21. BSI-Sicherheitskongress: NIS-2-Umsetzung weit hinter den Erwartungen

Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschäftigte sich am Mittwoch ein ganzer Vortragsblock mal wieder mit der NIS-2. Die EU-Richtlinie zur Absicherung von Unternehmenssoftware und -netzen trat im Oktober 2024 in Kraft und beschäftigt das BSI und seine Partner nach wie vor. Das liegt vor allem daran, dass bisher viel weniger Firmen die Vorschriften der Richtlinie erfüllen, als man eigentlich bei einem solchen Gesetz erwarten würde.

Registrierung beim BSI läuft schleppend

Wie Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft in seiner Einführung ansprach, ist es sehr schwierig, konkrete Zahlen zur NIS-2-Umsetzung in der deutschen Wirtschaft zu erheben. Im BSI-Portal bleiben die Registrierungszahlen von Firmen, die laut dem Gesetz als „wichtige“ oder „besonders wichtige“ Einrichtungen dazu verpflichtet sind, nach wie vor unter den Erwartungen. Bis zum 6. März hätten sich eigentlich alle entsprechenden Unternehmen beim BSI melden müssen.

Das BSI weiß von mehreren meldepflichtigen Unternehmen, die nach Konsultation der Firmenspitze mit Rechtsbeiständen zu dem Schluss gekommen sind, bewusst die eigene Firma nicht zu melden, so Bach weiter. Ein kürzlich veröffentlichter Bericht der Firma Schwarz Digits legt nahe, dass dies keine Einzelfälle sind – Unternehmenslenker wollen wohl keine schlafenden Hunde wecken.

Bach wies in diesem Zusammenhang darauf hin, dass Geschäftsführungen das Thema ernst nehmen sollten – nicht nur wegen der im Gesetz festgeschriebenen persönlichen Haftung der Betriebsleitung. Nur weil man selbst der Meinung sei, die eigene Firma sei nicht meldepflichtig, entspräche das noch lange nicht der Realität. Bach verglich das mit der Steuerpflicht, da könne man auch nicht selbst entscheiden, ob diese zutreffe.

Knapp die Hälfte der Unternehmen hat nie von der NIS-2 gehört

Dass sich viele Firmen bisher noch nicht beim BSI gemeldet haben, obwohl sie das eigentlich müssten, liegt aber wohl auch daran, dass in vielen Firmen nach wie vor das Bewusstsein fehlt, was die NIS-2 überhaupt ist. Schlimmer noch, es gibt wohl aber auch noch eine große Anzahl an Firmen in Deutschland, die gar nicht wissen, dass die NIS-2 überhaupt existiert. Laut Manuel Bach hat das BSI im Rahmen einer Studie Ende letzten Jahres festgestellt, dass knapp die Hälfte der deutschen Unternehmen zu diesem Zeitpunkt noch nicht einmal den Begriff „NIS-2“ gehört hatten.

Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der Technischen Universität München mit der Umsetzung der NIS-2 bei kleinen und mittelständischen Unternehmen in Deutschland beschäftigt hatte, zeichnete in seinem Vortrag ein ähnliches Bild. Viele der von ihm befragten Unternehmen hätten angegeben, sich erst seit Anfang 2026 mit der NIS-2 auseinanderzusetzen. Laut Ahmadzei sehen viele Firmenvertreter die Umsetzung des Gesetzes als reine Pflichtaufgabe und bezweifelten, dass die damit verbundenen Prozesse die IT-Sicherheit in ihrem Unternehmen verbessern würden.

Am Ende des Vortragsblocks zu diesem Thema stellte auch Manuel Bach vom BSI fest, dass die Bundesregierung – aber auch seine eigene Behörde – beim Thema NIS-2 noch viel Arbeit vor sich habe. Die geringe Kenntnis über dieses Thema in weiten Teilen der Wirtschaft deute klar darauf hin, dass hier noch viel Aufklärungsarbeit zu leisten sei. Und vor allem sieht es so aus, als ob ein nicht unerheblicher Teil der deutschen IT-Landschaft darüber hinaus dann auch noch davon überzeugt werden muss, dass die Umsetzung dieses EU-Gesetzes mehr als eine Arbeitsbeschaffungsmaßnahme durch EU-Kommission und BSI ist.

Wer sich beim Lesen dieser Meldung ertappt fühlt, findet im iX Workshop „NIS-2 – Anforderungen und Vorgaben“ einen kompakten und praxisnahen Einstieg in die gesetzlichen Vorgaben und deren Umsetzung.

(cku)