Douglas Adams würde NIS2 lieben

Vom viel zu früh verstorbenen Science-Fiction-Autor Douglas Adams stammt das Zitat: „Ich liebe Deadlines. Ich mag dieses Rauschen, das sie im Vorbeiflug erzeugen.“ Tausende deutsche Unternehmen hatten wohl eher die Rauschunterdrückung aktiviert, als am 6. März 2026 die Registrierungsfrist für NIS2-Einrichtungen verstrichen ist: Bis zu diesem Datum, drei Monate nach Inkrafttreten des zugrundeliegenden Gesetzes, sollten sich alle „wichtigen“ und „besonders wichtigen“ Einrichtungen beim gemeinsamen Portal der Bundesämter für Sicherheit in der Informationstechnik (BSI) und für Bevölkerungsschutz und Katastrophenhilfe (BBK) angemeldet haben. Etwa 11.500 Behörden, Unternehmen und andere kritische Einrichtungen sind jetzt registriert – von der Feststellung einer lückenlosen Pflichterfüllung der ungefähr 30.000 zu registrierenden Unternehmen ist man also weit entfernt.

Ist das Verfahren zu kompliziert?

Woran mag es liegen, dass so wenige bisher die Registrierung geschafft haben? Ist das Verfahren zur Registrierung vielleicht zu kompliziert? Das zumindest hört man gelegentlich von denen, die es schon versucht haben, im Ablauf aber stecken geblieben sind. Bei der Einrichtung des für die Teilnahme an der BSI-Plattform erforderlichen Unternehmenskontos wird schon zu Beginn der Nachweis einer Vertretungsberechtigung verlangt – logisch, aber dazu muss zunächst ein ELSTER-Organisationszertifikat beantragt werden, das per Post ans Unternehmen versandt wird. Kein Problem, aber sicher zeitaufwändiger, als viele es sich vorgestellt haben. Dabei hat die Behörde sich sogar besonders viel Mühe gegeben, den Weg in die Registrierung zu ebnen: Eine Schritt-für-Schritt-Anleitung, die das BSI am Portaleingang bereitstellt, lässt kaum Fragen offen.

Wenn dann der Zugang zum Portal erfolgreich eingerichtet ist, verlangt die Registrierung allerdings auch Angaben, die vielleicht nicht sofort zur Hand sind – der öffentliche IP-Adressraum zum Beispiel, der zu den obligatorischen Basisinformationen für jedes registrierte Unternehmen gehört. Sinn der Sache ist es, dem BSI ein Monitoring von ungewöhnlichem Datenverkehr und auch Portscans zu ermöglichen, um unabhängig von der firmeninternen Überwachung des Netzwerks von der Behörde Warnhinweise über potenzielle Vorfälle zu erhalten. Für Anbieter digitaler Dienste sind diese Angaben auch auf die IP-Adressen in ihrem Kundensegment auszudehnen, nicht nur auf den Adressraum der eigenen Einrichtung.

Auch wenn die Registrierung selbst also nicht ganz trivial ist, sind es bei vielen Unternehmen gar nicht die formalen Voraussetzungen, die sie an einer termingerechten Anmeldung hindern. Woran es offensichtlich mangelt, ist eher die Erkenntnis – oder Anerkennung – der eigenen Betroffenheit. Aus zahllosen Gesprächen mit Geschäftsführungen, IT-Leitungen und anderen Entscheidungsträgern ist bekannt, dass viele immer noch verunsichert sind, welche Kriterien bezüglich der NIS2-Relevanz ihrer spezifischen Geschäftstätigkeit gelten. Und nicht nur das: Selbst größere Unternehmensgruppen unterschätzen, dass beispielsweise eine separate Konzerngesellschaft mit den ausgelagerten IT-Diensten für die übrigen Gruppenunternehmen auch für sich allein betrachtet unter die Regulierung fallen kann. Hierbei handelt es sich nämlich um einen sogenannten Managed Services Provider, sofern die Schwellen der Mitarbeiteranzahl oder Umsätze überschritten sind.

Tatsächlich gibt es Grenzfälle, bei denen es ohne Rechtsgutachten kaum gelingt, die wichtigste Frage zu beantworten: Sind wir als Unternehmen im Anwendungsbereich des Gesetzes oder nicht? Wenn im verarbeitenden Gewerbe etwa unklar bleibt, ob die in der NIS2-Richtlinie der EU aufgeführten – und im deutschen BSI-Gesetz Wort für Wort identischen – Produkt- und Dienstleistungskategorien den eigenen Betrieb zutreffend beschreiben, ist eine gewisse Ratlosigkeit verständlich. Unter diesen Bedingungen aber auf die Registrierung zu verzichten oder erst einmal abzuwarten, ist nicht zu empfehlen.

Umgekehrt gibt es auch Unternehmen, die sich freiwillig und vorsorglich registriert haben – trotz begründeter Zweifel, ob sie überhaupt dazu verpflichtet wären. Auf diese Weise entgehen sie jedenfalls eventuellen Bußgeldern, die schon bei unterlassener Registrierung bis zu einer halben Million Euro betragen können. Unwahrscheinlich, dass die Behörde gleich zu Beginn der neuen Regulierung massenhaft Ordnungswidrigkeiten ahnden wird, aber die Einhaltung geltender Gesetze einfach solange zu verweigern, bis dann wirklich Sanktionen drohen, wäre doch mehr als heikel.

Immer höhere Investitionen

Grundsätzlich ist die Bereitschaft zur Umsetzung von Maßnahmen zur Stärkung der Informationssicherheit aber vorhanden, auch wenn sie Geld kosten. Seit dem Beginn des russischen Angriffskriegs auf die Ukraine sind auch in Deutschland die Investitionen in die Cybersicherheit rasant gestiegen. Folgt man Umfrageergebnissen, wie sie zum Beispiel der Bitkom-Verband oder Schwarz Digit Research zusammengetragen haben, ist der Anteil der IT-Sicherheitsausgaben mittlerweile doppelt so hoch wie damals. Prozentual zum Gesamtbetrag der IT-Budgets in den befragten Unternehmen lagen sie 2022 im Schnitt noch bei neun, heute 18 Prozent. 41 Prozent der Unternehmen liegen sogar über der magischen „Cyber-Quote“, die der ehemalige BSI-Präsident Arne Schönbohm vor Jahren als Richtschnur für – O-Ton – „jedes Digitalisierungsprojekt“ verkündete: Zwanzig Prozent der Ausgaben sollten demnach mindestens für die Cybersicherheit bereitgestellt werden.

Wenn trotz dieser auskömmlichen Investitionsbereitschaft immer noch viele Unternehmen angeben, sie seien noch nicht so weit, ist die Zurückhaltung nicht leicht zu rechtfertigen. Vom Zeitpunkt der Verabschiedung der europäischen Cybersicherheitsrichtlinie im Dezember 2022 bis zum Inkrafttreten des deutschen Umsetzungsgesetzes im Dezember 2025 hätte es genügend Gelegenheit gegeben, sich mit den Auswirkungen auf das eigene Unternehmen zu beschäftigen. Welche Sektoren und Unternehmenskennzahlen Grundlage für die Zuerkennung des Status als NIS2-Verpflichteten sind, worin diese Pflichten im Einzelnen bestehen und welche konkreten Maßnahmen als Mindestsicherheitsanforderungen im Raum stehen, das alles ist seit mehr als drei Jahren bekannt.

Im Bereich der gleichzeitig mit der NIS2 und der Partnerrichtlinie CER in Kraft getretenen EU-Verordnung für den Finanzsektor, genannt DORA, zeigte sich schon Anfang 2025, dass die Umsetzung sehr viel schneller vonstatten geht, wenn regulierte Institutionen von ihrer Aufsichtsbehörde hart in die Pflicht genommen werden. Seit über einem Jahr sind alle relevanten IT-Dienstleister der Banken und anderer Finanzinstitute gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) benannt und mit Angaben über die Umsetzung von Cyber-Risikomaßnahmen versehen. Zur mittlerweile flächendeckenden Compliance im Sinne dieser Regulierung hat sicher beigetragen, dass die BaFin ihre Aufsichtsfunktionen im Bedarfsfall oder bei begründetem Verdacht der Nicht-Umsetzung wichtiger Maßnahmen auf die Zulieferer ausdehnen kann. Ein Besuch der Aufseher kann also auch beim ausgelagerten, unabhängigen IT-Betrieb erfolgen, nicht nur bei der Bank, für die er tätig ist.

Wenn wenigstens die Registrierung dann endlich erfolgt ist, wird es für viele der 30.000 direkt regulierten, aber auch die schätzungsweise 70.000 nur mittelbar von den Vorschriften aus der NIS2 betroffenen Einrichtungen höchste Zeit, sich mit der Implementierung der technischen und organisatorischen Compliance zu beschäftigen. Der berühmte Katalog der zehn Mindestsicherheitsanforderungen aus § 30 (2) BSI-Gesetz enthält keine radikalen Neuerungen oder unzumutbare Auflagen für die Informationssicherheit der Unternehmen – das meiste davon ist seit Jahren als geübte Praxis in vielen IT-Abteilungen und den übrigen Organisationseinheiten längst der Normalfall. Von ein paar expliziten Zusätzen wie Multi-Faktor-Authentisierung oder Notfallkommunikation abgesehen, basiert die Zehn-Punkte-Liste der vorgeschriebenen Risikomanagementmaßnahmen ganz überwiegend auf internationalen Standards. Das steht zwar nicht explizit in Richtlinie oder Gesetz, weil kommerzielle Normen nicht unmittelbar Gegenstand der Gesetzgebung sein dürfen. De facto sind aber drei Viertel der in den zehn Punkten zusammengefassten Vorgaben identisch mit dem Informationssicherheitsmanagementsystem aus ISO 27001 – auch als Basis des BSI IT-Grundschutz-Kompendiums, das dieselbe Norm anders umsetzt.

Allen, die noch zögern, die Vorgaben zur Registrierungs- und Meldepflicht und zur Umsetzung der Cybersicherheitsmaßnahmen zu erfüllen, kann man nur daran erinnern, dass die Einhaltung von Gesetzen zum Wesenskern jeder unternehmerischen Tätigkeit gehört. Wer die NIS2 ignoriert oder ihre Umsetzung im eigenen Unternehmen verschleppt, kann rechtlich und materiell in größte Probleme geraten.

(fo)