NIS2: Viele Unternehmen glauben, nicht betroffen zu sein

Die regulatorische Ausweitung: Wer ist wirklich betroffen?

Die EU-Kommission hat die Sektoren in zwei Kategorien unterteilt – Sektoren mit hoher Kritikalität und sonstige kritische Sektoren – und den Anwendungsbereich erheblich ausgeweitet. Neu reguliert werden so zum Beispiel Unternehmen aus der Chemie- und dem Lebensmittel- sowie Maschinenbau, aber auch Forschungseinrichtungen. Voraussetzung ist, dass sie die Schwellenwerte von 50 Mitarbeitern oder 10 Millionen Euro Umsatz überschreiten.

Noch bedeutsamer: Es ist nicht erforderlich, dass die regulierte Geschäftstätigkeit das Hauptgeschäft eines Unternehmens ausmacht, um unter NIS2 zu fallen. Ausreichend ist, dass die Tätigkeit (mit Blick auf Umsatz und Mitarbeiterzahl) nicht zu vernachlässigen ist. Bedeutende Auswirkungen wird dies zum Beispiel auf zahlreiche Unternehmen haben, die (auch) ein Cloud-Produkt anbieten.

Gleichzeitig stellt das Gesetz für einzelne Teilbereiche weitere Voraussetzungen auf, die den Anwendungsbereich (für Unternehmen positiv) einschränken. Insgesamt sind die Grenzen des Anwendungsbereichs keineswegs klar gesetzt, sondern sind weich – und Unternehmen tragen das volle Risiko, wenn sie sich fälschlicherweise als nicht betroffen ansehen.

Die Hebelwirkung der Lieferkette

Abseits der nackten Zahlen gibt es drei logische Ebenen, die viele Unternehmen bei ihrer Risikoanalyse übersehen:

1. Die Lieferketten-Kaskade: NIS2 verpflichtet regulierte Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu prüfen. Das bedeutet: Wenn du als kleiner Zulieferer für Medizintechnik-Komponenten möglicherweise nicht unter NIS2 fällst, wird dein Kunde (der große Medizintechnik-Konzern) die Einhaltung der NIS2-Standards vertraglich erzwingen. Man wird so zum regulierten Unternehmen durch die Hintertür.
2. Sektor-Interdependenz: Viele Unternehmen im Bereich Verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Chemie) realisieren erst spät, dass sie durch die neue Sektorenliste (Anhang II der Richtlinie) direkt adressiert werden. Das betrifft unter den dort genannten Kriterien beispielsweise auch die Produktion von Lebensmitteln oder die Abfallwirtschaft – Bereiche, die bisher kaum IT-Sicherheitsauflagen hatten.
3. Managed Service Provider (MSP): IT-Dienstleister sind ein zentraler Hebel der NIS2. Da sie oft privilegierten Zugriff auf die Systeme ihrer Kunden haben, werden sie als Hochrisikovektor eingestuft. Ein kleiner MSP, der nur lokal eine herausgehobene Bedeutung hat, weil er Behörden oder Kliniken betreut, kann aufgrund seiner Funktion unabhängig von Mitarbeitern oder Bilanzsumme unter NIS2 fallen.

So ergibt sich die Betroffenheit oft indirekt. Unternehmen prüfen ihre Kennzahlen, übersehen aber die Lieferkettenvorgaben. Wenn ein regulierter Großkunde seine Risikoanalyse macht, wird er von seinen Zulieferern NIS2-konforme Sicherheitsstandards fordern. Wer das nicht nachweisen kann, verliert im Zweifel seinen Status als A-Lieferant.

„Es geht bei NIS2 nicht allein um die Abwehr von Hackern, sondern um Compliance auf höchster Ebene. Neu ist vor allem die explizite Billigungs- und Überwachungspflicht der Geschäftsführung. IT-Sicherheit ist keine Aufgabe, die man delegieren und dann vergessen kann.“

Martin Bastius, heyData

Haftung und Risiko: Die neue persönliche Verantwortung

Es geht bei NIS2 nicht allein um die Abwehr von Hackern, sondern um Compliance auf höchster Ebene. Neu ist vor allem die explizite Billigungs- und Überwachungspflicht der Geschäftsführung. IT-Sicherheit ist keine Aufgabe, die man delegieren und dann vergessen kann. Das Management ist gesetzlich verpflichtet, Sicherheitsmaßnahmen umzusetzen und deren Umsetzung zu überwachen.

Bei Verstößen drohen nicht nur Bußgelder in Millionenhöhe, sondern auch die persönliche Haftung der Organe. So geht es bei NIS2 nicht um das bloße Abhaken einer Compliance-Liste. Die Richtlinie fordert ein gelebtes Risikomanagement. Wer nicht an Schulungen teilnimmt und nicht sicherstellt, dass für Sicherheitsvorfälle ein schneller Meldeprozess steht, steht mit einem Bein in der persönlichen Haftung.

Erste Schritte zur Compliance

Um die eigene Position zu bestimmen, empfiehlt sich ein strukturierter Prozess:

• Geltungsbereich präzise prüfen: Abgleich mit den Sektorenanhängen der NIS-2-Richtlinie und Prüfung der Mitarbeiterzahlen gemäß EU-Definition (inklusive Verflechtungen mit Mutter- oder Tochtergesellschaften). In Zweifelsfällen: Lieber NIS2 umsetzen!
• Risikomanagement-Framework: Implementierung technischer und organisatorischer Maßnahmen nach dem Stand der Technik. Dies umfasst unter anderem Kryptografie, IAM, Lieferkettensicherheit sowie zahlreiche Richtlinien und Konzepte, zum Beispiel zur Risikoanalyse und Krisenbewältigung
• Incident Response und Meldewege: Etablierung von Prozessen für die 24-Stunden-Frühwarnung und den 72-Stunden-Abschlussbericht an die zuständigen Behörden (zum Beispiel das BSI in Deutschland).
• Business Continuity Management (BCM): Sicherstellung der Betriebskontinuität durch Backup-Management und Disaster Recovery.
• Cyberhygiene für Mitarbeiter und Geschäftsführung: Awareness-Trainings sind unter NIS2 keine Kür mehr, sondern Teil der vorgeschriebenen Maßnahmen zur Risikominimierung.

Bereits heute schon relevant

Auch wenn die nationale Umsetzung in Deutschland (NIS2UmsuCG) im Gesetzgebungsprozess teilweise verzögert wurde, sind die Anforderungen seit dem 6. Dezember 2025 verbindlich. Unternehmen, die jetzt abwarten, bis die ersten Prüfer vor der Tür stehen, werden feststellen, dass der Markt für qualifizierte Security-Beratung und Zertifizierungen bereits überhitzt ist. Cybersicherheit ist im Jahr 2026 keine IT-Option mehr, sondern eine notwendige Bedingung für die Aufrechterhaltung der globalen Lieferfähigkeit.

Über den Autor:
Martin Bastius ist CLO bei heyData.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.