NIS2 zwingt nicht zu mehr Security. Es schafft endlich klare Verantwortung.
Die Auseinandersetzung mit der NIS2-Richtlinie beginnt in vielen Unternehmen in der IT. Neue Anforderungen führen zu neuen Maßnahmen, zusätzlichen Tools und weiteren Security-Projekten. Das ist nachvollziehbar. Für die NIS2-Umsetzung greift dieser Ansatz jedoch zu kurz. Denn die NIS2-Richtlinie adressiert nicht primär Technologie. Sie zielt auf die Steuerungsfähigkeit von Unternehmen. Im Kern geht es darum, wie Cybersecurity-Risiken erkannt, bewertet und auf Managementebene entschieden werden. Cybersecurity wird damit Teil der Unternehmenssteuerung, nicht nur ein operatives Thema.
NIS2 verändert nicht die Technik, sondern die Verantwortung
Die inhaltlichen Anforderungen sind nicht neu. Risikomanagement, Incident Response, Business Continuity und die Einbindung von Dienstleistern gehören seit Jahren zu etablierter Informationssicherheit. Neu ist die Verbindlichkeit. Mit der NIS2-Umsetzung in Deutschland werden diese Themen zur klaren Aufgabe der Unternehmensleitung. Entscheidungen über Cybersecurity sind damit unternehmerische Entscheidungen, mit direktem Einfluss auf Betrieb, Lieferfähigkeit und wirtschaftliche Stabilität. Damit verschiebt sich der Fokus: weg von einzelnen Maßnahmen, hin zu der Frage, wie Risiken bewusst gesteuert werden.
Viele Unternehmen haben Security, aber keine klare Steuerung
In der Praxis zeigt sich ein wiederkehrendes Bild. Sicherheitsmaßnahmen sind vorhanden, Systeme sind im Einsatz, Prozesse existieren. Was häufig fehlt, ist die Verbindung zum Geschäft. Maßnahmen stehen nebeneinander, ohne klaren Bezug zu den tatsächlich kritischen Risiken. Entscheidungen entstehen situativ statt entlang definierter Prioritäten. Zuständigkeiten sind vorhanden, greifen aber nicht immer zuverlässig. Das Ergebnis ist keine fehlende Security, sondern fehlende Steuerung.
Mehr Maßnahmen lösen die NIS2-Anforderungen nicht
Ein häufiger Reflex bei der NIS2-Umsetzung ist der Ausbau bestehender Sicherheitsmaßnahmen. Mehr Tools, mehr Kontrollen, mehr Funktionen. Das erhöht kurzfristig die Aktivität, aber nicht die Wirksamkeit. Mit steigender Komplexität sinkt die Transparenz. Entscheidungen werden schwieriger, Risiken bleiben bestehen oder verlagern sich. Wirksame Cybersecurity entsteht nicht durch maximale Abdeckung, sondern durch klare Priorisierung. Genau diese Priorisierung fordert NIS2 ein.
Cybersecurity wird zur Führungsaufgabe
Ein zentraler Aspekt der NIS2-Richtlinie ist die klare Adressierung von Geschäftsführung und Vorstand. Cybersecurity kann nicht mehr vollständig delegiert werden. Für Unternehmen bedeutet das: Entscheidungen über Cybersecurity sind unternehmerische Entscheidungen. Sie betreffen Risiko, Haftung und die Stabilität des Geschäfts. Es geht nicht darum, technische Details zu verstehen. Es geht darum, Risiken einzuordnen und fundierte Entscheidungen zu treffen: nachvollziehbar und belastbar.
Entscheidend ist nicht nur, was umgesetzt wird
Im Rahmen der NIS2-Anforderungen reicht es nicht aus, Maßnahmen umzusetzen. Entscheidend ist, ob diese Maßnahmen begründet sind und ob Entscheidungen nachvollziehbar getroffen wurden. Dokumentation wird damit Teil der Steuerung und nicht nur ein formaler Nachweis. Gleichzeitig rückt die Reaktionsfähigkeit in den Fokus. Ein Cyberangriff lässt sich nicht vollständig verhindern. Entscheidend ist, wie ein Unternehmen im Ernstfall handelt. Organisationen mit klaren Prozessen, definierten Zuständigkeiten und funktionierenden Meldewegen behalten die Kontrolle. Andere verlieren Zeit und damit Handlungsspielraum.
Sicherheit endet nicht im eigenen Unternehmen
Die NIS2-Richtlinie erweitert den Blick auf die Lieferkette. Unternehmen müssen verstehen, wo kritische Abhängigkeiten zu Dienstleistern und Partnern bestehen und wie sich daraus Risiken für den eigenen Betrieb ergeben. Das bedeutet nicht, alles kontrollieren zu müssen. Es bedeutet, die entscheidenden Abhängigkeiten zu erkennen und in die eigene Risikosteuerung einzubeziehen. Für viele Unternehmen ist genau dieser Punkt neu und gleichzeitig einer der wirkungsvollsten.
NIS2 ist kein Umsetzungsprojekt, sondern ein Strukturthema
Viele Unternehmen erfüllen bereits heute einzelne Anforderungen formal. Richtlinien sind definiert, Dokumentation ist vorhanden, Maßnahmen sind umgesetzt. Und dennoch zeigen Vorfälle, dass Organisationen im Ernstfall nicht ausreichend vorbereitet sind. Die NIS2-Richtlinie schafft diese Probleme nicht. Sie legt offen, wo Strukturen nicht tragen. Der sinnvolle Einstieg liegt deshalb nicht in weiteren Maßnahmen. Er liegt in der Klärung der eigenen Steuerung:
Welche Risiken sind für den Geschäftsbetrieb tatsächlich kritisch?
Wie werden diese Risiken priorisiert?
Wer trifft dazu Entscheidungen und auf welcher Grundlage?
Erst wenn diese Fragen beantwortet sind, wird die NIS2-Umsetzung im Unternehmen wirksam.
NIS2 ist ein Realitätscheck für Unternehmen
Die NIS2-Richtlinie erhöht nicht einfach den Umfang an Maßnahmen. Sie zeigt, wie belastbar die eigene Organisation wirklich ist. Ob Risiken verstanden werden. Ob Entscheidungen bewusst getroffen werden. Und ob Strukturen auch unter Druck funktionieren. Genau daran entscheidet sich, ob die NIS2-Umsetzung im Unternehmen wirkt oder nur formal erfüllt ist.
NIS2 aus juristischer Perspektive
In der aktuellen Folge von Cybersecurity Basement wird die NIS2-Richtlinie aus juristischer Sicht beleuchtet. Im Gespräch mit dem Juristen Thomas Kolb geht es um Haftung, Verantwortung und die praktischen Herausforderungen der NIS2-Umsetzung in Unternehmen.

Annika Gamerad
Event & Marketing Specialist
Published on 30.03.2026
