NIS2 Richtlinie: Was Unternehmen jetzt tun müssen, um Konformität zu erreichen

Die NIS2 Richtlinie bringt weitreichende Änderungen für die Cybersicherheit in Unternehmen. Doch statt hektisch zu reagieren oder die neuen Anforderungen als reine Bürokratie abzutun, sollten Unternehmen das Thema strategisch angehen. Wer jetzt klug plant, kann bestehende Sicherheitsstrukturen nutzen, Mehraufwand vermeiden und sich langfristig besser aufstellen. Doch was bedeutet die Richtlinie konkret? Welche Unternehmen sind betroffen? Welche Maßnahmen sind erforderlich? Und wie lassen sich die Vorgaben in bestehende Standards wie ISO 27001 oder DSGVO integrieren? Ein Gespräch mit Daniele De Felice, Partner bei ewico und Experte für IT-Sicherheitsmanagement, liefert praxisnahe Antworten.

„NIS2 ist mehr als nur eine Regulierungsmaßnahme“ – Interview mit Daniele De Felice

Herr De Felice, die NIS2 Richtlinie sorgt für Diskussionen in Unternehmen. Warum ist sie aus Ihrer Sicht so wichtig?

Weil sie eine neue Denkweise im Sicherheitsmanagement erfordert. Es geht nicht nur um technische Schutzmaßnahmen, sondern um ein integriertes Sicherheitsmanagementsystem, das Unternehmen auf lange Sicht widerstandsfähiger macht.

Cybersicherheit ist heute ein geschäftskritischer Faktor – und keine reine IT-Angelegenheit. Unternehmen, die NIS2 als strategische Maßnahme verstehen, profitieren langfristig.

Was sind die wichtigsten neuen Anforderungen für Unternehmen?

Die NIS2 Richtlinie Anforderungen für Unternehmen sind umfassender als zuvor. Besonders drei Aspekte stechen hervor:

1. 1. Mehr Unternehmen sind betroffen: Neben Betreibern kritischer Infrastrukturen müssen jetzt auch viele mittelständische Unternehmen neue Vorgaben einhalten.
   2. Verbindliche Sicherheitsmaßnahmen: Unternehmen müssen Risikoanalysen, Meldepflichten und Vorfallmanagement stärker in ihre Prozesse integrieren.
   3. Haftung der Geschäftsleitung: Cybersicherheit wird zur Chefsache – das Management trägt direkte Verantwortung für die Einhaltung der Vorgaben.

NIS2 Compliance: Wer im Unternehmen betroffen ist

Wer muss sich mit der Umsetzung von NIS2 auseinandersetzen?

Die Verantwortung für die Umsetzung der NIS2 Richtlinie liegt keineswegs allein bei der IT-Abteilung, sondern erfordert eine enge Zusammenarbeit verschiedener Schlüsselrollen im Unternehmen.

Die Geschäftsführung und der Vorstand tragen die strategische Verantwortung und müssen sicherstellen, dass Cybersicherheit als integraler Bestandteil des Risikomanagements betrachtet wird. Sie treffen Entscheidungen über Investitionen, Prioritäten und langfristige Sicherheitsstrategien.

Die IT- und Sicherheitsverantwortlichen sind für die praktische Umsetzung der technischen und organisatorischen Maßnahmen zuständig. Sie definieren Schutzmechanismen, implementieren Sicherheitslösungen und sorgen für eine kontinuierliche Überwachung der Systeme.

Gleichzeitig spielt die Compliance- und Datenschutzabteilung eine entscheidende Rolle. Ihre Aufgabe besteht darin, die Anforderungen der NIS2 Richtlinie mit bestehenden Regularien wie ISO 27001 oder der DSGVO in Einklang zu bringen und sicherzustellen, dass gesetzliche Vorgaben eingehalten werden.

Doch Cybersicherheit endet nicht bei der IT und der Compliance-Abteilung. Auch Prozessmanager und Fachabteilungen müssen einbezogen werden, da sie dafür verantwortlich sind, Sicherheitsmaßnahmen in den täglichen Arbeitsablauf zu integrieren. Nur wenn Schutzmechanismen praktikabel sind und nicht als Hindernis wahrgenommen werden, lassen sie sich nachhaltig im Unternehmen verankern.

Eine erfolgreiche Umsetzung von NIS2 setzt daher voraus, dass alle beteiligten Rollen eng zusammenarbeiten und Sicherheitsstrategien nicht isoliert betrachtet werden, sondern als Teil der gesamten Unternehmensstruktur.

Welche typischen Herausforderungen gibt es in der Umsetzung?

Viele Unternehmen stellen sich derzeit sehr ähnliche Fragen, die substanziell sind und Berührungspunkte mit vielen anderen Themen im Unternehmen haben. Drei Fragen, die mir immer begegnen sind diese: Erstens - haben wir bereits genug getan? Das lässt sich mit einem Sicherheitscheck einfach überprüfen. So findet man heraus, ob die bestehenden Maßnahmen ausreichen oder nachgebessert werden muss. Zweitens beschäftigt viele Unternehmen der Wunsch, unnötige Bürokratie zu vermeiden – ein nachvollziehbarer Wunsch. Deshalb bin ich besonders von einem integrierten Ansatz überzeugt, weil sich so nicht nur Doppelarbeit, sondern auch Fehler und Inkonsistenzen vermeiden lassen. Zudem sorgt er oft für pragmatische Lösungen. Und zuletzt ist Akzeptanz für die neuen Vorgaben ein großes Thema. Hier ist Kommunikation entscheidend – der Aufwand ist dort gut investiert. Aber natürlich muss ich auch die Maßnahmen so gestalten, dass sie im Tagesgeschäft praktikabel bleibe.

NIS2 Beratung: Best Practices für eine erfolgreiche Umsetzung

Welche Best Practices haben sich bewährt, um NIS2 effizient umzusetzen?

Unternehmen, die die Umsetzung von NIS2 clever angehen, setzen auf eine Strategie, die bestehende Strukturen nutzt, klare Verantwortlichkeiten definiert und Sicherheitsprozesse sinnvoll in den Arbeitsalltag integriert. Wer bereits auf etablierte Standards wie ISO 27001 oder DSGVO-konforme Prozesse setzt, kann viele der neuen Vorgaben direkt übernehmen und damit den Anpassungsaufwand deutlich reduzieren.

Cybersicherheit sollte dabei nicht als isolierte Compliance-Aufgabe betrachtet werden, sondern als integraler Bestandteil der Unternehmensstrategie. Unternehmen, die Sicherheitsmanagement als Wettbewerbsvorteil begreifen, profitieren langfristig von mehr Resilienz und Vertrauen bei Kunden und Partnern.

Ein weiterer Erfolgsfaktor liegt in der regelmäßigen Überprüfung und Anpassung bestehender Sicherheitsmaßnahmen. Nur wer kontinuierlich Lücken identifiziert und Risiken aktiv steuert, kann ein wirklich effektives Schutzsystem aufrechterhalten. Dabei spielt auch die Einbindung der Mitarbeitenden eine zentrale Rolle. Schulungen und Sensibilisierungsmaßnahmen sorgen dafür, dass Sicherheit nicht als zusätzliche Belastung empfunden wird, sondern als Unterstützung für den reibungslosen Geschäftsablauf.

Entscheidend ist zudem eine pragmatische Herangehensweise: Maßnahmen sollten nicht nur auf dem Papier gut aussehen, sondern sich auch realistisch im Unternehmensalltag umsetzen lassen. Denn theoretische Konzepte allein bieten keinen Schutz – nur praxisnahe Lösungen, die sich in bestehende Prozesse einfügen, führen langfristig zum Erfolg.

NIS2 Checkliste für Unternehmensleitungen: Die ersten Schritte

Welche ersten Maßnahmen sollten Unternehmen jetzt ergreifen?

Eine strukturierte Herangehensweise ist der Schlüssel. Ich empfehle Unternehmensleitungen, sich die folgenden Fragen zu stellen:

• Sind wir von der NIS2 Richtlinie betroffen? (Branche, Unternehmensgröße, Kritikalität)
• Welche Sicherheitsmaßnahmen existieren bereits? (ISO 27001, DSGVO, interne Richtlinien)
• Gibt es klare Verantwortlichkeiten? Sind Aufgaben und Zuständigkeiten definiert?
• Haben wir ein funktionierendes Vorfallmanagement? Wie werden Cyberangriffe erkannt und gemeldet?
• Brauchen wir externe Unterstützung für eine Gap-Analyse oder die Umsetzung?

Und wenn Unternehmen feststellen, dass sie noch große Lücken haben?
Dann ist es wichtig, keine überstürzten Maßnahmen zu ergreifen, sondern gezielt zu planen. NIS2 ist kein Notfall, sondern eine Entwicklung, die man mit klarem Kopf angehen sollte.
Viele Unternehmen setzen auf externe Beratung, um den eigenen Status quo schnell zu bewerten und gezielte Schritte einzuleiten. Das spart langfristig Zeit und Kosten.

Fazit: NIS2 als Chance für nachhaltige Sicherheit nutzen

Die NIS2 Richtlinie ist nicht nur eine gesetzliche Vorgabe – sie bietet Unternehmen die Möglichkeit, Cybersicherheit langfristig als strategischen Vorteil zu nutzen.

Wer frühzeitig Maßnahmen ergreift, sorgt für mehr Resilienz, geringeren Aufwand und eine bessere Absicherung gegen Cyberrisiken.

Möchten Sie wissen, wie sich NIS2 in Ihrem Unternehmen sinnvoll umsetzen lässt?
Kontaktieren Sie uns für eine erste Einschätzung.