NIS-2 macht Cybersecurity zur Führungsaufgabe

Digitale Geschäftsmodelle machen Unternehmen heute in hohem Maße abhängig von stabilen Systemen und verlässlichen Datenflüssen. IT-Sicherheit betrifft deshalb nicht mehr nur die Technik, sondern den gesamten Geschäftsbetrieb. Genau hier setzt NIS-2 an: Die Richtlinie verlangt nicht nur Schutzmaßnahmen, sondern eine aktive Steuerung von Risiken auf Leitungsebene.

Für Geschäftsführungen bedeutet das einen klaren Perspektivwechsel. Cybersecurity kann nicht mehr delegiert werden, sondern muss aktiv verstanden, bewertet und verantwortet werden.

NIS-2 zeigt: Verantwortung endet nicht bei der IT

Die Anforderungen von NIS-2 gehen deutlich über technische Maßnahmen hinaus. Gefordert werden unter anderem strukturiertes Risikomanagement, Incident-Management, dokumentierte Prozesse, Maßnahmen entlang der Lieferkette sowie klar definierte Zuständigkeiten.

Das hat direkte Auswirkungen auf die Unternehmensführung. Die Geschäftsleitung muss nachvollziehen können, welche Risiken bestehen, wie das Unternehmen abgesichert ist, welche Prozesse im Ernstfall greifen und wo noch Lücken bestehen. Genau deshalb sieht das BSI auch eine Schulung der Geschäftsleitung vor, damit Risiken überhaupt bewertet und Entscheidungen wirksam getroffen werden können.

Wer Cybersecurity weiterhin ausschließlich technisch denkt, unterschätzt das eigentliche Risiko. Sicherheitsprobleme entstehen selten durch fehlende Tools, sondern durch fehlende Priorisierung, unklare Verantwortlichkeiten und mangelnde Integration in die Unternehmenssteuerung.

Gerade KMU sind häufiger betroffen als gedacht

Ein häufiger Irrtum ist, dass NIS-2 nur große Unternehmen oder kritische Infrastrukturen betrifft. Tatsächlich umfasst die Richtlinie deutlich mehr Organisationen.

In Deutschland betrifft NIS-2 schätzungsweise rund 30.000 Unternehmen. Dazu zählen auch mittelständische Unternehmen, die bestimmte Größenkriterien erfüllen, etwa ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in definierten Sektoren.

Viele Unternehmen befinden sich in einer Grauzone. Sie könnten betroffen sein, haben dies aber nicht eindeutig geprüft. Genau darin liegt ein Risiko. Denn fehlende Einordnung ist selbst bereits ein Managementproblem.

Die aktuelle Lage zeigt deutlichen Handlungsbedarf

Wie groß die Lücke zwischen regulatorischer Pflicht und tatsächlicher Umsetzung ist, zeigen aktuelle Zahlen deutlich. Zum Ende der Registrierungsfrist im März 2026 hatten sich deutlich weniger Organisationen registriert als ursprünglich erwartet.

Ein erheblicher Teil der potenziell betroffenen Unternehmen hat sich also entweder noch nicht eingeordnet oder notwendige Schritte nicht umgesetzt. Das ist kein Randphänomen, sondern ein klares Signal dafür, dass Cybersecurity in vielen Organisationen noch unterschätzt wird.

Für Geschäftsführung ist Nichtstun die größte Schwachstelle

Viele Geschäftsführungen gehen noch immer davon aus, dass sie nicht direkt betroffen sind oder ausreichend Zeit bleibt. Diese Haltung ist riskant.

NIS-2 verpflichtet Unternehmen bereits jetzt, ihre Betroffenheit zu prüfen, Sicherheitsstrukturen aufzubauen und Maßnahmen umzusetzen. Verstöße können erhebliche Konsequenzen haben, von Bußgeldern bis hin zu persönlicher Verantwortung.

Selbst Unternehmen, die am Ende nicht unter NIS-2 fallen, müssen ihre Einordnung nachvollziehbar dokumentieren. Wer im Ernstfall nicht erklären kann, warum keine Maßnahmen ergriffen wurden, hat kein technisches Problem, sondern ein Governance-Problem.

Fazit: NIS-2 verankert Cybersecurity im Management

NIS-2 macht deutlich, was sich in der Praxis längst abzeichnet. Cybersecurity ist kein IT-Thema mehr, sondern eine Führungsaufgabe.

Unternehmen, die das Thema aktiv auf Managementebene verankern, schaffen Transparenz, klare Zuständigkeiten und belastbare Entscheidungsgrundlagen. Sie erfüllen nicht nur regulatorische Anforderungen, sondern stärken ihre Widerstandsfähigkeit nachhaltig.