Sogar Unternehmen ohne NIS2-Pflicht orientieren sich inzwischen an der Richtlinie. Für die eigentlich verpflichteten Betriebe bleibt die Umsetzung dagegen eine der größten Herausforderungen, besonders wenn veraltete OT-Systeme und komplexe Lieferketten ins Spiel kommen.
Die Umsetzung der NIS2-Richtlinie verläuft hierzulande langsamer als erwartet. Knapp jedes zweite Unternehmen kämpft laut einer Studie mit komplexen Anforderungen, gewachsenen Strukturen und neuen Lieferkettenrisiken.
NIS2 ist gesetzt, seit Anfang dieses Jahres sind alle Unternehmen auf dem Stand der Regulierung – oder sie sollten es eigentlich sein. Bei der Umsetzung von NIS2-Vorgaben gibt es eine deutliche Lücke zwischen Anspruch und Wirklichkeit: Die Plusserver-Studie „Cybersecurity & Digitale Resilienz“ zeigt, dass nur rund ein Drittel (34 Prozent) der Unternehmen NIS2 vollständig umgesetzt hat.
Umso erstaunlicher: Parallel dazu geht ein weiteres Drittel (33 Prozent) der Unternehmen in einzelnen Bereichen sogar über die Mindestanforderungen hinaus, während sich sogar Unternehmen, die gar nicht betroffen sind, an den Vorgaben orientieren. Daran zeigt sich, dass NIS2 kein reines Compliance-Thema ist. Es dient als Treiber für strukturelle Veränderungen.
Hauptgrund für die Verzögerungen ist die Komplexität von NIS2. Fast die Hälfte der Unternehmen (47 Prozent) bewertet die Umsetzung als schwierig oder sogar sehr schwierig. Besonders herausfordernd sind für sie unklare Interpretationsspielräume und der hohe Aufwand bei der Anpassung bestehender Prozesse. Hinzu kommen Schwierigkeiten mit der Integration in gewachsenen IT-Landschaften.
Viele Industrieunternehmen arbeiten in der Operational Technology (OT) mit älteren Systemen, die nicht auf aktuelle Sicherheitsanforderungen ausgelegt sind. Sie lassen sich aufgrund der langen Lebenszyklen von OT und einer sehr geringen Veränderungsdynamik nur schwer anpassen, was für einen großen Teil der Unternehmen (48 Prozent) zu einer zentralen Hürde wird.
Diese Komplexität setzt sich in der Lieferkette fort. NIS2 erweitert den Fokus von der reinen internen Interpretation der IT-Security auf externe Abhängigkeiten. Während jedes zweite Unternehmen (51 Prozent) deutliche Veränderungen im Geschäftsverkehr mit Geschäftspartnern, Lieferanten und Dienstleistern feststellt, unterschätzen viele die Risiken in diesem Bereich. Cyberangriffe erfolgen häufig über die Infrastrukturen der Partner, die außerhalb des eigenen Einflussbereichs liegen.
Die praktische Umsetzung wird also vor allem dort schwierig, wo gewachsene Strukturen auf neue Anforderungen treffen. Industrieunternehmen stehen dabei in einem Zielkonflikt. Die bestehenden Systeme sind auf langfristigen Betrieb ausgelegt und können in vielen Fällen nicht ohne weiteres erneuert werden. Die regulatorischen Vorgaben verlangen aber eine Anpassung an den Stand der Technik. Das zwingt dazu, Investitionszyklen zu überdenken und auf Modernisierung und Standardisierung zu setzen.
Um die NIS2-Umsetzung zu vereinfachen und technische sowie organisatorische Hürden zu überwinden, hat sich ein schrittweises Vorgehen bewährt. Erster Schritt und Beginn der wirksamen Umsetzung ist eine Bestandsaufnahme. Es gilt, zunächst zu erfassen, welche Systeme, Prozesse und – wichtig – welche Geschäftspartner von NIS2 betroffen sind. Mit dieser Informationssammlung können Unternehmen dann ein strukturiertes Risikoprofil entwickeln, das Aufschluss über fehlende Maßnahmen gibt. Ein konsistentes Gesamtbild kann auch nachträglich noch hilfreich sein, um Lücken zu schließen und erfolgte Maßnahmen zu verbessern.
Im nächsten Schritt werden eindeutige Verantwortlichkeiten definiert. NIS2 verlangt klare Zuständigkeiten im Management, inklusive einer persönlichen Haftung der Geschäftsführung. Eine zentrale Steuerung setzt Prioritäten und bewirkt konsistente Maßnahmen. Dazu gehört auch die Standardisierung der Prozesse, beispielsweise Incident-Response, Meldewege und Notfallpläne. Neben eindeutigen Vorgaben ist hier auch eine regelmäßige Prüfung erforderlich. Standards wie ISO 27001 oder der BSI-Grundschutz geben Orientierung, um die entsprechenden Prozesse schnell einzuführen.
Ein zentraler Baustein der NIS2-Konformität ist die nahtlose Integration von Sicherheitsmaßnahmen in bestehende IT- und OT-Infrastrukturen. Angesichts oft gewachsener Strukturen muss dies risikobasiert und schrittweise erfolgen, wobei der Schutz kritischer Prozesse oberste Priorität genießt. Eine essenzielle Schutzmaßnahme ist die Netzwerksegmentierung: Durch die logische Trennung von Systemgruppen wird die Ausbreitung von Schadsoftware effektiv eingedämmt. Ergänzend dazu bilden ein lückenloses Infrastruktur-Monitoring sowie Identity & Access Management (IAM) nach dem „Zero Trust“-Prinzip das Rückgrat der Zugriffssteuerung. Hierbei wird jeder Zugriff individuell authentifiziert, was ein präzises Benutzer- und Rollenkonzept erfordert und so die Angriffsfläche auf ein Minimum reduziert.
Der zweite Schwerpunkt liegt auf der konsequenten Einbindung von Partnerunternehmen in die Sicherheitsstrategie. Je nach Branche ist dies eine anspruchsvolle Aufgabe: Besonders in der Automobilindustrie und der Elektronikfertigung führen tief gestaffelte Lieferketten mit zahlreichen Zulieferern zu einer hohen Komplexität. Ein entscheidender erster Schritt ist daher die Definition präziser Sicherheitsanforderungen, die über die gesamte Wertschöpfungskette hinweg überprüft werden. Verträge, regelmäßige Audits und standardisierte Nachweise schaffen hier die notwendige Transparenz und Verbindlichkeit.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um den hohen Umsetzungsaufwand der NIS2-Richtlinie zu bewältigen, empfiehlt sich die Nutzung etablierter Branchenstandards wie TISAX in der Automobilindustrie oder IEC 62443 in der Fertigung. Diese Standards dienen als wertvolles Fundament: Wer sie bereits implementiert hat, nutzt starke Synergieeffekte, um die gesetzlichen Anforderungen systematisch zu erfüllen und die eigene Resilienz in Ausschreibungen und Kundenbeziehungen rechtssicher zu belegen.
Ein weiterer Punkt, der wichtiger wird: Security-Experten und Spezialisten für die Schnittstelle zwischen IT und OT sind gefragt. Es ist nicht einfach, das passende Personal zu rekrutieren. Deshalb sollten Unternehmen auf jeden Fall auf gezielte Weiterbildung ihrer eigenen Mitarbeitenden setzen. Bei Bedarf ergänzen spezialisierte Security-Dienstleister die eigenen Teams.
Insgesamt zeigt sich, dass NIS2 weniger an einzelnen Maßnahmen als an der Integration in bestehende Strukturen scheitert. Eine große Herausforderung ist das Zusammenspiel von Prozessen und der internen Organisation. Allerdings ist in den kommenden Jahren mit weiteren regulatorischen Konkretisierungen und einer strengen Prüfung der Umsetzung zu rechnen. Dadurch wird der Druck zur Professionalisierung der Security-Strukturen weiter steigen. Wer diese Faktoren frühzeitig in den Blick nimmt, erreicht regulatorische Konformität und stärkt seine digitale Resilienz nachhaltig.
Über den Autor: Maurice Kemmann ist Geschäftsführer der Cosanta GmbH.