NIS-2-Umsetzung: Maßnahmen für IT-Sicherheit und Compliance

Unternehmen haben bei NIS-2 wenig Zeit, offene Fragen und viel Arbeit Countdown zur NIS-2-Richtline

06.06.2024 Ein Gastkommentar von Andreas Lüning 3 min Lesedauer

Anbieter zum Thema

Insider Research Cover-1400x1400px.jpg ()

Viele Unternehmen und IT-Verantwortliche wünschen sich neben einer klaren Aussage nach deren Position im Geltungsbereich der NIS-2 eine klar umrissene Beschreibung der Maßnahmen, die sie umsetzen müssen. Aber auch im aktuellen Referenten-Entwurf steht viel Abstraktes und wenig Konkretes. Da fällt es schwer, den Überblick zu behalten.

Unternehmen, die NIS-2 erst jetzt für sich als relevantes Thema identifiziert haben, werden es nicht rechtzeitig schaffen, den Auflagen gerecht zu werden. Ganz gleich ob im Oktober diesen Jahres oder erst Anfang 2025.(Bild: Dall-E / KI-generiert) — Unternehmen, die NIS-2 erst jetzt für sich als relevantes Thema identifiziert haben, werden es nicht rechtzeitig schaffen, den Auflagen gerecht zu werden. Ganz gleich ob im Oktober diesen Jahres oder erst Anfang 2025.
(Bild: Dall-E / KI-generiert)

Andreas Lüning hat als Mitgründer der G Data CyberDefense AG schon früh die Ausrichtung des heute ältesten IT-Security Unternehmens mit beeinflusst. Als Leiter der strategischen Entwicklung förderte und koordinierte der Informatiker die technologische Ausrichtung der Unternehmensziele. Seit April 2013 verantwortet er als Vorstand alle technischen Ressorts des Unternehmens und wird zusammen mit den Mitarbeiter-Teams die Weiterentwicklung der G Data CyberDefense AG zu einem führenden Unternehmen für Sicherheitstechnologien vorantreiben. (Bild: G Data CyberDefense AG) — Andreas Lüning hat als Mitgründer der G Data CyberDefense AG schon früh die Ausrichtung des heute ältesten IT-Security Unternehmens mit beeinflusst. Als Leiter der strategischen Entwicklung förderte und koordinierte der Informatiker die technologische Ausrichtung der Unternehmensziele. Seit April 2013 verantwortet er als Vorstand alle technischen Ressorts des Unternehmens und wird zusammen mit den Mitarbeiter-Teams die Weiterentwicklung der G Data CyberDefense AG zu einem führenden Unternehmen für Sicherheitstechnologien vorantreiben.
(Bild: G Data CyberDefense AG)

Die NIS-2-Direktive verleiht der IT-Sicherheit eine gesetzliche Grundlage. Viele Unternehmen treiben zwei Fragen um: „Bin ich betroffen oder nicht?“ und „Was soll ich tun?“. Insofern sind die Änderungen zu begrüßen. Was sich viele Unternehmen und IT-Verantwortliche in der aktuellen Situation wünschen, ist neben einer klaren Aussage nach deren Position im Geltungsbereich der NIS-2 eine klar umrissene Beschreibung der Maßnahmen, die sie umsetzen müssen, um NIS-2-Compliance herzustellen. So funktioniert deutsches Recht aber nicht.

Der Teufel steckt im Detail

Der Grund dafür ist einfach: Als Artikelgesetz wird das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht selbst die Vorschriften machen, sondern dazu viele andere Gesetze ändern und erweitern, wie etwa das Energiewirtschaftsgesetz (EnWG) oder das BSI-Gesetzt (BSIG). Erst hier wird vieles klarer werden. Denn viele gesetzliche Vorschriften sind eng an das angelehnt, was zum Beispiel die ISO-Norm 27001 vorschreibt. Mit dieser wiederum sind IT-Fachleute durchaus vertraut.

Antworten suchen

Der Weg zu einer Antwort auf die Frage „Gilt die NIS-2 für mein Unternehmen?“ führt unweigerlich einmal durch einen Paragrafendschungel und auf den Schreibtisch eines spezialisierten Juristen. Für die Bewertung der Gültigkeit muss nicht nur das NIS2UmsuCG herangezogen werden, sondern auch die Texte der referenzierten Gesetze wie auch die NIS-2 selbst. Das ist für IT-Verantwortliche naturgemäß schweres Geläuf. Benjamin Richter hat es in seinem Artikel auf den Punkt gebracht, in dem er sagt „Hier prallen zwei Welten aufeinander“.

Keinen Mut zur Lücke

Während vieles noch unklar ist, steht eine Sache bereits fest Der Tag, an dem das NIS2UmsuCG in Kraft treten wird. Am 17. Oktober 2024 soll es soweit sein, wenn es nach dem Willen der EU geht. Objektiv betrachtet wird Deutschland dieses Datum nicht halten können. Ein Inkrafttreten Anfang 2025 ist da realistischer. Wer erst jetzt das Thema für sich als relevant identifiziert hat, wird es nicht rechtzeitig zu diesem Stichtag schaffen, ganz gleich ob im Oktober dieses Jahres oder mit einem Aufschub auf Anfang 2025. Das ist Fakt. Grund genug, die Sache anzugehen ist es allemal. Daraus, dass ein Unternehmen möglicherweise noch nicht weiß, ob es betroffen ist, leiten Verantwortliche ab, dass kein Handlungsbedarf besteht. Der vielzitierte Fachkräftemangel sowie die Furcht vor Mehrkosten leisten den Verzögerungen weiteren Vorschub, der allerdings unangebracht ist.

Keine Gnadenfrist

Auch wenn bestimmte Unternehmen erst frühestens 2027 ihre Compliance nachweisen müssen, schützt das nicht vor Sanktionen. Falls nach dem 17. Oktober 2024 ein sicherheitsrelevanter Vorfall eintritt, dessen Auswirkungen eine Nichterfüllung der Compliance-Auflagen nahelegen, kann es für das betroffene Unternehmen theoretisch sehr unangenehm werden. Auf diesem Weg droht schlimmstenfalls ein Platz in den Lehrbüchern der deutschen und europäischen Rechtsgeschichte – eine zweifelhafte Ehre, auf die die allermeisten Unternehmen keinen gesteigerten Wert legen werden. Der bessere Weg: Sich externe Expertise suchen und so schnell wie möglich, aber ohne Hast, das Projekt „NIS-2“ voran zu treiben.

Vererbte Pflichten

Viele Unternehmen werden von der NIS-2 allerdings nicht direkt betroffen sein, sondern indirekt – etwa, weil sie ein Unternehmen aus einem der von der NIS-2 betroffenen Sektoren beliefern. Diese Unternehmen haben die Pflicht, ihre Lieferkette mit geeigneten Mitteln abzusichern. An dieser Stelle kommen Zulieferbetriebe ins Spiel. Die NIS-2 sieht nämlich vor, dass auch diese einen gewissen Sicherheitsstandard erfüllen müssen.

Insofern sind Unternehmen generell gut beraten, sich mit den Vorgaben der NIS-2 zu befassen, auch wenn sie nicht einem der 18 von der NIS-2 regulierten Sektoren angehören. Denn die NIS-2 enthält viel Potenzial für die Verbesserung von IT-Sicherheit, und die ist nicht nur in kritischen Geschäftsbereichen relevanter denn je.

Über den Autor: Andreas Lüning ist Gründer & Vorstandsmitglied bei G DATA CyberDefense.

(ID:50054013)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.