NIS-2 einfach ignorieren? Warum das keine gute Idee ist
Die Versuchung ist verständlich. NIS-2 klingt für viele Unternehmen nach noch mehr Regulierung, noch mehr Pflichten und noch mehr Aufwand. Dann liegt der Gedanke nahe: Vielleicht betrifft uns das am Ende gar nicht so richtig. Vielleicht warten wir erst einmal ab.
Genau dieser Reflex ist riskant. In Deutschland gilt das NIS-2-Umsetzungsgesetz seit dem 06.12.2025, und das BSI geht von rund 29.500 erstmals regulierten Unternehmen aus.
Die kurze Antwort
Wenn Ihr Unternehmen tatsächlich unter NIS-2 fällt, ist ignorieren keine kluge Strategie. Dann sprechen wir nicht über eine freiwillige Best Practice, sondern über gesetzliche Pflichten: Risikomanagementmaßnahmen, Meldepflichten, Registrierung, Verantwortung der Geschäftsleitung und sogar eine Schulungspflicht für Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen.
Der einzige Fall, in dem "ignorieren" überhaupt Sinn ergibt
Es gibt genau einen Fall, in dem Sie NIS-2 nicht weiter vertiefen müssen: wenn Sie sauber geprüft haben, dass Ihr Unternehmen nicht betroffen ist. Das ist etwas anderes als Verdrängung. Das BSI stellt dafür einen Entscheidungsbaum und eine Betroffenheitsprüfung bereit und weist zugleich darauf hin, dass das Ergebnis der Online-Prüfung nicht rechtlich bindend ist. Wer also guten Gewissens sagen will "betrifft uns nicht", sollte das vorher belastbar prüfen.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: Das wird schon noch dauern, bis das wirklich relevant wird.
Genau das stimmt inzwischen nicht mehr. Das Gesetz ist in Kraft, das BSI ist für deutlich mehr Unternehmen Aufsichtsbehörde, und das neue BSI-Portal steht zur Verfügung. Wer also heute noch so tut, als sei NIS-2 nur politische Ankündigung, arbeitet mit einem veralteten Bild.
Warum "abwarten" in vielen Unternehmen so beliebt ist
Auch das ist nachvollziehbar. Viele Unternehmen haben echte operative Themen auf dem Tisch: Kunden, Liefertermine, Personal, IT-Projekte, Vertrieb, Abschwung.
Dagegen wirkt NIS-2 schnell wie ein abstraktes Gesetzesmonster. Das Problem ist nur: Gesetzliche Pflichten werden nicht dadurch kleiner, dass man sich später mit ihnen beschäftigt. Meistens passiert das Gegenteil. Je später ein Unternehmen anfängt, desto mehr wird aus einer strukturierten Umsetzung ein hektisches Nachrüsten. Diese Einschätzung ist eine praktische Schlussfolgerung aus den geltenden Pflichten und den frühen Melde- und Registrierungserfordernissen.
NIS-2 ist nicht nur ein IT-Thema
Ein weiterer Denkfehler lautet: Das macht dann halt die IT.
Genau das greift zu kurz. Das BSI stellt die besondere Verantwortung der Geschäftsleitung ausdrücklich heraus. Die Geschäftsleitung muss gewährleisten, dass Cybersicherheit integraler Bestandteil der Geschäfte und des Risikomanagements ist. Zusätzlich gibt es eine Schulungspflicht für Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen. Wer NIS-2 ignoriert, schiebt das Thema also nicht einfach an die IT ab, sondern ignoriert unter Umständen Pflichten auf Leitungsebene.
Warum Ignorieren rechtlich und praktisch riskant ist
Wenn Ihr Unternehmen betroffen ist, geht es bei NIS-2 nicht nur um "man sollte mal etwas verbessern". Es geht um echte Pflichten zu Risikomanagementmaßnahmen, Vorfallmeldungen und organisatorischer Aufstellung. Dazu kommt die Aufsicht. Die EU-Richtlinie selbst verlangt wirksame Sanktionen und nennt für wesentliche Einrichtungen sehr hohe Obergrenzen bei Verwaltungsstrafen; außerdem können Leitungsorgane für Verstöße verantwortlich gemacht werden. Auf deutscher Seite beschreibt das BSI bereits den praktischen Vollzug über neue Pflichten, Registrierung und Meldewege.
24 Stunden sind kein guter Moment, um erst anzufangen
Einer der unbequemsten Punkte an NIS-2 ist die Meldepflicht bei erheblichen Sicherheitsvorfällen. Das BSI beschreibt für betroffene Einrichtungen entsprechende Meldewege, und die NIS-2-Logik arbeitet mit sehr frühen Fristen. Wer im Ernstfall erst dann anfängt zu klären, wer eigentlich zuständig ist, wie Vorfälle eingestuft werden und wer melden darf, ist schon zu spät dran. Genau deshalb ist NIS-2 keine Theorievorschrift, sondern verlangt Vorbereitungsfähigkeit.
Das eigentliche Problem ist nicht NIS-2, sondern Verdrängung
Viele Unternehmen machen nicht den Fehler, dass sie NIS-2 fachlich falsch verstehen. Sie machen den Fehler, dass sie es zu lange wegdrücken.
Das sieht dann so aus:
- Niemand prüft sauber die Betroffenheit.
- Keiner benennt Verantwortliche.
- Niemand bereitet Management und Geschäftsleitung vor.
- Keiner klärt den Meldeweg.
- Niemand baut die nötigen Risikomanagementmaßnahmen mit Priorität auf.
Das ist gefährlich, weil NIS-2 keine einmalige Formalie ist, sondern einen systematischen Umgang mit Cybersicherheit verlangt. Das BSI formuliert diese Pflicht inzwischen sehr klar für wichtige und besonders wichtige Einrichtungen.
Was stattdessen sinnvoll ist
Die bessere Haltung lautet nicht: Wir machen jetzt panisch alles.
Sondern: Wir prüfen sauber, ob wir betroffen sind, und bauen dann strukturiert auf.
Pragmatisch heißt das:
1. Betroffenheit prüfen
Nicht nach Bauchgefühl, sondern anhand der BSI-Hilfen und im Zweifel mit juristischer Einordnung.
2. Geschäftsleitung ins Boot holen
Nicht als Zuschauer, sondern als Verantwortungsträger.
3. Pflichtenbild klären
Risikomanagementmaßnahmen, Meldelogik, Registrierung, Schulungspflichten, Zuständigkeiten.
4. Lücken priorisieren
Nicht alles gleichzeitig, sondern die größten Pflichten- und Risikolücken zuerst schließen. Diese Priorisierungslogik ist eine praktische Schlussfolgerung aus dem breiten Pflichtenspektrum.
5. Dokumentation von Anfang an mitdenken
Ein Punkt wird bei NIS-2 oft zu spät ernst genommen: Dokumentation.
Viele Unternehmen denken erst dann daran, Dinge sauber aufzuschreiben, wenn eine Behörde, ein Kunde, ein Auditor oder ein Versicherer Fragen stellt. Genau dann ist es aber zu spät. Wenn nachgefragt wird, müssen Zuständigkeiten, Entscheidungen, Maßnahmen, Schulungen, Vorfallwege und Umsetzungen bereits nachvollziehbar dokumentiert sein - nicht erst im Nachhinein aus Erinnerungen rekonstruiert werden.
Und: Man sieht Dokumentation an, wenn die in einer Nachtschicht hektisch per KI erstellt worden ist.
Das gilt nicht nur für die Aufsichtsbehörden wie das BSI, sondern auch ganz praktisch für betriebliche Haftpflichtversicherungen mit Cyberversicherungsanteil. Spätestens wenn es nach einem Vorfall um Deckung, Obliegenheiten oder die Frage geht, welche Sicherheitsmaßnahmen tatsächlich bestanden haben, ist improvisierte Nachdokumentation ein sehr schwaches Fundament.
Darum sollte Dokumentation nicht als lästige Nacharbeit behandelt werden, sondern als fester Teil der Umsetzung:
- Rollen und Verantwortlichkeiten;
- Schulungen der Geschäftsleitung;
- Risikomanagementmaßnahmen;
- Vorfall- und Meldeprozesse;
- umgesetzte Entscheidungen und Nachweise.
Dann haben Sie im Ernstfall nicht nur "irgendetwas gemacht", sondern können auch zeigen, was Sie gemacht haben.
FAQ
Unser Tipp
NIS-2 einfach zu ignorieren, ist keine clevere Abkürzung. Es ist höchstens dann vertretbar, wenn Sie sauber geprüft haben, dass Ihr Unternehmen nicht betroffen ist. Für betroffene Unternehmen ist die Lage heute klar: Das Gesetz gilt, die Pflichten laufen, die Geschäftsleitung steht mit in der Verantwortung und die Aufsicht ist nicht mehr nur Theorie. Der vernünftige Weg ist deshalb nicht Verdrängung, sondern saubere Einordnung und strukturierte Umsetzung.
Interesse geweckt?
Wenn Sie klären wollen, ob NIS-2 Ihr Unternehmen wirklich betrifft und wie Sie das Thema ohne unnötige Panik, aber auch ohne Wegdrücken sauber aufsetzen, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!