NIS-2 und Cybersicherheit – „Unser Ziel: eine resiliente, geschützte, informierte und handlungsfähige Wirtschaft“

NIS-2 wird zu einem zentralen Baustein der europäischen Cybersicherheitsarchitektur – mit Auswirkungen auf Unternehmen, Verwaltung und Gesellschaft. Die Richtlinie „Network and Information Security Directive“ löst die bisherige NIS-1‑Regelung ab und verschärft europaweit die Anforderungen an digitale Sicherheit. Warum das Thema jetzt an Relevanz gewinnt und welche Veränderungen damit verbunden sind, erklärt Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik.

Claudia Plattner ist seit Juli 2023 Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI).

IHK: Frau Plattner, welche sicherheitspolitische Logik steht hinter NIS-2?

Claudia Plattner:
NIS-2 verfolgt ein klares Ziel: Die Cybersicherheit in Europa soll deutlich gestärkt werden. Digitale Angriffe machen nicht an Landesgrenzen halt. Deshalb braucht es in der EU vergleichbare Regeln und ein gemeinsames, hohes Sicherheitsniveau.

Was soll sich gegenüber NIS-1 grundlegend verbessern?

Es gibt zwei zentrale Verbesserungen mit Blick auf die Wirtschaft: Mehr Einheitlichkeit in Europa und ein größerer Kreis an Unternehmen, die Informationssicherheitsmaßnahmen umsetzen müssen. Die erste NIS-Richtlinie wurde in den EU-Mitgliedstaaten sehr unterschiedlich umgesetzt. Das hat zu einer Fragmentierung des Binnenmarkts geführt. NIS-2 soll diese Unterschiede durch Mindestvorschriften, Mechanismen zur Zusammenarbeit der Behörden und wirksame Durchsetzungsmaßnahmen beseitigen.

Warum wurde der Kreis der verpflichteten Unternehmen deutlich ausgeweitet?

Wirtschaft und Gesellschaft funktionieren nur, wenn verschiedene Bereiche des öffentlichen Lebens zuverlässig arbeiten – von Energie und Gesundheit über digitale Dienste bis hin zu Lieferketten. Deshalb erfasst NIS-2 nun mehr Sektoren, die für das Gemeinwesen von großer Bedeutung sind. Gleichzeitig teilt sie betroffene Unternehmen in verschiedene Kategorien ein: „Wichtige Einrichtungen“, „besonders wichtige Einrichtungen“ und Betreiber kritischer Anlagen (KRITIS) als Untergruppe der „besonders wichtigen Einrichtungen“. Je bedeutsamer ein Sektor ist, desto umfassender die Verpflichtungen.

Welche Rolle spielen mittelständische Unternehmen aus Sicht des BSI?

Der Mittelstand ist das Rückgrat der deutschen Wirtschaft. Viele mittelständische Unternehmen sind Teil komplexer Lieferketten oder erbringen zentrale Dienstleistungen. Fällt hier ein Unternehmen aus, kann das schwerwiegende Folgen haben. Deshalb nimmt NIS-2 auch mittelständische Betriebe stärker in den Blick. Wichtig ist uns dabei: Es geht stets darum, passende Sicherheitsanforderungen mit Bezug auf das Unternehmen umzusetzen. Deshalb ist im BSI-Gesetz von verhältnismäßigen Maßnahmen die Rede. Es wird also immer das individuelle Risiko in den Blick genommen. Gerade im Mittelstand gibt es oft schon viel Engagement – dieses Potenzial wollen wir gemeinsam weiterentwickeln.

Der Mittelstand ist das Rückgrat der deutschen Wirtschaft. Viele mittelständische Unternehmen sind Teil komplexer Lieferketten oder erbringen zentrale Dienstleistungen. Fällt hier ein Unternehmen aus, kann das schwerwiegende Folgen haben.

Was erwartet das BSI konkret von den betroffenen Unternehmen?

Das BSI erwartet von regulierten Unternehmen vor allem, dass Cybersicherheit ernst genommen wird. NIS-2 erfindet das Rad nicht neu. Gefordert werden grundlegende Maßnahmen der IT-Sicherheit – etwa Risikomanagement, technische Schutzmaßnahmen und klare Zuständigkeiten. Neu ist, dass diese Maßnahmen nun für mehr Firmen gesetzlich verpflichtend sind. Diese sind aus unserer Sicht besonders wichtig für das Funktionieren von Wirtschaft und Gesellschaft. Entsprechend erwarten wir, dass sie dieser Verantwortung gerecht werden.

Wie versteht das BSI „verhältnismäßige“ Sicherheitsmaßnahmen?

Firmen müssen geeignete, verhältnismäßige und wirksame Maßnahmen ergreifen, um Störungen zu verhindern und Schäden zu begrenzen. „Verhältnismäßig“ bedeutet: Die Maßnahme ist geeignet, das Risiko zu reduzieren. Sie ist erforderlich – es gibt also kein gleich wirksames, milderes Mittel. Sie ist angemessen im Verhältnis zu Kosten und Nutzen. Das BSI-Gesetz nennt konkrete Kriterien, anhand derer Unternehmen die Verhältnismäßigkeit prüfen können, etwa: Wie hoch ist das Risiko? Wie groß ist der Betrieb? Wie wahrscheinlich sind Sicherheitsvorfälle und wie schwer wären ihre Folgen? Welche gesellschaftlichen und wirtschaftlichen Auswirkungen hätte ein Ausfall? Die Bewertung nimmt das Unternehmen selbst vor.

Welche Unterstützungsangebote sieht das BSI vor?

Für uns war klar: Wir lassen die Unternehmen nicht allein. Schon vor Inkrafttreten des neuen BSI-Gesetzes haben wir unter dem Claim #nis2know Informationsangebote für die Wirtschaft zur Verfügung gestellt. Unsere Online-Betroffenheitsprüfung, der NIS-2-Checker, wurde mehr als 350 000-mal genutzt. Zehntausende Interessierte haben schon an unseren Webinaren teilgenommen oder Informationspakete abgerufen. In einem nächsten Schritt möchten wir den Fokus stärker auf die praktische Umsetzung legen. Wo gibt es offene Fragen? Wo können wir bereits Orientierung geben? Nicht auf jede Detailfrage gibt es sofort eine abschließende Antwort. In schwierigen Fällen suchen wir gemeinsam Lösungen.

Wie soll die Zusammenarbeit zwischen Behörden und Unternehmen funktionieren?

Das BSI hat eine Doppelrolle in Bezug auf die Wirtschaft: Wir fördern und fordern. Für die Wirtschaft möchten wir als Partner kooperieren und aktivieren. Über unsere Kooperationsformate wie die Allianz für Cybersicherheit (ACS) und die Unabhängige Partnerschaft Kritische Infrastrukturen (UP KRITIS) gehen wir gezielt in den Austausch mit der Wirtschaft. Wir engagieren uns in gemeinsamen Projekten und Gremien, um Bedarfe der Wirtschaft zu erkennen und um zusammen Cybersicherheit auf die Straße zu bringen. Gleichzeitig sind wir Aufsichtsbehörde. Das heißt: Wir fordern die Einhaltung der gesetzlichen Vorgaben. Aus unserer Erfahrung in der Regulierung kritischer Infrastrukturen wissen wir jedoch: Aufsicht funktioniert am besten kooperativ und pragmatisch. Unternehmen sollen Zeit und Ressourcen haben, sich mit wirksamer Cybersicherheit zu beschäftigen, nur im Verweigerungsfall soll das Thema Bußgelder Relevanz erlangen. Unser Ziel ist eine resiliente, geschützte, informierte und handlungsfähige Wirtschaft. Daran richten wir als BSI unser Handeln aus – im Dialog mit den Unternehmen, die von NIS-2 betroffen sind. Alles steht unter dem Credo: Cybersicherheit vor Bürokratie.

Interview: Thilo Kunze, DIHK

NIS-2 aus Unternehmenssicht: Was jetzt wichtig ist

Wer sollte sich jetzt mit NIS-2 befassen?

NIS-2 betrifft Unternehmen aus zahlreichen kritischen und „sonstigen wichtigen“ Sektoren – darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Lebensmittel, Chemie, verarbeitendes Gewerbe wie Maschinen- und Fahrzeugbau, Post‑ und Kurierdienste oder Forschung. Entscheidend sind Sektorzugehörigkeit und Unternehmensgröße:

Besonders wichtige Einrichtungen (bwE): meist ab 250 Mitarbeitenden oder >50 Mio. Euro Umsatz / >43 Mio. Euro Bilanzsumme.
Wichtige Einrichtungen (wE): ab 50 Mitarbeitenden oder >10 Mio. Euro Umsatz / >10 Mio. Euro Bilanzsumme.

Auch Betriebe, die selbst nicht direkt unter NIS-2 fallen, können mittelbar betroffen sein. NIS-2‑pflichtige Firmen müssen die Sicherheit ihrer Lieferkette nachweisen – und fordern daher zunehmend Cyber-Sicherheitsstandards und Dokumentationen von ihren Zulieferern und Dienstleistern.

Wo sehen Unternehmen aktuell den größten Handlungsbedarf?

Unternehmen müssen Prozesse, Verantwortlichkeiten und Strukturen für Cybersicherheit klar definieren – inklusive eines wirksamen Incident‑Response- (geregeltes Vorgehen bei IT Sicherheitsvorfällen) und Business‑Continuity-Managements (Maßnahmen, damit der Betrieb auch bei Störungen weiterläuft). Gefordert sind technische und organisatorische Maßnahmen „nach Stand der Technik“. Dazu gehören Risikoanalysen, Schulungen, Zugriffskontrollen, sichere Softwareentwicklung, Backup‑Konzepte und Lieferkettensicherheit. Diese müssen dokumentiert werden, z. B. in Form von Richtlinien, Checklisten, Schulungsnachweisen oder Auditberichten.

Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen an das BSI. Gesetzlich vorgesehen sind eine frühe Erstmeldung innerhalb von 24 Stunden, eine Vorfallsmeldung innerhalb von 72 Stunden sowie ggf. Zwischen‑ und Abschlussmeldungen.

Was ist aus DIHK-Sicht praxistauglich?

NIS-2 verlangt Maßnahmen, die geeignet und verhältnismäßig sind. Das schafft Freiräume für pragmatische Lösungen, die zur Unternehmensgröße und zum Risiko passen. Viele Anforderungen lassen sich gut über etablierte Rahmenwerke bzw. Zertifizierungen wie ISO 27001 oder bestehende Informationssicherheits-Managementsysteme erfüllen. Wichtig bleibt eine Gap‑Analyse, da ISO allein NIS-2 nicht vollständig abdeckt. Gerade KMU brauchen klare, einfach umsetzbare Vorgaben sowie Tools, die branchenspezifisch und kostenfrei Unterstützung bieten.

Wo sieht die Wirtschaft noch offene Fragen oder Probleme?

Für viele ist noch immer unklar, ob sie tatsächlich unter NIS-2 fallen – insbesondere im verarbeitenden Gewerbe. Auch die Dokumentationsanforderungen, zusätzliche Prüfungen und Meldepflichten können für Mittelständler erheblichen Aufwand verursachen. Zudem sorgen offene Fragen zur Aufsichtspraxis (z. B. Prüfungen durch das BSI) für Unsicherheit.

Wie lautet die DIHK-Position als Kurzfazit?

Die DIHK unterstützt das Ziel, die Cybersicherheit zu stärken. Unternehmen dürfen mit der Umsetzung aber nicht überlastet werden. Entscheidend ist, dass klar geregelt wird, wer genau betroffen ist und welche Maßnahmen tatsächlich notwendig sind. Ebenso wichtig sind maßvolle Dokumentationspflichten, damit die Anforderungen nicht ausufern. Für die Wirtschaft zählt vor allem eine praxisnahe Umsetzung, die bestehende Standards nutzt und insbesondere den Mittelstand nicht unnötig belastet.

Das BSI stellt zahlreiche Informationen auf seiner Website unter www.ihk.de/braunschweig/nis2starterpaket bereit.

3/2026