Nach Angaben von Bundesregierung und BSI sind rund 30.000 Unternehmen und Einrichtungen adressiert. Für IT-Teams, Geschäftsleitungen und Behörden heißt das: klarere Pflichten, feste Meldefristen, mehr Verbindlichkeit im Alltag. NIS2 holt viele bisher unregulierte Akteure an Bord. Wer als „wichtige“ oder „besonders wichtige“ Einrichtung gilt, muss Risiken systematisch managen, Lieferketten prüfen, Zugänge per Mehrfaktor-Login absichern, Netze segmentieren, Back-ups testen und Notfallübungen durchführen. Die Meldepflicht folgt einem festen Takt: innerhalb von 24 Stunden eine Frühwarnung, nach 72 Stunden ein Lagebericht, nach einem Monat ein Abschlussbericht. Diese Routine ersetzt Hektik durch Handwerk und macht Vorfälle vergleichbar. Entscheidend ist, dass Technik, Prozesse und Menschen zusammenspielen: klare Rollen, trainierte Abläufe, geübte Kommunikation.

Die Verantwortung sitzt oben. Vorstände und Geschäftsführer müssen Ziele setzen, Fortschritte prüfen, sich fortbilden und Ressourcen bereitstellen. Wer bremst, riskiert Bußgelder im Millionenbereich oder prozentual am Umsatz. Neu ist auch die Registrierungspflicht: Wer unter NIS2 fällt, muss sich fristgerecht bei der zuständigen Behörde melden. Weil NIS2 sich an Standards wie ISO 27001 und IT-Grundschutz orientiert, können viele Unternehmen auf vorhandene Prozesse und Nachweise aufbauen. Politisch ist Tempo gefragt. Deutschland hat die EU-Frist vom 17. Oktober 2024 verfehlt; das Parlament berät nun den Regierungsentwurf, flankiert vom KRITIS-Dachgesetz. Ein Vertragsverletzungsverfahren der EU läuft. Unternehmen sollten das nicht als Warteschleife lesen. Wer jetzt Betroffenheit prüft, Rollen klärt und Meldeketten testet, verschafft sich Sicherheit im Alltag. „Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein“, sagt Bitkom-Präsident Ralf Wintergerst. Damit die Regulierung trägt, braucht es aber auch leistungsfähige Aufsicht, praktikable Vorgaben und eine realistische Übergangszeit.

Entscheidend ist, dass Technik, Prozesse und Menschen zusammenspielen: klare Rollen, trainierte Abläufe, geübte Kommunikation.

Auch das BSI drückt aufs Gas. Präsidentin Claudia Plattner mahnt, bei der Umsetzung sei „jetzt wirklich Tempo gefordert“, damit Pflichten greifen und Unternehmen Planungssicherheit erhalten. Dass Deutschland die Frist gerissen hat, bleibt ein Makel, ändert aber nichts am Kurs. Der Kabinettsbeschluss vom 30. Juli 2025 setzt das Verfahren fort; zugleich werden für die Bundesverwaltung einheitliche Standards festgelegt. Für Firmen gilt: nicht warten, sondern priorisieren, dokumentieren, üben. Für die Praxis hilft ein Bild: NIS2 ist Brandschutz fürs Netz. Feuerlöscher, Türen, Übungen – vieles wirkt banal, rettet aber im Ernstfall den Betrieb. Wer Angriffe meldet statt vertuscht, lernt schneller, erhält Unterstützung und schützt andere. Wer Vorstand, Einkauf, OT und IT an einen Tisch bringt, vermeidet Reibungsverluste. Wer Lieferanten prüft, reduziert Kettenreaktionen. Und wer Back-ups nicht nur hat, sondern testet, gewinnt Zeit, wenn sie am wertvollsten ist.

Unterm Strich ist NIS2 weniger Drohkulisse als Chance. Die Richtlinie zwingt dazu, Sicherheitsaufgaben zu entflechten, Verantwortlichkeiten zu klären und Routinen zu üben. Das kostet, aber es zahlt ein: weniger Stillstand, mehr Vertrauen, bessere Datenlage. Wer früh anfängt, kontrolliert den Aufwand. Wer wartet, zahlt mit Zinsen.

NIS2 ist Brandschutz fürs Netz. Feuerlöscher, Türen, Übungen – vieles wirkt banal, rettet aber im Ernstfall den Betrieb.