Tim Lipphardt
Head of Consulting
NIS2 ist längst Pflicht: Warum du jetzt handeln solltest
Die Uhr läuft schon
Das NIS2 Umsetzungsgesetz gilt in Deutschland seit dem 6. Dezember 2025, ohne Schonfrist.
Vielleicht bist du dabei
Rund 29.500 Unternehmen aus 18 Sektoren sind betroffen, viele ahnen es nicht mal.
Es geht ans eigene Geld
Bußgelder bis zu 10 Millionen Euro und persönliche Haftung der Geschäftsleitung bis ins Privatvermögen.
Status quo
Wo wir wirklich stehen: Das Gesetz gilt, viele Firmen schlafen noch
Kennst du das Gefühl, wenn eine Deadline nicht mehr am Horizont steht, sondern schon lange hinter dir liegt? Bei NIS2 ist genau das passiert. Viele Geschäftsführer denken immer noch, sie hätten Zeit.
Dabei gilt das Gesetz in Deutschland bereits seit dem 6. Dezember 2025, ganz ohne Übergangsfrist. Die Registrierungsfrist beim BSI ist im März 2026 abgelaufen. Kurz gesagt: NIS2 kommt nicht, NIS2 ist schon da. Und die Geschäftsführung haftet persönlich dafür.
Was die Zahlen sagen
Das Gesetz gilt, aber gehandelt wird kaum
Man sollte meinen, ein geltendes Gesetz mit Millionenstrafen sorgt für Bewegung. Die Realität sieht anders aus. Eine aktuelle Reifegrad-Studie zeigt, dass 57,7 Prozent der Unternehmen die Anforderungen von NIS2 nicht erfüllen und keinen ausreichenden Schutz haben.
53 Prozent haben bisher nicht geprüft, ob sie überhaupt betroffen sind, und laut Cyber Security Report 2026 unterschätzen 48 Prozent ihre regulatorische Betroffenheit.
Besonders spannend wird es bei der Selbsteinschätzung. 71 Prozent halten sich für gut vorbereitet, aber nur rund 30 Prozent haben einen vollständigen IT-Notfallplan. Diese Lücke zwischen Gefühl und Wirklichkeit ist das eigentliche Risiko. Man kann eben nicht umsetzen, was man gar nicht auf dem Schirm hat.
Blick über die Grenze
Der Blick nach Österreich: weiter, obwohl das Gesetz noch nicht scharf ist
Jetzt wird es interessant, und zwar auf eine Art, die man so nicht erwartet. Wir betreuen Kunden in Österreich, und die sind in der praktischen Umsetzung deutlich weiter als viele deutsche Unternehmen. Das Kuriose daran: In Österreich gilt das nationale NIS2 Gesetz noch gar nicht.
Das NISG 2026 wurde erst am 23. Dezember 2025 kundgemacht und tritt erst am 1. Oktober 2026 in Kraft. Österreich hatte die EU-Frist im Oktober 2024 sogar gerissen und sich ein Vertragsverletzungsverfahren eingehandelt. Auf dem Papier hinkt also Österreich hinterher, nicht Deutschland.
Und trotzdem handeln unsere österreichischen Kunden früher. Sie haben ihre Betroffenheit geprüft, Risikomanagement aufgesetzt und die Lieferketten im Blick, bevor der Gesetzgeber überhaupt den Startschuss gegeben hat. Sie behandeln Cybersicherheit als Geschäftsrisiko und nicht als lästige Aufgabe zum Aussitzen.
In Deutschland gilt das Gesetz seit über einem halben Jahr, und trotzdem passiert vielerorts wenig. Der Unterschied liegt nicht im Gesetzestext, sondern in der Haltung.
Bin ich gemeint?
Bin ich überhaupt von NIS2 betroffen?
Bevor du dich in Maßnahmen stürzt, klär die Grundfrage. NIS2 greift grundsätzlich ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz, sofern dein Unternehmen in einen regulierten Sektor fällt. Dazu zählen etwa Logistik, Maschinenbau, Lebensmittelproduktion, Pharma, digitale Dienste oder Energie.
Das Gesetz unterscheidet dabei zwischen besonders wichtigen und wichtigen Einrichtungen, die sich vor allem bei Aufsicht und Bußgeldrahmen unterscheiden.
Und jetzt kommt der Punkt, den viele übersehen. Selbst wenn dein Unternehmen unter den Schwellen liegt, kann NIS2 dich über die Lieferkette treffen. Betroffene Unternehmen müssen nämlich ihre Zulieferer auf Sicherheit verpflichten. Ein Beispiel: Stell dir vor, du bedienst einen großen Kunden im regulierten Sektor. Der reicht die Anforderungen einfach an dich weiter, und über kurz oder lang stehen Sicherheitsklauseln in deinem Vertrag, ob du willst oder nicht.
Die Anforderungen
Was NIS2 konkret verlangt
Die gute Nachricht vorweg: NIS2 schreibt keine bestimmte Zertifizierung vor. Das Gesetz verlangt geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen nach dem Stand der Technik. Im Kern geht es um vier Dinge.
Wer im Ernstfall erst anfängt, Prozesse zu suchen, verliert die engen Meldefristen sofort. Deshalb lohnt es sich, diese Abläufe vorher einmal durchzuspielen.
Chefsache
Die persönliche Haftung der Geschäftsführung
Das ist der Punkt, an dem NIS2 vom IT-Thema zum Vorstandsthema wird. Nach § 38 BSIG ist die Geschäftsleitung persönlich verantwortlich, und diese Verantwortung lässt sich nicht vollständig delegieren. Sie muss die Risikomanagementmaßnahmen aktiv und dokumentiert billigen, ihre Umsetzung überwachen und selbst genug Fachkenntnis mitbringen, um Cyberrisiken beurteilen zu können.
Wer diese Pflichten verletzt, haftet persönlich. Das Unternehmen zahlt zwar zunächst das Bußgeld, kann sich das Geld anschließend aber im Regress bei der Geschäftsführung zurückholen. Und dieser Regress reicht bis ins Privatvermögen. Cybersicherheit ist damit endgültig keine Frage mehr, die man dem Systemadministrator allein überlässt.
Unsicher, wie stark dich NIS2 trifft?
Lass uns in einem unverbindlichen Erstgespräch klären, wie stark dein Unternehmen betroffen ist und wo die größten Lücken liegen.
Handlungsplan
Was jetzt zu tun ist
Wenn du merkst, dass bei dir noch Lücken sind, ist das kein Grund zur Panik, aber ein klarer Grund zum Handeln. Vier Schritte bringen dich in die richtige Richtung.
Technisch zahlen viele NIS2 Anforderungen auf Konzepte ein, die wir seit Jahren begleiten. Ein sauberes Berechtigungsmanagement über Identity Governance und Administration gehört genauso dazu wie die Absicherung privilegierter Zugänge über Privileged Access Management und ein grundsätzlich höheres Sicherheitsniveau über eine Zero Trust Architektur. NIS2 ist damit kein Fremdkörper, sondern der regulatorische Anlass, Dinge anzugehen, die ohnehin sinnvoll sind.
Unser Take
Unser Take bei amiconsult
Die meisten Unternehmen fangen bei NIS2 nicht bei Null an. Meistens sind die Bausteine schon da, sie sind nur nicht dokumentiert, nicht getestet oder nicht miteinander verzahnt. Genau da setzen wir an. Wir prüfen deinen Reifegrad, zeigen dir schwarz auf weiß, wo du stehst, und bringen dich strukturiert in die Umsetzung, ohne dass du dein Tagesgeschäft anhalten musst.
Unsere Erfahrung aus Österreich hilft dabei, denn wir wissen aus der Praxis, welche Schritte wirklich zählen und welche man sich sparen kann.
Fazit
Warte nicht, bis das BSI anklopft
NIS2 ist keine Zukunftsmusik und keine Empfehlung. Es ist geltendes Recht, die Fristen laufen, und die Verantwortung liegt bei der Geschäftsführung. Die österreichischen Kollegen zeigen, dass frühes Handeln machbar ist. Jetzt bist du dran.
Lass uns in einem unverbindlichen Erstgespräch klären, wie stark dein Unternehmen betroffen ist und wo die größten Lücken liegen. Schreib uns eine Nachricht, um den ersten Schritt zur NIS2 Umsetzung machen.