NIS2: Fortschritt oder Flickwerk? Der aktuelle Stand zum Januar 2025

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist ohne Frage eines der einflussreichsten Gesetzesvorhaben zur Cybersicherheit in der EU. Als Nachfolger der ursprünglichen NIS-Richtlinie zielt sie darauf ab, die Resilienz und Sicherheit kritischer Infrastrukturen sowie essenzieller Dienste in Europa zu stärken. Doch während die Absichten und Ziele der NIS2-Richtlinie begrüßenswert sind, offenbaren sich in der praktischen Umsetzung zahlreiche Herausforderungen – nicht zuletzt aufgrund der Diskrepanz zwischen der gesetzgeberischen Ambition und der Realität in Unternehmen.

In diesem Artikel beleuchten wir den aktuellen Stand der NIS2-Umsetzung im Jahr 2025, diskutieren Schwachstellen in der Gesetzgebung und werfen einen kritischen Blick auf die Chronologie des Gesetzgebungsprozesses.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie wurde als Antwort auf die zunehmenden Cyberbedrohungen beschlossen. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016) und verschärft die Anforderungen für Organisationen, die als Betreiber von kritischer Infrastruktur oder essenziellen Diensten eingestuft werden.

Die wichtigsten Neuerungen im Vergleich zur ursprünglichen NIS-Richtlinie:

  1. Erweiterter Anwendungsbereich: Die NIS2 deckt nun mehr Sektoren ab, darunter Abfallwirtschaft, Lebensmittelproduktion, Raumfahrt und digitale Infrastruktur wie Rechenzentren und Content Delivery Networks (CDNs). Dadurch wird eine größere Anzahl von Unternehmen verpflichtet, Sicherheitsmaßnahmen umzusetzen.
  2. Strengere Sicherheitsanforderungen: Unternehmen müssen umfassende Cybersicherheitsmaßnahmen implementieren, darunter:
    • Risikomanagement
    • Incident Response
    • Business Continuity
    • Zusammenarbeit mit Behörden und Meldepflichten innerhalb von 24 Stunden bei Vorfällen.
  3. Erhöhte Haftung: Führungskräfte können persönlich haftbar gemacht werden, wenn Organisationen die Anforderungen nicht erfüllen. Dies zwingt Unternehmen, Cybersicherheit auf Vorstandsebene zu priorisieren.
  4. Harmonisierung innerhalb der EU: Die Richtlinie zielt darauf ab, einheitliche Mindeststandards für Cybersicherheit in allen Mitgliedsstaaten zu schaffen, um die Fragmentierung der bisherigen NIS-Umsetzung zu überwinden.

Die Frist zur Umsetzung in nationales Recht endete am 18. Oktober 2024.
Doch wie sieht die Realität Anfang 2025 aus?

Aktueller Stand: Fortschritte und Verzögerungen

Obwohl die NIS2-Richtlinie klare Fristen und Ziele vorgibt, haben viele EU-Mitgliedsstaaten Schwierigkeiten, diese umzusetzen. Die Chronologie des Gesetzgebungsverfahrens offenbart erhebliche Diskrepanzen zwischen den Anforderungen und der praktischen Umsetzung.

1. Verspätete Umsetzung in nationales Recht

Bis Ende 2024 hatten nur wenige EU-Staaten die NIS2-Richtlinie vollständig in nationales Recht umgesetzt. Deutschland beispielsweise verabschiedete erst kurz vor Ablauf der Frist ein Rahmenwerk, das jedoch viele Detailfragen offenlässt. Unternehmen stehen nun vor der Herausforderung, ihre Compliance anzupassen, ohne klare Vorgaben zu haben.

Die verspätete Umsetzung hat dazu geführt, dass viele Unternehmen noch immer nicht wissen, welche konkreten Schritte sie unternehmen müssen, um den Anforderungen zu entsprechen. Diese Unsicherheit führt zu erheblichen Verzögerungen bei der Implementierung von Sicherheitsmaßnahmen.

2. Fehlende Ressourcen und Kompetenz

Ein weiteres Problem ist, dass viele Unternehmen – insbesondere mittelständische Betriebe – nicht über die personellen oder finanziellen Ressourcen verfügen, um die Anforderungen der NIS2 zu erfüllen. Der Fachkräftemangel im Bereich Cybersicherheit verschärft die Situation zusätzlich. Selbst größere Organisationen kämpfen mit der Rekrutierung von Experten, die die Richtlinie umsetzen können.

3. Chronologischer Ablauf

Die NIS2-Richtlinie wurde 2022 finalisiert, aber erst 2024 mussten Unternehmen und Staaten mit Hochdruck an der Umsetzung arbeiten. Zwei Jahre Zeit mögen ausreichend erscheinen, doch die Realität zeigt, dass viele Unternehmen erst im letzten Moment mit den Vorbereitungen begonnen haben – oft aufgrund fehlender Klarheit oder Priorisierung.

Die Absurdität liegt darin, dass eine Richtlinie, die die Sicherheit der EU stärken soll, selbst durch Verzögerungen und Unklarheiten geschwächt wird. In einer Zeit, in der Cyberangriffe immer raffinierter werden, ist jede Verzögerung ein Risiko.

4. Fehlende Harmonisierung

Ein erklärtes Ziel der NIS2-Richtlinie war die Harmonisierung der Cybersicherheitsstandards innerhalb der EU. Doch Anfang 2025 zeigt sich, dass Mitgliedsstaaten weiterhin unterschiedliche Ansätze verfolgen. Einige Länder setzen auf strikte Regeln und hohe Bußgelder, während andere eine flexiblere Interpretation der Richtlinie bevorzugen. Dies untergräbt das Ziel, einheitliche Sicherheitsstandards zu schaffen.

Wie Unternehmen jetzt handeln sollten

Trotz der Herausforderungen gibt es bewährte Ansätze, um die Anforderungen der NIS2-Richtlinie zu erfüllen:

  1. Risikobewertung: Unternehmen müssen eine umfassende Risikobewertung durchführen, um Schwachstellen in ihrer IT-Infrastruktur zu identifizieren. Hilfreich sind hierzu etablierte Frameworks wie ein ISO 27001 ISMS.
  2. Meldeprozesse etablieren: Da Vorfälle innerhalb von 24 Stunden gemeldet werden müssen, ist die Einrichtung klarer Kommunikationswege mit Behörden essenziell. Informieren Sie sich als Verpflichteter proaktiv beim BSI.
  3. Schulung und Awareness: Mitarbeitende auf allen Ebenen sollten regelmäßig geschult werden, um Sicherheitsrisiken zu minimieren und sich schon jetzt mit einem pragmatischen Ansatz auf die kommenden, schärfer werdenden Vorgaben vorzubereiten.

Als Cybersecurity-Dienstleister unterstützen wir Unternehmen dabei, die Anforderungen der NIS2-Richtlinie zu erfüllen. Der Schlüssel liegt darin, frühzeitig zu handeln, klare Prioritäten zu setzen und auf erfahrene Partner zu vertrauen.

Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können und Ihre Organisation zukunftssicher zu machen.

Nach oben scrollen