07 Jun 2024 Digitaltag
25 May 2024 6. Jahrestag DSGVO (Datenschutz-Grundverordnung) GDPR (General Data Protection Regulation)
02 May 2024 World Password Day / Welt-Passwort-Tag / Internationaler Tag des Passworts
22 Apr 2024 Earth Day / Tag der Erde
09 Apr 2024 Identity Management Day
Abonnieren Sie unseren Newsletter
x
 

NIS2 verändert die Spielregeln – ein Kabinettsbeschluss unter Druck

 

05.08.2025

   

Jörg Vollmer, General Manager Field Operations DACH & CEE bei Qualys

Mit dem Kabinettsbeschluss vom 30. Juli hat die Bundesregierung einen überfälligen Schritt getan. Die Umsetzung der europäischen NIS-2-Richtlinie kommt damit in die nächste Phase – verspätet, aber mit deutlich geschärften Konturen. Der Regierungsentwurf schafft erstmals einen verbindlichen Rahmen für Cybersicherheit in weiten Teilen der Wirtschaft und verankert Mindeststandards, die weit über den bisherigen KRITIS-Kreis hinausreichen.

Doch damit beginnt für Unternehmen nicht das Ende, sondern der eigentliche Anfang. Rund 29 000 Betriebe werden künftig verpflichtet sein, ihre Sicherheitsprozesse auf ein neues Niveau zu heben. Gefordert sind nicht nur technische Schutzmaßnahmen, sondern vor allem organisatorische Strukturen. Die Verantwortung rückt bis in die Führungsetagen, Meldepflichten greifen deutlich früher als bislang, und Bußgelder in Millionenhöhe machen Cyberrisiken nun auch aus finanzieller Perspektive zur Chefsache.

Um diesen neuen Anforderungen gerecht zu werden, müssen Unternehmen ihre Bedrohungslage ganzheitlich verstehen. Es reicht nicht mehr aus, bestehende Sicherheitsarchitekturen zu überprüfen oder punktuelle Audits durchzuführen. Entscheidend ist ein kontinuierlicher Blick auf Schwachstellen, Risikoverläufe und die Kritikalität der eigenen digitalen Assets im Gesamtkontext. Wer Risiken nicht erkennt, kann sie nicht steuern und schon gar nicht dokumentieren.

Gerade deshalb ist die NIS-2-Umsetzung auch eine Chance, Cybersicherheit neu zu denken. Sie verankert IT-Sicherheit strategisch im Unternehmen, nicht als reaktive Maßnahme, sondern als aktives Element der Unternehmenssteuerung. Die verpflichtenden Meldewege schaffen darüber hinaus einen gemeinsamen Lernprozess, der hilft, bekannte Angriffsmuster frühzeitig zu erkennen und kollektiv abzuwehren. Aus Fragmentierung entstehen klare, nachvollziehbare Prozesse.

Noch steht das Gesetzgebungsverfahren nicht am Ende. Der Entwurf muss nun Bundestag und Bundesrat passieren. Unternehmen sollten aber bereits aktiv geworden sein. Denn wer heute beginnt, Transparenz über seine Risiken zu schaffen, gewinnt nicht nur Zeit, sondern echte digitale Resilienz. NIS 2 ist keine bürokratische Pflichtübung. Es ist ein Auftrag zur Selbstverantwortung in einer Zeit, in der digitale Souveränität längst zur wirtschaftlichen Überlebensfrage geworden ist.

 

NIS2 verändert die Spielregeln – ein Kabinettsbeschluss unter Druck

 

05.08.2025

   

Jörg Vollmer, General Manager Field Operations DACH & CEE bei Qualys

Mit dem Kabinettsbeschluss vom 30. Juli hat die Bundesregierung einen überfälligen Schritt getan. Die Umsetzung der europäischen NIS-2-Richtlinie kommt damit in die nächste Phase – verspätet, aber mit deutlich geschärften Konturen. Der Regierungsentwurf schafft erstmals einen verbindlichen Rahmen für Cybersicherheit in weiten Teilen der Wirtschaft und verankert Mindeststandards, die weit über den bisherigen KRITIS-Kreis hinausreichen.

Doch damit beginnt für Unternehmen nicht das Ende, sondern der eigentliche Anfang. Rund 29 000 Betriebe werden künftig verpflichtet sein, ihre Sicherheitsprozesse auf ein neues Niveau zu heben. Gefordert sind nicht nur technische Schutzmaßnahmen, sondern vor allem organisatorische Strukturen. Die Verantwortung rückt bis in die Führungsetagen, Meldepflichten greifen deutlich früher als bislang, und Bußgelder in Millionenhöhe machen Cyberrisiken nun auch aus finanzieller Perspektive zur Chefsache.

Um diesen neuen Anforderungen gerecht zu werden, müssen Unternehmen ihre Bedrohungslage ganzheitlich verstehen. Es reicht nicht mehr aus, bestehende Sicherheitsarchitekturen zu überprüfen oder punktuelle Audits durchzuführen. Entscheidend ist ein kontinuierlicher Blick auf Schwachstellen, Risikoverläufe und die Kritikalität der eigenen digitalen Assets im Gesamtkontext. Wer Risiken nicht erkennt, kann sie nicht steuern und schon gar nicht dokumentieren.

Gerade deshalb ist die NIS-2-Umsetzung auch eine Chance, Cybersicherheit neu zu denken. Sie verankert IT-Sicherheit strategisch im Unternehmen, nicht als reaktive Maßnahme, sondern als aktives Element der Unternehmenssteuerung. Die verpflichtenden Meldewege schaffen darüber hinaus einen gemeinsamen Lernprozess, der hilft, bekannte Angriffsmuster frühzeitig zu erkennen und kollektiv abzuwehren. Aus Fragmentierung entstehen klare, nachvollziehbare Prozesse.

Noch steht das Gesetzgebungsverfahren nicht am Ende. Der Entwurf muss nun Bundestag und Bundesrat passieren. Unternehmen sollten aber bereits aktiv geworden sein. Denn wer heute beginnt, Transparenz über seine Risiken zu schaffen, gewinnt nicht nur Zeit, sondern echte digitale Resilienz. NIS 2 ist keine bürokratische Pflichtübung. Es ist ein Auftrag zur Selbstverantwortung in einer Zeit, in der digitale Souveränität längst zur wirtschaftlichen Überlebensfrage geworden ist.