NIS2: Wer nicht handelt, verspielt wertvolle Zeit


Gesetzgebungsverfahren zur NIS2-Umsetzung gescheitert
Kein Grund zur Panik – Wie Unternehmen die gewonnene Zeit nutzen können


Von Volker Scholz, Information Security Architect bei Axians

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass. Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein. Es handelt sich dabei um Konzerne und KMU, die kritische Infrastrukturen betreiben oder in kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer. Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS2-Umsetzungsgesetzes warten. Denn die geforderten Risikomaßnahmen der Richtlinie sind bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren.

Verzögerungen in Deutschland
Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz sind vielfältig. Fest steht jedoch: Wegen der Bundestagswahl 2025 kann ein neues nationales Gesetz erst von der neuen Regierung - also frühestens Ende 2025 - verabschiedet werden. Aber auch ohne ein neues Gesetz gilt die NIS2-Richtlinie bereits in der EU. Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.

Anforderungen sind bekannt
Die zugrunde liegende EU-Richtlinie ist seit 2022 bekannt und ihre Risikomaßnahmen bleiben bestehen. Die Verzögerung bis mindestens Ende 2025 bietet eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, Incident Response und Business Continuity entsprechen bereits seit Jahren dem Stand der Technik und sind keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung ist die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen. Führungskräfte sollten sich bewusst sein, dass Cyber Security nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon e erfüllen. Jetzt geht es darum, diese Standards im Hinblick auf NIS2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

Wer schon e Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cybersicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal. Zudem fällt es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, wenn sie sich bereits mit den Grundlagen von NIS2 vertraut gemacht haben. Unternehmen sollten mit diesen fünf Schritten beginnen:

>> Betroffenheitsanalyse durchführen: Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.

>> Sicherheitsorganisation etablieren: Verantwortlichkeiten für Cybersicherheit definieren und sicherstellen, dass die Geschäftsleitung involviert ist.

>> Meldeprozesse entwickeln: Klare Strukturen für Incident Response und Meldungen an das BSI festlegen, um auf Vorfälle vorbereitet zu sein.

>> IT-Risiken identifizieren: Ein strukturiertes Asset Management aufbauen und Sicherheitsrisiken systematisch bewerten.

>> Notfallpläne und Business Continuity vorbereiten: Strategien entwickeln, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und Resilienz zu stärken.

Strategie statt Unsicherheit: Implementation Acts bringen weitere Klarheit
Aktuell liegen bereits zwei Implementation Acts der EU und der Mitgliedsstaaten vor, die die Anforderungen zu NIS2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisieren. Es ist davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen Implementation Acts spezifiziert werden. Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie sind gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen. (Axians: ra)

eingetragen: 18.02.25

Axians: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Tipps und Background-Wissen

  • Schutz ist mehr als nur Prävention

    E-Mail-Sicherheit umfasst inzwischen mehr als die Abwehr von Cyberbedrohungen. Vielmehr geht es auch darum, schnell und effektiv reagieren zu können, wenn es eine Bedrohung in den E-Mail-Posteingang schafft, denn selbst die fortschrittlichsten Sicherheitsmaßnahmen sind nicht zu 100 Prozent sicher. Malware, Phishing und Social Engineering entwickeln sich kontinuierlich weiter und während sich Sicherheits-Tools an diese Entwicklung anpassen, suchen auch die Angreifer ihrerseits wieder nach neuen Möglichkeiten, diesen Schutz zu umgehen.

  • Vorteile der lokalen Datensicherung

    Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten zwölf Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren. Diese würde im Falle eines Cyberangriffs oder einer anderen Katastrophe dafür sorgen, dass das Business schnell wieder aufgenommen werden kann.

  • DNS-Sicherheit: Ein Muss für den Erfolg von NIS-2

    NIS-2 ist in aller Munde und verändert die Cybersicherheitslandschaft grundlegend. Eine oft übersehene, aber entscheidende Komponente der Compliance ist die DNS-Sicherheit. Infoblox, der weltweit führende Anbieter von DNS-Management- und Sicherheitslösungen, erläutert, warum Unternehmen der DNS-Sicherheit Priorität einräumen müssen, um die NIS-2-Richtlinie zu erfüllen und ihren Betrieb zu schützen.

Mutmaßlich nordkoreanischer Hintergrund Generationenkonflikt der IT-Security

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen