Wer sollte sich jetzt mit NIS-2 befassen?

NIS-2 betrifft Unternehmen aus zahlreichen kritischen und "sonstigen wichtigen" Sektoren – darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Lebensmittel, Chemie, verarbeitendes Gewerbe wie Maschinen- und Fahrzeugbau, Post‑ und Kurierdienste oder Forschung. Entscheidend sind Sektorzugehörigkeit und Unternehmensgröße:

• Besonders wichtige Einrichtungen (bwE): meist ab 250 Mitarbeitenden oder > 50 Millionen Euro Umsatz / >43 Millionen Euro Bilanzsumme
   
• Wichtige Einrichtungen (wE): ab 50 Mitarbeitende  oder > 10 Millionen Euro Umsatz / > 10 Millionen Euro Bilanzsumme

Auch Unternehmen, die selbst nicht direkt unter NIS-2 fallen, können mittelbar betroffen sein. NIS-2‑pflichtige Firmen müssen die Sicherheit ihrer Lieferkette nachweisen – und fordern daher zunehmend Cyber-Sicherheitsstandards und Dokumentationen von ihren Zulieferern und Dienstleistern.

Wo sehen Unternehmen aktuell den größten Handlungsbedarf?

Unternehmen müssen Prozesse, Verantwortlichkeiten und Strukturen für Cybersicherheit klar definieren – inklusive eines wirksamen Incident‑Response-Managements (geregeltes Vorgehen bei IT‑Sicherheitsvorfällen) und Business‑Continuity-Managements (Maßnahmen, damit der Betrieb auch bei Störungen weiterläuft).

Gefordert sind technische und organisatorische Maßnahmen "nach Stand der Technik". Dazu gehören Risikoanalysen, Schulungen, Zugriffskontrollen, sichere Softwareentwicklung, Backup‑Konzepte und Lieferketten-Sicherheit. Diese müssen dokumentiert werden, zum Beispiel in Form von Richtlinien, Checklisten, Schulungsnachweisen oder Auditberichten.

Bei erheblichen Sicherheitsvorfällen gelten strenge Fristen für eine Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI): Gesetzlich vorgesehen sind eine frühe Erstmeldung innerhalb von 24 Stunden, eine Vorfallsmeldung innerhalb von 72 Stunden sowie gegebenenfalls Zwischen‑ und Abschlussmeldungen.

Was ist aus DIHK‑Sicht praxistauglich?

NIS-2 verlangt Maßnahmen, die "geeignet und verhältnismäßig" sind. Das schafft Freiräume für pragmatische Lösungen, die zur Unternehmensgröße und zum Risiko passen.

Viele Anforderungen lassen sich gut über etablierte Rahmenwerke beziehungsweise Zertifizierungen wie ISO 27001 oder bestehende Informationssicherheits-Managementsysteme erfüllen. Wichtig bleibt eine Gap‑Analyse, da ISO allein NIS-2 nicht vollständig abdeckt.

Gerade kleine und mittlere KMU brauchen klare, einfach umsetzbare Vorgaben sowie Tools, die branchenspezifisch und kostenfrei Unterstützung bieten. Das BSI stellt viele Informationen auf seiner Website bereit (www.bsi.bund.de). Weitere Angebote wie der FitNIS2-Navigator von Deutschland sicher im Netz e. V. unterstützen (fitnis2.de).

Wo sieht die Wirtschaft noch offene Fragen oder Probleme?

Für viele Unternehmen ist noch immer unklar, ob sie tatsächlich unter NIS-2 fallen – insbesondere im verarbeitenden Gewerbe. Auch die Dokumentationsanforderungen, zusätzliche Prüfungen und Meldepflichten können für Mittelständler erheblichen Aufwand verursachen. Zudem sorgen offene Fragen zur Aufsichtspraxis (zum Beispiel Prüfungen durch das BSI) für Unsicherheit.

Welche Position vertritt die DIHK?

Die DIHK unterstützt das Ziel, die Cybersicherheit zu stärken. Unternehmen dürfen mit der Umsetzung aber nicht überlastetet werden. Entscheidend ist, dass klar geregelt wird, wer genau betroffen ist und welche Maßnahmen tatsächlich notwendig sind. Ebenso wichtig sind maßvolle Dokumentationspflichten, damit die Anforderungen nicht ausufern. 

Für die Wirtschaft zählt vor allem eine praxisnahe Umsetzung, die bestehende Standards nutzt und besonders den Mittelstand nicht unnötig belastet.