbuch umsetzt, wird morgen trotzdem Opfer eines Angriffs."

Die Vorteile: Unternehmen gewinnen Orientierung im NIS-2-Dickicht, senken Haftungs- und Bußgeldrisiken, steigern ihre Sicherheit nachweislich, reagieren bei Krisen souverän und stärken das Vertrauen von Kunden, Partnern und Behörden – all das, ohne interne IT- und Security-Teams über Gebühr zu belasten.

Cyber Complete wurde 2018 von Benjamin Richter gegründet. Mit über 21 Jahren Praxiserfahrung weiß er, dass Cybersicherheit nie Selbstzweck ist, sondern essentiell, um die Handlungsfähigkeit von Unternehmen zu bewahren. Mittelständler, Dienstleister, sicherheitskritische Einrichtungen und Konzerne aus den unterschiedlichsten Branchen vertrauen auf die Kompetenz und das Engagement seiner Firma.