Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes stehen viele Organisationen vor der Herausforderung zu klären, ob und in welchem Umfang sie unter die neuen Vorgaben fallen. Pantelis Astenburg von Versa Networks weist dabei auf wesentliche Schwachstellen hin – insbesondere bei der Einordnung der eigenen Betroffenheit, der Umsetzung wirksamer Meldewege sowie in Sicherheitsumgebungen, die durch gewachsene und uneinheitliche Strukturen geprägt sind.
Nach langem Stillstand kommt nun spürbare Dynamik in die Umsetzung der NIS-2-Vorgaben. Nach einer Verzögerung von über zwölf Monaten hat der Bundestag das nationale Umsetzungsgesetz beschlossen. Ziel der zugrunde liegenden EU-Richtlinie zur Netzwerk- und Informationssicherheit ist es, europaweit verbindliche Mindestanforderungen für Cybersicherheit festzulegen und gleichzeitig die Widerstandsfähigkeit besonders schützenswerter Infrastrukturen nachhaltig zu erhöhen.
Nach aktuellen Einschätzungen fallen etwa 40.000 Unternehmen aus insgesamt 18 Branchen in den Anwendungsbereich der Regelung. Für sie bedeutet dies erheblichen Zeitdruck, da bestehende IT-Sicherheitskonzepte kurzfristig überprüft, weiterentwickelt und an neue regulatorische Anforderungen angepasst werden müssen. Der Handlungsbedarf ist daher unmittelbar und hoch. Unternehmen sind gut beraten, zeitnah konkrete Maßnahmen einzuleiten und die nächsten Schritte strukturiert vorzubereiten.
Geltungsprüfung: Fällt Ihr Unternehmen unter die NIS-2-Vorgaben?
Am Beginn jeder Auseinandersetzung mit NIS 2 steht die klare und belastbare Feststellung, ob das eigene Unternehmen überhaupt in den Anwendungsbereich der Regulierung fällt. Diese Prüfung ist mittlerweile deutlich komplexer als noch in frühen Entwurfsphasen angenommen. Der Kreis der betroffenen Organisationen dürfte spürbar größer ausfallen als die ursprünglich genannten rund 30.000 Einrichtungen, da künftig sämtliche unternehmerischen Tätigkeiten berücksichtigt werden müssen – mit Ausnahme eindeutig untergeordneter Geschäftsfelder.
Zur ersten Orientierung stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein offizielles Prüfverfahren zur Verfügung, das jedoch lediglich als Einstieg dient und keine individuelle Bewertung ersetzt. Maßgeblich für die Einordnung sind mehrere Faktoren: die Zuordnung zu einem der 18 definierten Wirtschaftssektoren, die Größe des Unternehmens sowie dessen jährlicher Umsatz.
Besondere Bedeutung kommt der Differenzierung zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen zu. Diese Unterscheidung hat praktische Konsequenzen: Zwar sind beide Gruppen verpflichtet, identische technische und organisatorische Sicherheitsmaßnahmen umzusetzen, jedoch unterliegen besonders wichtige Einrichtungen einer regelmäßigen behördlichen Aufsicht. Wichtige Einrichtungen werden hingegen nur bei konkretem Anlass kontrolliert. Unabhängig von der Einstufung sind alle betroffenen Organisationen verpflichtet, sich spätestens drei Monate nach ihrer Identifizierung offiziell zu registrieren. Diese Registrierung markiert den formalen Einstieg in den NIS-2-Compliance-Prozess und sollte keinesfalls aufgeschoben werden.
Reifegradanalyse: Wie gut sind Sie tatsächlich vorbereitet?
Ist die grundsätzliche Betroffenheit festgestellt, steht als nächster Schritt eine schonungslose Analyse des aktuellen Sicherheitsniveaus an. Ziel ist es, transparent zu erfassen, welche Anforderungen der NIS-2-Regulierung bereits erfüllt werden und in welchen Bereichen noch erheblicher Nachholbedarf besteht. Diese Bestandsaufnahme sollte systematisch erfolgen und sowohl bestehende technische Schutzmaßnahmen als auch organisatorische Prozesse und Verantwortlichkeiten einbeziehen.
Die NIS-2-Vorgaben verlangen ein strukturiertes Risikomanagement mit klar definierten Bausteinen. Dazu zählen unter anderem regelmäßige Risiko- und Bedrohungsanalysen, belastbare Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen, belastbare Notfall- und Wiederanlaufkonzepte im Sinne eines funktionierenden Business-Continuity-Managements sowie Maßnahmen zur Absicherung von Lieferketten. Ergänzend sind Sicherheitsanforderungen für Beschaffungs- und Entwicklungsprozesse sowie Verfahren zur kontinuierlichen Überprüfung der Wirksamkeit der eingesetzten Risikomanagementmaßnahmen umzusetzen.
Besonders herausfordernd sind die deutlich ausgeweiteten Meldepflichten. Sicherheitsrelevante Vorfälle müssen ohne Verzögerung an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden. Vorgesehen sind ein erster Kurzbericht innerhalb von 24 Stunden, ein ausführlicher Bericht spätestens nach 72 Stunden sowie ein abschließender Bericht innerhalb eines Monats. Der damit verbundene organisatorische Aufwand wird in vielen Unternehmen noch unterschätzt. Neben geeigneten technischen Werkzeugen sind vor allem klar geregelte interne Abläufe, definierte Eskalationsstufen und eindeutige Kommunikationswege entscheidend, um die Anforderungen fristgerecht und verlässlich erfüllen zu können.
Sicherheitsarchitektur neu denken: Konsolidierung als strategischer Wendepunkt
Die Umsetzung von NIS 2 ist mehr als eine reine Pflichtaufgabe – sie eröffnet Unternehmen die seltene Gelegenheit, ihre bestehende Sicherheitsarchitektur grundsätzlich zu hinterfragen und neu auszurichten. In vielen Organisationen ist die IT-Sicherheitslandschaft über Jahre hinweg gewachsen und dadurch zunehmend unübersichtlich geworden. Unterschiedliche Einzellösungen für Perimeter-Schutz, Endgeräteabsicherung, Cloud-Zugriffe, Web-Sicherheit oder Monitoring existieren oft nebeneinander, ohne sinnvoll miteinander verzahnt zu sein oder zentrale Transparenz zu bieten.
Diese heterogene Tool-Landschaft bringt erhebliche Nachteile mit sich: steigende Lizenz- und Betriebskosten, komplexe Administration, mangelnde Übersicht über Sicherheitsereignisse sowie Verzögerungen bei der Erkennung und Bewertung von Risiken. Hinzu kommt, dass isolierte Systeme kaum in der Lage sind, sicherheitsrelevante Informationen sinnvoll zu korrelieren – ein klarer Nachteil im Hinblick auf die Anforderungen der NIS-2-Regulierung.
An dieser Stelle gewinnt das Konzept Secure Access Service Edge (SASE) an strategischer Bedeutung. SASE vereint Netzwerk- und Sicherheitsfunktionen in einer zentralen, cloudbasierten Architektur und schafft damit genau die integrierte Sicht, die moderne Sicherheitskonzepte erfordern. Funktionen wie Zero-Trust-Zugriffsmodelle, Firewall-Services, Secure-Web-Gateways, Cloud-Access-Security-Broker, Data-Loss-Prevention und weitere Schutzmechanismen werden in einer einheitlichen Plattform zusammengeführt – konsistent steuerbar und standortunabhängig nutzbar.
Für Unternehmen bedeutet dieser Ansatz eine deutliche Vereinfachung bei der Umsetzung regulatorischer Vorgaben. Gleichzeitig steigt die operative Effizienz, da Sicherheitsrichtlinien zentral definiert, überwacht und angepasst werden können. Ein wesentlicher Mehrwert liegt in der durchgängigen Transparenz über Nutzer, Endgeräte, Anwendungen und Datenflüsse – unabhängig davon, ob diese im Büro, im Homeoffice oder in der Cloud stattfinden.
Auch zentrale Anforderungen der NIS 2 wie kontinuierliche Risikoanalysen, permanentes Monitoring und eine zuverlässige Erkennung von Sicherheitsvorfällen lassen sich in einer konsolidierten Architektur wesentlich effektiver realisieren. Wer im Zuge der NIS-2-Umsetzung ohnehin investieren muss, sollte daher bewusst auf integrierte, zukunftsfähige Sicherheitsplattformen setzen, anstatt bestehende Strukturen durch weitere isolierte Einzellösungen noch komplexer zu machen.
Führung und Steuerung: Cybersicherheit als Verantwortung der Unternehmensleitung
Ein zentraler, häufig noch zu wenig beachteter Punkt der NIS-2-Regulierung betrifft die direkte Verantwortung der obersten Führungsebene. Die neuen Vorgaben sehen ausdrücklich vor, dass Mitglieder der Geschäftsleitung nicht nur formell eingebunden sind, sondern aktiv an Entscheidungen zur Cybersicherheit mitwirken. Dazu gehört die Genehmigung von Sicherheitsmaßnahmen, die laufende Kontrolle ihrer Umsetzung sowie die Verpflichtung zu regelmäßigen Weiterbildungen im Bereich IT- und Informationssicherheit. Cybersicherheit wird damit verbindlich zur Managementaufgabe – mit konkreten haftungsrechtlichen Folgen bei Versäumnissen.
Vor diesem Hintergrund sind Unternehmen gefordert, tragfähige Governance-Modelle zu schaffen. Es muss eindeutig festgelegt sein, wer für Informationssicherheit verantwortlich ist, wie Entscheidungsprozesse strukturiert sind und auf welchem Weg sicherheitsrelevante Informationen regelmäßig an die Geschäftsführung berichtet werden. Transparente Eskalations- und Reporting-Strukturen sind hierbei unerlässlich.
Für viele Organisationen führt an der Einrichtung einer klar definierten Sicherheitsrolle kein Weg vorbei, etwa in Form eines Chief Information Security Officers oder einer vergleichbaren Funktion. Diese Position darf jedoch nicht rein symbolisch sein: Sie muss mit klaren Befugnissen, ausreichenden personellen und finanziellen Ressourcen sowie direktem Zugang zur Unternehmensleitung ausgestattet werden, um ihre Aufgaben wirksam erfüllen zu können.
Jetzt umsetzen statt abwarten
Mit dem Beschluss des NIS-2-Umsetzungsgesetzes ist die Phase des Abwartens endgültig vorbei. Was lange Zeit von Unsicherheit, politischen Verzögerungen und Interpretationsspielräumen geprägt war, ist nun verbindliche Realität. Für Unternehmen, die bislang darauf gesetzt haben, dass sich die Regulierung weiter verschiebt oder sie selbst nicht betroffen sein könnten, besteht kein Handlungsspielraum mehr. Die NIS-2 ist heute geltendes Recht – und Verstöße können spürbare rechtliche, finanzielle und organisatorische Folgen nach sich ziehen.
Gleichzeitig eröffnet die neue Gesetzeslage auch eine konstruktive Perspektive. Organisationen, die die Umsetzung nicht als reine Pflichtübung, sondern als strategisches Projekt verstehen, können daraus nachhaltigen Mehrwert generieren. Die gezielte Modernisierung von Sicherheitsprozessen, Strukturen und Technologien schafft Transparenz, reduziert Komplexität und erhöht die Widerstandsfähigkeit gegenüber Cyberrisiken.
Insbesondere der Wechsel hin zu konsolidierten, integrierten Sicherheitsarchitekturen bietet die Möglichkeit, regulatorische Anforderungen effizient zu erfüllen und gleichzeitig operative Abläufe zu verbessern. Plattformbasierte Ansätze wie Secure Access Service Edge erleichtern nicht nur die Einhaltung der NIS-2-Vorgaben, sondern legen auch den Grundstein für eine flexible, skalierbare und zukunftssichere IT-Sicherheitsstrategie. Richtig umgesetzt, kann die NIS-2 damit vom vermeintlichen Kostenblock zu einem Hebel für Effizienzgewinne und langfristige Einsparungen werden.