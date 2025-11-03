Binswangen (ots) -Mit der NIS-2-Richtlinie wird Cybersicherheit zur Chefsache: Schärfere Vorgaben, persönliche Haftung und hohe Bußgelder stellen Unternehmen und deren Geschäftsleitungen vor große Herausforderungen - selbst Dienstleister und Zulieferer sind betroffen. Wer jetzt zögert, riskiert kostspielige Fehler und gefährdet sein Unternehmen. Wie also gelingt eine schnelle, revisionssichere Umsetzung und wo lauern die größten Fallstricke?Kaum ein Tag vergeht ohne neue Berichte über Cyberangriffe, Datenlecks oder Betriebsunterbrechungen. Infrastrukturbetreiber, Produktionsunternehmen und Dienstleister geraten zunehmend ins Visier und mit ihnen auch deren Zulieferer. Die Folge: Unternehmen stehen unter wachsendem Compliance-Druck. Strengere EU-Vorgaben wie die NIS-2-Richtlinie bringen dabei tiefgreifende Umbrüche. Während viele aber weder wissen, ob sie betroffen sind, noch was konkret gefordert wird, bringen Versäumnisse unter Umständen empfindliche Konsequenzen mit sich. "Wer sich dem Thema NIS-2 zu spät oder halbherzig nähert, riskiert nicht nur Bußgelder und Imageschäden, sondern gefährdet sein gesamtes Geschäft", warnt Christian Schilling, Gründer und Geschäftsführer der ISMS-Beratung Getsec."Tatsächliche Sicherheit gewinnen Unternehmen nur, wenn sie schnell und strukturiert handeln: Mit einem systematischen Vorgehen und unabhängiger Expertise lassen sich die NIS-2-Anforderungen oft in wenigen Monaten revisionssicher umsetzen", ergänzt Christian Lorenz, Mitgründer und Geschäftsführer bei Getsec. Doch viele Betriebe aus kritischen Sektoren zeigen sich noch immer verunsichert: Angst vor Konzeptpapieren, unklare Fachsprache und fehlende Ressourcen führen überall zu gefährlicher Handlungsunfähigkeit. Statt komplizierter Einzellösungen braucht es daher klare Verantwortlichkeiten, standardisierte Prozesse und Schritt-für-Schritt-Checks. Wie Unternehmen ihre Sorgfaltspflicht dabei erfüllen und typische Fehler vermeiden, verraten Christian Schilling und Christian Lorenz von Getsec hier.Grundlagen klären: Wer ist betroffen, wer zuständig?Die NIS-2-Richtlinie betrifft weit mehr Unternehmen, als viele vermuten. Entscheidend sind sowohl die Branchenzugehörigkeit als auch die Größe des Unternehmens: Ab rund 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro gelten Betriebe als wesentlich und fallen damit unter die neuen Pflichten. Ein Selbstcheck, ob das Unternehmen direkt zur kritischen Infrastruktur zählt oder als Zulieferer tätig ist, bildet den ersten Schritt zur Compliance.Gleichzeitig muss die Verantwortung klar geregelt werden. Dabei trägt künftig die Geschäftsführung die persönliche Haftung. "NIS-2 verlangt, dass Entscheidungen zur Informationssicherheit auf Managementebene getroffen und nachvollziehbar dokumentiert werden", betont Christian Lorenz von Getsec. Daher ist auch die Bestellung einer verantwortlichen Person, etwa eines ISMS-Beauftragten, unerlässlich. "Nur wenn Zuständigkeiten eindeutig definiert sind, lässt sich das Risiko effektiv steuern", fügt Christian Schilling hinzu.Organisatorische und technische Hürden: Diese Anforderungen müssen betroffene Unternehmen erfüllenUm die NIS-2-Vorgaben zu erfüllen, sind organisatorische und technische Maßnahmen gleichermaßen erforderlich. Zunächst müssen Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) einführen, idealerweise nach ISO 27001. Es dient als strategisches Fundament für das gesamte Sicherheitsmanagement und verpflichtet zu einem strukturierten Risikomanagement mit regelmäßigen Analysen, dokumentierten Bewertungen und klaren Maßnahmenplänen. Ein kontinuierlicher Verbesserungsprozess stellt hierbei sicher, dass Risiken jährlich neu bewertet und interne Audits konsequent durchgeführt werden. "Ein wirksames ISMS ist letztendlich kein einmaliges Projekt, sondern ein dauerhaftes Steuerungsinstrument für Sicherheit", erläutert Christian Lorenz hierzu.Auf technischer Ebene sind vor allem Zugangs- und Zugriffskontrollen, Patch-Management und Mehrfaktor-Authentifizierung unerlässlich. Ebenso wichtig sind nachvollziehbare Backup- und Wiederherstellungsprozesse sowie physische Schutzmaßnahmen wie Zutrittskontrollen oder gesicherte Serverräume. "Viele Schwachstellen entstehen nicht durch fehlende Hightech-Lösungen, sondern durch Nachlässigkeit im Alltag - ein nicht installiertes Update oder ein unsicheres Passwort können fatale Folgen haben", warnt Christian Schilling von Getsec. Ein umfassender Schutz entsteht daher erst, wenn organisatorische Strukturen und technische Sicherheitsvorkehrungen ineinandergreifen.Melde- und Nachweispflichten: Was Unternehmen und ihre Geschäftsführung außerdem leisten müssenErgänzend dazu bringt die NIS-2-Richtlinie weitreichende Melde- und Nachweispflichten, die Unternehmen organisatorisch wie rechtlich fordern. Zentral ist ein funktionierendes Vorfallmanagement, das Sicherheitsvorfälle wie Cyberangriffe oder Datenlecks frühzeitig erkennt, dokumentiert und innerhalb festgelegter Fristen an die zuständigen Behörden meldet. Ebenso wichtig ist die Nachweisführung: Alle ergriffenen Sicherheitsmaßnahmen müssen nachvollziehbar dokumentiert und regelmäßig geprüft werden. Dazu zählen Reports, Prüfprotokolle und Schulungsnachweise der Geschäftsleitung."Cybersicherheit lässt sich künftig nicht mehr versprechen, sie muss belegt werden", betont Christian Lorenz. Genau dabei steht auch die Unternehmensleitung stärker in der Pflicht: Sie muss einen Schulungsnachweis im Bereich Cybersicherheit erbringen und trägt die persönliche Haftung, wenn Anforderungen nicht umgesetzt werden. "Die NIS-2 macht Informationssicherheit zur echten Führungsaufgabe - Verantwortung lässt sich nicht mehr einfach delegieren", fasst Christian Schilling von Getsec zusammen.Gängige Hürden und praktische Umsetzung: So werden Unternehmen den Anforderungen wirklich gerechtLetztendlich erfordert die Umsetzung der NIS-2-Richtlinie eine enge Zusammenarbeit aller Abteilungen - von der IT über die Personalabteilung bis hin zur Rechtsabteilung und Geschäftsführung. Cybersicherheit ist demnach längst keine isolierte IT-Frage mehr, sondern betrifft das gesamte Unternehmen. Auch Partner und Lieferanten müssen in die Sicherheitsstrategie eingebunden werden, denn Schwachstellen in der Supply Chain können erhebliche Risiken bergen. "Ein schwacher Punkt in der Lieferkette kann den besten Schutz im eigenen Haus zunichte machen", mahnt Christian Lorenz.Problematisch in der Umsetzung sind dabei häufig fehlende Ressourcen, komplexe Normtexte und enge gesetzliche Fristen. Besonders kleine und mittlere Unternehmen geraten hier unter Druck, da ihnen oft spezialisiertes Fachpersonal fehlt. "Viele Firmen unterschätzen den Aufwand und beginnen zu spät mit der Umsetzung - das kann teuer werden", betont Christian Schilling von Getsec. Praktische Ansätze schaffen jedoch Abhilfe: Eine frühzeitige Gap-Analyse, die schrittweise Einführung eines ISMS und die Einbindung externer Expertise sorgen für Tempo und Struktur. Regelmäßige Schulungen und Sensibilisierung aller Mitarbeiter sowie einfache Quick Wins - etwa konsequentes Patch-Management oder klar definierte Notfallkontakte - steigern das Sicherheitsniveau messbar und machen Unternehmen langfristig widerstandsfähiger.FazitDie NIS-2-Richtlinie entwickelt sich zum unumgänglichen Pflichtprogramm für tausende Unternehmen in Deutschland. Auch wenn die nationale Umsetzung noch im Gange ist, müssen Organisationen bereits jetzt handeln. Zu den zentralen Aufgaben zählen die Einführung eines Informationssicherheitsmanagementsystems (ISMS), ein strukturiertes Risikomanagement, die Etablierung klarer Meldeprozesse und die aktive Einbindung der Geschäftsführung. Wer rechtzeitig beginnt, schafft nicht nur Rechtssicherheit, sondern stärkt zugleich die eigene Widerstandsfähigkeit gegen Cyberangriffe und sichert langfristig die Wettbewerbsfähigkeit. 