Bis zum 17. Oktober 2024 hätte Deutschland NIS2 umsetzen müssen – und hat die Frist gerissen. Warum betroffene Unternehmen trotzdem jetzt handeln sollten.
Eigentlich musste Deutschland die EU-Richtlinie NIS2 bis zum 17. Oktober 2024 in nationales Recht gießen – das Gesetz verzögerte sich aber erheblich. Für betroffene Unternehmen heißt das nicht abwarten: Die Anforderungen an Risikomanagement, Meldepflichten und Lieferkette stehen fest. Wer jetzt vorbereitet, vermeidet später Hektik und Haftung.
NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Die Mitgliedstaaten mussten sie eigentlich bis zum 17. Oktober 2024 in nationales Recht überführen. Deutschland hat diese Frist deutlich gerissen – das deutsche Umsetzungsgesetz (NIS2UmsuCG) verzögerte sich durch politische Prozesse erheblich.
Das hat zu einer verbreiteten, aber gefährlichen Annahme geführt: "Solange das Gesetz nicht steht, muss ich nichts tun." Das ist ein Trugschluss. Die inhaltlichen Anforderungen aus der EU-Richtlinie sind seit Langem bekannt und ändern sich durch die Verzögerung kaum.
Klar ist auch: NIS2 kommt. Die Frage ist nicht ob, sondern wann – und ob Sie dann vorbereitet sind oder unter Zeitdruck geraten.
NIS2 weitet den Kreis der betroffenen Unternehmen stark aus – auf rund 29.000 bis 30.000 Betriebe in Deutschland. Betroffen sind "wesentliche" und "wichtige" Einrichtungen in 18 Sektoren, von Energie und Gesundheit über Logistik und Lebensmittel bis zu Teilen der verarbeitenden Industrie.
Als grobe Orientierung gilt häufig die Größe: ab etwa 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in einem der genannten Sektoren. Aber Achtung: Auch kleinere Betriebe können über die Lieferkette indirekt betroffen sein, wenn größere Kunden NIS2-Nachweise verlangen.
Im Zweifel lohnt eine ehrliche Einordnung – lieber jetzt prüfen als später überrascht werden.
Im Kern verlangt NIS2 ein angemessenes Risikomanagement für die IT-Sicherheit. Dazu zählen unter anderem:
Gerade der letzte Punkt macht NIS2 zur Chefsache – das Thema lässt sich nicht vollständig in die IT-Abteilung delegieren.
Sicherheit baut man nicht über Nacht auf. Risikoanalyse, Konzepte, technische Umsetzung und gelebte Prozesse brauchen Zeit – realistisch mehrere Monate. Wer erst startet, wenn das Gesetz in Kraft ist, gerät genau in die Hektik, die teuer und fehleranfällig ist.
Der bessere Weg: Die Verzögerung als Geschenk an Zeit begreifen. Vieles, was NIS2 verlangt, ist ohnehin gute Praxis und schützt Sie unabhängig vom Gesetz vor Cyberangriffen. Sie investieren also nicht in Bürokratie, sondern in echte Widerstandsfähigkeit.
Einen strukturierten Einstieg bietet unser Whitepaper „NIS2 in 90 Tagen".
Wir machen NIS2 greifbar – ohne Paragrafenangst. Im ersten Schritt klären wir gemeinsam, ob und wie Sie betroffen sind. Dann nehmen wir eine ehrliche Bestandsaufnahme vor und zeigen, wo Lücken klaffen.
Daraus wird ein priorisierter Fahrplan: erst das Wichtigste, dann der Rest. Wie das in der Praxis aussieht, zeigt unsere Referenz zum NIS2-konformen IT-Betrieb. Auf Wunsch übernehmen wir die Umsetzung und den laufenden Betrieb – aus einer Hand.
Sie wissen nicht, ob NIS2 Sie betrifft? Lassen Sie uns das in einem unverbindlichen Gespräch klären.
Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.
Alle Beiträge dieses Autors →FAQ
Kurz und konkret beantwortet.
Die EU-Frist zur Umsetzung in nationales Recht lief am 17. Oktober 2024 ab. Deutschland hat diese Frist deutlich überschritten; das Umsetzungsgesetz verzögerte sich durch politische Prozesse erheblich.
Ja. Die inhaltlichen Anforderungen aus der EU-Richtlinie sind bekannt und stabil. Da Aufbau von Risikomanagement und Prozessen mehrere Monate dauert, ist frühes Handeln der sicherere Weg.
Betroffen sind wesentliche und wichtige Einrichtungen in 18 Sektoren – in Deutschland rund 29.000 bis 30.000 Unternehmen. Als Orientierung gilt oft ab etwa 50 Beschäftigten oder 10 Mio. Euro Umsatz; auch kleinere Betriebe können über die Lieferkette betroffen sein.
Ja. NIS2 weist der Geschäftsführung ausdrücklich Verantwortung für das Cybersicherheits-Risikomanagement zu und sieht eine persönliche Haftung vor. Das Thema ist damit Chefsache und nicht allein an die IT delegierbar.
Fragen zu Ihrem Projekt?
Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
