Europa hat ein neues Cybersecurity-Gesetz, und für Zehntausende Unternehmen wird es ernst. Die NIS2-Richtlinie sollte eigentlich schon im Oktober 2024 in nationales Recht gegossen sein. Deutschland hat sich Zeit gelassen, sehr viel Zeit sogar. Am 6. Dezember 2025 trat das Umsetzungsgesetz in Kraft, ohne Übergangsfrist, ohne Schonzeit. Was jahrelang angekündigt wurde, gilt nun von einem Tag auf den anderen. Rund 30.000 Unternehmen in Deutschland müssen sich binnen Wochen registrieren, ihre IT-Sicherheit überprüfen und Meldeprozesse etablieren. Das BSI hat am 6. Januar 2026 ein Portal freigeschaltet, die ersten Webinare laufen bereits. Die heiße Phase hat begonnen.
Warum diese Eile? Ein Blick auf die Zahlen genügt. Die wirtschaftlichen Schäden durch Cyberangriffe in Deutschland werden für 2025 auf 290 Milliarden Euro beziffert, ein Anstieg um 41 Prozent gegenüber 2023. Ransomware bleibt die folgenschwerste Angriffsform, DDoS-Attacken nehmen massiv zu, und jeder zweite erfolgreiche Einbruch beginnt mit einer simplen Phishing-Mail. Die Angreifer arbeiten professionell, oft staatlich unterstützt, und sie haben Geduld. Supply-Chain-Angriffe wie jener auf einen IT-Dienstleister, der 2025 Check-in-Systeme mehrerer europäischer Flughäfen lahmlegte, zeigen: Ein einziger kompromittierter Zulieferer kann ganze Branchen zum Stillstand bringen.
Europa reagiert mit NIS2 auf diese Realität. Die Richtlinie verlangt von Unternehmen in 18 kritischen Sektoren, von Energie über Gesundheit bis hin zur Produktion, verbindliche Mindeststandards für IT-Sicherheit. Risikomanagement, Incident Response, Schulung der Belegschaft, Lieferkettensicherheit – was bislang freiwillig war, wird zur Pflicht. Wer erhebliche Sicherheitsvorfälle erleidet, muss binnen 24 Stunden eine Erstmeldung abgeben. Verstöße können teuer werden: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen als Bußgeld. Erstmals haften auch Geschäftsleitungen persönlich, wenn sie ihrer Cybersecurity-Verantwortung nicht nachkommen. IT-Sicherheit ist damit endgültig Chefsache geworden.
Besonders mittelständische Unternehmen trifft NIS2 hart. Eine Studie kurz vor Inkrafttreten des Gesetzes offenbarte ein beunruhigendes Bild: Rund die Hälfte der Entscheider wusste nicht, ob ihr Unternehmen überhaupt betroffen ist. Gleichzeitig schätzten die Befragten ihre IT-Sicherheit im Schnitt als hoch ein, obwohl jedes dritte Unternehmen in den vergangenen drei Jahren mindestens einen schweren Vorfall erlebt hatte. Diese Diskrepanz zwischen Selbsteinschätzung und Realität ist gefährlich. NIS2 verlangt keine Papiertiger, sondern nachweisbare technische und organisatorische Maßnahmen. Wer glaubt, mit ein paar PowerPoint-Folien sei es getan, wird spätestens beim ersten Audit eines Besseren belehrt.
Hinzu kommt der chronische Mangel an Cybersecurity-Expertise. Siebzig Prozent der mittelständischen Firmen verlassen sich bereits heute auf externe Partner. Gute Security-Spezialisten sind rar und teuer, und die Nachfrage steigt weiter. Unternehmen stehen vor der Frage: Eigenes Team aufbauen oder Dienstleister beauftragen? Beides kostet Geld, und beides erfordert strategische Entscheidungen. Doch wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern im schlimmsten Fall die eigene Geschäftsfähigkeit. Ransomware-Angreifer nehmen keine Rücksicht auf knappe Budgets oder fehlende Ressourcen. Im Gegenteil: Sie suchen gezielt nach Schwachstellen bei jenen, die sich schlecht verteidigen können.
Was also tun? Zunächst Klarheit schaffen. Jedes Unternehmen sollte prüfen, ob es unter NIS2 fällt. Branche und Unternehmensgröße sind die entscheidenden Kriterien. Das BSI stellt Online-Tools und Orientierungshilfen bereit, ich gehe diese Punkte jeweils in meinen Beratungen mit Unternehmen gemeinsam durch. Wer betroffen ist, muss sich bis März 2026 registrieren. Diese Registrierung ist kein Verwaltungsakt, sondern der Startschuss für einen umfassenden Compliance-Prozess mit Verantwortlichkeiten, feste Deadlines und ausreichend Ressourcen.
Der zweite Schritt ist eine ehrliche Bestandsaufnahme. Wo stehen wir wirklich? Welche Systeme sind kritisch? Wo bestehen Lücken im Schutz gegen Ransomware, Phishing oder DDoS, vor allem aber – lateral Movement (!)? NIS2 schreibt zehn konkrete Handlungsfelder vor, von Netzwerksicherheit über Zugangskontrollen bis hin zu Lieferkettensicherheit. Wer sich an etablierten Standards wie ISO 27001 orientiert, hat vieles bereits abgedeckt. Orientierung reicht hier, es braucht keine Zertifizierung. Also, man sollte schnell nachrüsten: Multi-Faktor-Authentifizierung, regelmäßige Backups, Patch-Management, Notfallpläne. Das klingt banal, wird aber in der Praxis aus meiner Erfahrung erstaunlich oft vernachlässigt.
Drittens: Incident Response ernst nehmen. Die 24-Stunden-Meldefrist ist kein theoretisches Konstrukt. Unternehmen müssen Vorfälle erkennen, bewerten und kommunizieren können, und zwar schnell. Das erfordert Monitoring, klare Prozesse und geschulte Verantwortliche. Wer intern kein Security Operations Center betreiben kann, sollte Managed Security Services in Betracht ziehen. Wichtig ist, dass im Ernstfall jeder weiß, was zu tun ist.
Viertens: Lieferketten nicht vergessen. NIS2 nimmt erstmals auch Zulieferer in die Pflicht. Unternehmen müssen Risiken bei Dienstleistern und Partnern bewerten und passende Maßnahmen ergreifen. Das bedeutet: Verträge sollten Cybersecurity-Klauseln enthalten, kritische Zulieferer sollten Zertifizierungen nachweisen, und gemeinsame Notfallpläne sollten abgestimmt werden. Ein Angriff auf einen kleinen IT-Dienstleister darf nicht die eigene Produktion lahmlegen. Resilienz endet nicht an der eigenen Firewall.
Aus Compliance echte Sicherheit machen
NIS2 ist mehr als ein weiteres Regelwerk. Es ist eine Chance, die Cybersecurity endlich auf das Niveau zu heben, das der Bedrohungslage angemessen ist. Die Richtlinie liefert den Rahmen, die Behörden bieten Unterstützung, und die Technologie ist verfügbar. Was fehlt, ist oft nur die Entschlossenheit, jetzt zu handeln. Über die Hälfte der Unternehmen begrüßt laut Umfragen strengere Cybersecurity-Regeln. Sie sehen NIS2 als Leitplanke, nicht als Gängelung. Dieser konstruktive Ansatz ist richtig. Wer die Anforderungen als Checkliste für echte Sicherheit begreift, statt sie als bürokratische Last abzutun, wird am Ende doppelt profitieren: weniger Angriffsrisiko und weniger regulatorischer Ärger.
Die kommenden Monate werden zeigen, ob der europäische Mittelstand den Sprung schafft. Die Bedrohungslage ist akut, die Anforderungen sind klar, und die Unterstützung ist da. Jetzt liegt es an den Unternehmen, aus Zugzwang echte Resilienz zu machen. Denn eines ist sicher: Die Angreifer warten nicht, bis alle Webinare absolviert und alle Checklisten abgehakt sind. Sie greifen heute an, morgen und übermorgen. Wer bereit ist, hat eine Chance. Wer zögert, wird zahlen, im wahrsten Sinne des Wortes.
Thilo Noack ist seit über 25 Jahren im Bereich Datenschutz sowie der IT- und Informationssicherheit tätig. Im Rahmen seiner beratenden Tätigkeit betreut er international mehr als 250 Unternehmen und Konzerne aus verschiedensten Branchen. Seine Arbeit konzentriert sich auf die praxisnahe Umsetzung gesetzlicher Anforderungen, den Aufbau von Managementsystemen sowie die Begleitung komplexer IT- und Compliance-Projekte.
