Der Stand der NIS2: Eine fragmentierte Umsetzung in der EU

Die Richtlinie über Netz- und Informationssysteme 2022 (NIS2) sollte die Cybersicherheit kritischer Infrastrukturen in der Europäischen Union verbessern.

Obwohl die Mitgliedstaaten verpflichtet waren, die NIS2 bis Oktober 2024 in nationales Recht umzusetzen, hielten viele diese Frist nicht ein.

Infolgedessen leitete die Europäische Kommission am 28. November 2024 Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten ein, weil diese ihren Verpflichtungen nicht nachgekommen waren.

Mit der NIS2 werden 10 wichtige Sicherheitsmaßnahmen eingeführt, die die Widerstandsfähigkeit gegenüber Cyberangriffen in wichtigen Sektoren wie Energie, Gesundheitswesen und digitale Dienste verbessern sollen. Dazu gehören das Cyber-Risikomanagement, die Sicherheit der Lieferkette sowie obligatorische Schulungs- und Ausbildungsmaßnahmen. Das uneinheitliche Tempo der Einführung hat jedoch zu einer regulatorischen Unsicherheit geführt, sodass sich Unternehmen in einer komplexen und fragmentierten Compliance-Landschaft zurechtfinden müssen.

Unterschiede zwischen den EU-Ländern bei der Umsetzung der NIS2-Richtlinie: Zuversicht vs. Realität

Als die Umsetzungsfrist im Oktober 2024 ablief, zeigten sich erhebliche Unterschiede in der Art und Weise, wie die EU-Mitgliedstaaten die NIS2-Richtlinie in ihre nationalen Gesetze aufgenommen haben. Während einige Länder - wie Belgien, Kroatien, Ungarn, Italien, Lettland und Litauen - die Richtlinie erfolgreich umgesetzt hatten und bereit waren, Maßnahmen zur Einhaltung der Richtlinie durchzusetzen, hinkten andere hinterher. Frankreich, Dänemark und die Niederlande kündigten Verzögerungen an und verschoben die Umsetzung auf Anfang 2025, während Deutschlands NIS2-Gesetz, das von der Bundesregierung im Juli 2024 verabschiedet wurde, bei der parlamentarischen Verabschiedung stecken blieb und die Umsetzung nun im März 2025 erwartet wird.

Abgesehen vom Zeitplan wird die Richtlinie auch sehr unterschiedlich ausgelegt. So bezieht Frankreich beispielsweise ausdrücklich lokale Behörden in den Geltungsbereich ein, Deutschland hingegen nicht. Diese Unstimmigkeiten haben die Einhaltung der Vorschriften für europaweit tätige Organisationen erschwert und sie gezwungen, sich in einem Flickenteppich von Vorschriften zurechtzufinden, anstatt einen einheitlichen Rahmen für die Cybersicherheit zu schaffen.

Diese regulatorische Zersplitterung steht in krassem Gegensatz zu der Zuversicht, die viele Unternehmen zu Beginn des Projekts zum Ausdruck brachten. Im Juni 2024glaubten 80% der Unternehmen, dass sie die NIS2-Anforderungen erfüllen könnten, doch nur 14% waren tatsächlich konform. Viele gingen davon aus, dass Verzögerungen bei der nationalen Gesetzgebung zusätzliche Zeit für die Vorbereitung bieten würden, aber die grundlegenden Probleme blieben bestehen - 53% der Unternehmen waren nicht sicher, ob sie die Anforderungen der Richtlinie verstehen würden, und 49% berichteten von unzureichender Unterstützung durch die Unternehmensleitung. Ohne die Unterstützung der Unternehmensleitung waren die IT-Teams zwar technisch bereit, nicht aber das Unternehmen als Ganzes.

Im Januar 2025 waren diese Befürchtungen Wirklichkeit geworden. Da 16 Mitgliedstaaten noch mit nationalen Gesetzgebungsverfahren beschäftigt sind und zwei ihre Entwürfe noch nicht veröffentlicht haben, ist die angestrebte Harmonisierung noch nicht in Sicht. Während die Unternehmen mit der Ausarbeitung von Strategien zur Einhaltung der Vorschriften kämpfen, wird die Kluft zwischen dem frühen Vertrauen und der fragmentierten Rechtslandschaft deutlicher denn je.

Überbrückung der Lücke: Was Organisationen tun müssen, um sich vorzubereiten

Trotz der Verzögerungen bei der nationalen Gesetzgebung können es sich Organisationen nicht leisten, bei der Einhaltung der NIS2 passiv zu bleiben. Die Herausforderungen, mit denen die Mitgliedstaaten bei der Umsetzung der Richtlinie konfrontiert sind, sollten als Warnung dienen - Unternehmen müssen die Verantwortung für ihre eigene Cybersecurity-Bereitschaft übernehmen, anstatt auf die Klarheit der Vorschriften zu warten.

Ein Hauptproblem ist nach wie vor das mangelnde Engagement der Unternehmensführung. Viele Unternehmen haben Schwierigkeiten, die Anforderungen der Richtlinie zu verstehen, und ohne die Unterstützung der Unternehmensleitung besteht die Gefahr, dass die Bemühungen um die Einhaltung der Vorschriften unterfinanziert sind und an Bedeutung verlieren. Cybersicherheit ist nicht mehr nur ein IT-Thema; die Führungskräfte sind persönlich für die Einhaltung der Vorschriften verantwortlich und rechenschaftspflichtig. Unternehmen müssen eine Kultur fördern, in der Sicherheit an erster Stelle steht und in der die Führungskräfte eine aktive Rolle im Risikomanagement spielen.

Proaktive Vorbereitung ist unerlässlich. Die Umsetzung international anerkannter Cybersicherheitsstandards wie ISO 27001 kann eine solide Grundlage für die Einhaltung der Vorschriften bilden. Unternehmen sollten außerdem gründliche Risikobewertungen durchführen, um ihre kritischsten Schwachstellen zu ermitteln und gezielte Strategien zur Risikominderung zu entwickeln. Die Schulung der Mitarbeiter ist nach wie vor eine der wichtigsten Komponenten - da menschliches Versagen ein Hauptangriffsvektor ist, müssen Unternehmen in kontinuierliche Weiterbildung investieren, um die Widerstandsfähigkeit zu stärken.

Letztlich ist NIS2 mehr als nur eine Anforderung zur Einhaltung von Vorschriften; es ist ein Weckruf. Unternehmen, insbesondere solche in kritischen Infrastrukturbereichen, müssen diese Zeit sinnvoll nutzen, um ihre Sicherheitslage zu verbessern. Angesichts der zunehmenden Cyber-Bedrohungen durch Nationalstaaten, Hacktivisten und Cyber-Kriminelle geht es bei der Priorisierung der Cybersicherheit nicht nur um die Vermeidung von Geldstrafen, sondern auch um die Sicherung des Betriebs, den Schutz der Kunden und die Gewährleistung der langfristigen Kontinuität in einer zunehmend unbeständigen digitalen Landschaft.