WR-Intern
18.06.2026
Drucken

NIS-2: Regulierung allein schafft noch keine Cyberresilienz

©Adobe Stock (ummo)

Sechs Monate nach Inkrafttreten der NIS-2-Regeln zeigt sich: Die deutsche Wirtschaft befindet sich noch mitten im Transformationsprozess zur Cyberresilienz. Der Handlungs-bedarf ist groß – doch Sanktionen allein werden die Herausforderungen nicht lösen.

Ein halbes Jahr nach dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes fällt die Zwischenbilanz gemischt aus. Die Zahl der registrierten Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) steigt zwar kontinuierlich, bleibt jedoch deutlich hinter den ursprünglichen Erwartungen zurück. Tausende Unternehmen haben bislang weder die Registrierung abgeschlossen noch die erforderlichen Maßnahmen zum Risikomanagement umgesetzt.

Die Ursachen dafür sind vielfältig. Gerade mittelständische Unternehmen stehen vor der Herausforderung, ihre eigene Betroffenheit überhaupt erst zu bestimmen. Komplexe Unternehmensstrukturen, unterschiedliche Geschäftsbereiche und teilweise uneinheitliche europäische Umsetzungen der Richtlinie erschweren die Einordnung zusätzlich. Hinzu kommt eine Vielzahl weiterer regulatorischer Anforderungen, die Unternehmen parallel bewältigen müssen.

Doch die Diskussion sollte nicht auf Registrierungszahlen oder mögliche Bußgelder verkürzt werden. Die entscheidende Frage lautet vielmehr: Verstehen Unternehmen Cybersicherheit als regulatorische Pflicht – oder als strategischen Erfolgsfaktor?

Cybersicherheit ist eine Führungsaufgabe

Cyberangriffe haben sich längst zu einem der größten Geschäftsrisiken entwickelt. Produktionsausfälle, Lieferkettenstörungen, Datenverluste und Reputationsschäden können Unter-nehmen jeder Größe existenziell treffen. Die geopolitischen Spannungen, die zunehmende Professionalisierung krimineller Akteure und die rasante Digitalisierung erhöhen den Handlungsdruck zusätzlich.

NIS-2 verfolgt deshalb einen wichtigen Ansatz: Cybersicherheit wird von einer rein technischen Fragestellung zu einer Management- und Governance-Aufgabe. Geschäftsleitungen tragen künftig eine deutlich stärkere Verantwortung für die Cyberresilienz ihrer Organisationen.

Diese Entwicklung ist grundsätzlich richtig. Gleichzeitig zeigt die Praxis, dass viele Unternehmen noch Unterstützung benötigen, um die Anforderungen in wirksame Sicherheitsmaßnahmen zu übersetzen. Gerade für den Mittelstand sind klare Orientierungshilfen, praxisnahe Standards und der Zugang zu qualifizierten Fachkräften oftmals wichtiger als die Androhung von Sanktionen.

Kooperation statt Überforderung

Deutschland benötigt einen Ansatz, der Sicherheit stärkt, ohne Innovationskraft und Wettbewerbsfähigkeit zu beeinträchtigen. Die Umsetzung von NIS-2 darf nicht zu einer weiteren bürokratischen Belastung werden, sondern muss einen echten Mehrwert für die Resilienz der Unternehmen schaffen.

Dazu gehören:

  • verständliche und praxisnahe Auslegungshilfen,
  • branchenspezifische Unterstützungsangebote,
  • ein intensiver Austausch zwischen Staat, Wirtschaft und Wissenschaft,
  • sowie ein konsequenter Fokus auf die tatsächliche Risikoreduzierung statt auf reine Compliance.

Cybersicherheit entsteht nicht durch Formulare, sondern durch gelebte Sicherheitskultur, funktionierende Prozesse und belastbare Partnerschaften.

Deutschland braucht eine gemeinsame Cyberstrategie

Die schleppende Umsetzung von NIS-2 verdeutlicht zugleich ein grundlegenderes Problem: Deutschland verfügt noch immer nicht über eine ausreichend vernetzte Cyberökonomie. Staatliche Stellen, Wirtschaft, Wissenschaft und Sicherheitsbehörden verfolgen oftmals dieselben Ziele, arbeiten jedoch zu selten entlang einer gemeinsamen strategischen Agenda.

Gerade deshalb ist es entscheidend, die Debatte über Cybersicherheit nicht auf regulatorische Mindestanforderungen zu begrenzen. Deutschland muss den Anspruch entwickeln, eine führende Cybernation zu werden – mit resilienten Unternehmen, leistungsfähigen Sicherheitsbehörden, einer starken Forschungslandschaft und einer wettbewerbsfähigen Cybersicherheitsindustrie.

Forderung des Wirtschaftsrates

Der Wirtschaftsrat fordert, die Umsetzung von NIS-2 konsequent an den Prinzipien Praxisnähe, Verhältnismäßigkeit und Wirksamkeit auszurichten. Unternehmen benötigen klare Orientierung, Planungssicherheit und einen partnerschaftlichen Dialog mit den zuständigen Behörden. Gleichzeitig muss die Bundesregierung die Cybersicherheit als zentrale Zukunfts- und Wettbewerbsfrage behandeln und den Aufbau einer leistungsfähigen Cybernation strategisch vorantreiben.

Über diese und weitere Fragen wird sich auch die Bundesfachkommission Cybersicherheit des Wirtschaftsrates am 23. und 24. Juni in Berlin im Rahmen der Veranstaltung „Wir bauen die Cybernation. Von der Vision zur Wirkung“ austauschen. Im Mittelpunkt stehen konkrete Handlungsempfehlungen für eine resilientere digitale Wirtschaft und eine wirksamere Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft.


Drucken

Schlagworte