Die NIS-2-Richtlinie verfolgt das Ziel, ein einheitlich hohes Schutzniveau der Cybersicherheit im europäischen Binnenmarkt zu etablieren. In Deutschland wird dieses Ziel durch das Umsetzungsgesetz (NIS2UmsuCG) konkretisiert, das für besonders wichtige und wichtige Einrichtungen gilt. Die Erfassung der betroffenen Unternehmen erfolgt dabei auch mithilfe von Schwellenwerten, die sich primär an der Zahl der Beschäftigten sowie am Umsatz oder an der Bilanzsumme orientieren. Auf diese Weise soll sichergestellt werden, dass alle Unternehmen erfasst werden, die für grundlegende gesellschaftliche und wirtschaftliche Funktionen von Bedeutung sind und daher besonderen IT-Sicherheitsanforderungen unterliegen. Nach aktuellen Schätzungen des Bundesministeriums des Innern und für Heimat (BMI) werden in Deutschland etwa 30.000 Unternehmen von den neuen Regelungen betroffen sein – darunter erstmals auch zahlreiche kleine und mittlere Betriebe, beispielsweise aus den Bereichen Lebensmittelproduktion, Transportwesen oder Gesundheitsversorgung.
Gemäß der NIS-2-Richtlinie müssen Unternehmen umfangreiche Risikomanagementmaßnahmen umsetzen, die sich auf alle Unternehmensbereiche erstrecken. Das ist ein wichtiger Unterschied zu bisherigen Regelungen, bei denen sich Anforderungen beispielsweise im Rahmen des BSIG oder der BSI-KRITIS-Verordnung lediglich auf einzelne Anlagen kritischer Infrastruktur bezogen. Zusätzlich sieht die Richtlinie Registrierungspflichten bei den national zuständigen Behörden sowie gestufte Meldepflichten vor, falls es zu erheblichen Sicherheitsvorfällen kommt, die sich auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten auswirken. Erstmals betont die Richtlinie zudem die persönliche Verantwortlichkeit der Geschäftsleitung für die Umsetzung der geforderten Sicherheitsmaßnahmen.
Zur nationalen Umsetzung hat die Bundesregierung das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vorgelegt, mit dem vor allem die gesetzliche Grundlage für das Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Gesetz (BSIG) überarbeitet werden soll. Mehrere Anhörungen mit Sachverständigen und Experten haben allerdings gezeigt, dass es noch an vielen Stellen Nachbesserung des Gesetzentwurfs gibt. Besonders strittig sind Ausnahmeregelungen für staatliche Verwaltungen: Kritische Stimmen bemängeln, dass eine solche Privilegierung öffentlicher Stellen die staatliche Vorbildfunktion untergrabe und kein einheitliches Sicherheitsniveau sichere. Zudem wird mehrfach gefordert, das BSI als nationale Cybersicherheitsbehörde zu stärken, was zugleich heißt, dessen Aufgaben, Befugnisse und personelle Ausstattung genauer zu definieren.
Für europaweit agierende Unternehmen ist eine einheitliche Rechtsdurchsetzung in den Mitgliedstaaten besonders wichtig. Allerdings befürchten Branchenvertreter, dass die Richtlinie in verschiedenen EU-Ländern unterschiedlich umgesetzt wird, wodurch sich für Unternehmen ein erhöhter administrativer Aufwand ergibt. Aus Sicht vieler Sachverständiger wird so eine effektive Reaktion auf Cyberangriffe erschwert. Hinzu kommen datenschutzrechtliche Fragen, die in den Anhörungen ebenfalls eine zentrale Rolle spielten. Da Cyberangriffe häufig auch personenbezogene Daten betreffen, müssen datenschutzrechtliche Vorgaben berücksichtigt werden, etwa bei Meldepflichten und in der Zusammenarbeit mit Behörden. Einige Experten halten die bisherigen Regelungen für potenziell unionsrechtswidrig, weil sie den Datenschutz nicht vollständig beachten.
Bereits Mitte Oktober hätte die Richtlinie in nationales Recht umgesetzt werden müssen. Aufgrund der Verzögerungen, die sich im Gesetzgebungsverfahren ergeben haben, hat die EU-Kommission bereits mehrere Vertragsverletzungsverfahren gegen Mitgliedstaaten eingeleitet, die die Richtlinie nicht fristgerecht in nationales Recht überführt haben. Auch Deutschland wurde aufgefordert, die Umsetzung zu beschleunigen. Zwar wird derzeit nicht mit unmittelbaren finanziellen Konsequenzen gerechnet, da die Bundesregierung signalisiert hat, die Richtlinie umzusetzen, doch wird deutlich, dass die EU-Kommission zunehmend Druck ausübt. Indessen steigt die Zahl von Cyberangriffen laut dem aktuellen „Bundeslagebild Cyberkriminalität“ erneut an; die Verluste für Unternehmen in Deutschland belaufen sich nach Schätzungen des Bitkom auf rund 150 Milliarden Euro jährlich.
Dass der Bundesrat das Gesetz nahezu ohne Debatte durchgewunken und sämtliche Ausschussempfehlungen aus den Vorberatungen stumm übernommen hat, erhöht aus Sicht vieler Beobachter die Unsicherheit. So fehlen immer noch klare Aussagen zu Übergangsfristen und speziellen Regelungen etwa für Krankenhäuser. Manche Branchenvertreter kritisieren, dass die Bundesregierung die Dringlichkeit von Cybersicherheitsfragen grundsätzlich unterschätze, während die Cyberkriminalität weiter zunimmt und zunehmend raffinierte Methoden einsetzt.
Erschwerend kommt hinzu, dass die Koalition Ende des Jahres aufgekündigt wurde und im Februar 2025 Neuwahlen anstehen. Ob eine neu gewählte Regierung den aktuellen Gesetzentwurf übernimmt oder einen völlig anderen Ansatz verfolgt, ist offen. Für Unternehmen ist dies besonders problematisch, da Investitionen in Sicherheitssysteme unter Umständen aufgeschoben werden, solange nicht klar ist, welche genauen Anforderungen wann gelten. Dennoch sollten Unternehmen angesichts der wachsenden Bedrohungslage nicht zuwarten, sondern bereits jetzt ihre Cybersicherheitsmaßnahmen stärken. Das bedeutet, Risikomanagementprozesse einzuführen oder zu professionalisieren und klare Strukturen für den Ernstfall zu etablieren, etwa durch Notfallpläne und ein funktionierendes Vorfallmanagement. Viele Attacken sind auf menschliche Fehler zurückzuführen, daher zählen Schulungen zur Sensibilisierung der Mitarbeitenden und etablierte Melde- und Kommunikationswege zu den wichtigsten Schritten, um Schadensfälle zu verhindern oder zumindest schnell zu reagieren.
Dennoch bleibt es eine große Herausforderung, ein einheitliches Schutzniveau zu erreichen. Zwar legen die Vorgaben der NIS-2-Richtlinie einen rechtlich bindenden Rahmen fest, der so weitgehend ist wie nie zuvor. Doch ohne zügige Rechtsdurchsetzung lassen sich die Ziele nur schwer verwirklichen. Die kontrovers diskutierten Ausnahmeregelungen für Behörden und die unklare Rolle des BSI sind ebenso zu klären wie offene Fragen beim Datenschutz. Auch die geforderte Harmonisierung in den Mitgliedstaaten wird bislang nicht konsequent genug betrieben, was die Position der deutschen Wirtschaft weiter verunsichert. Dass einige Unternehmen gar nicht wissen, dass sie künftig reguliert sind, macht deutlich, dass eine aktive Informationspolitik dringend notwendig wäre.
Unter dem Strich wird die NIS-2-Richtlinie künftig eine sehr breite Unternehmenslandschaft erfassen und hohe Anforderungen an IT-Sicherheit, Meldepflichten und Haftung stellen. Zwar ist noch nicht absehbar, in welcher Form das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz endgültig in Kraft treten wird, doch dürfte die Verzögerung in Verbindung mit möglichen Änderungen nach den Neuwahlen weiter für Ungewissheit sorgen. Angesichts der zunehmend komplexen Cyberbedrohungen empfiehlt es sich für Unternehmen, jetzt zu handeln, statt auf klarere Vorschriften aus Berlin zu warten. So lässt sich die eigene Resilienz erhöhen, und man verschafft sich zugleich einen Vorsprung, wenn die neuen Vorgaben schließlich in Kraft treten. Damit unterstreichen die Entwicklungen rund um NIS-2 letztlich, dass Cybersicherheit längst zur existenziellen Aufgabe geworden ist. Wer sich rechtzeitig vorbereitet, kann dem steigenden Risiko besser begegnen, zukünftige Compliance-Anforderungen leichter erfüllen und eine verlässliche Basis für modernes Wirtschaften schaffen.