NIS2 in der Praxis: Was Unternehmen aus den Erfahrungen der Großen lernen können
Die NIS2-Richtlinie ist kein theoretisches Konstrukt mehr. In Deutschland ist die Registrierungsfrist für betroffene Einrichtungen längst abgelaufen, in Österreich tritt das Umsetzungsgesetz mit 1. Oktober in Kraft. Damit verschiebt sich die Diskussion endgültig: weg von der Frage „sind wir betroffen?" hin zur deutlich unbequemeren Frage „wie setzen wir das im Alltag um?".
Auf einer aktuellen Diskussionsrunde auf der Prisec Germany mit Compliance- und Sicherheitsverantwortlichen aus Konzernen wie Bayer, Siemens Energy, Dräger, OMV sowie der Beratungsperspektive einer Wirtschaftskanzlei wurde für mich eines deutlich: Die Theorie ist verstanden, die Praxis ist die eigentliche Herausforderung. Die folgenden Erkenntnisse fasse ich für die Umsetzung in betroffenen Unternehmen zusammen.
Der eigentliche Game Changer ist die Breite
NIS1 war ein Thema für eine überschaubare Zahl klassischer Betreiber kritischer Infrastrukturen. NIS2 trifft eine Vielzahl von Branchen, die vorher mit dem Thema nichts zu tun hatten. Pharmazie, Lebensmittel, Maschinenbau, Logistik, IT-Dienstleister, viele Mittelständler in der Lieferkette der Großen. Wer betroffen ist, sollte sich nicht mit einer punktuellen Maßnahme zufriedengeben, sondern strukturell denken.
Ein wesentlicher Hebel ist die Anschlussfähigkeit an bestehende Managementsysteme. Wer bereits nach ISO 27001 zertifiziert ist, hat einen großen Teil der NIS2-Anforderungen abgedeckt. Die organisatorischen Maßnahmen werden in der (noch nicht gültigen) österreichischen Verordnung ausdrücklich honoriert.
Wer noch nichts hat, sollte ISO 27001 nicht als „Zusatzaufwand" denken, sondern als das Fundament, auf dem sich NIS2, DORA, KI-Verordnung und Datenschutz gemeinsam tragen lassen.
Zentralisierung ist in der Regel die bessere Wahl
Eine klare Empfehlung der Praktiker: Steuerung zentral, fachliche Umsetzung dezentral. Konkret heißt das, ein zentrales Compliance- und Sicherheitsmanagement, das die unterschiedlichen Rechtsakte koordiniert, mit lokalen Ansprechpersonen für Behördenkommunikation und sprachliche Themen. Ein multinationaler Konzern, der in jedem Land eine eigene Suppe kocht, scheitert spätestens an den Meldefristen.
Zentrale Meldungen lassen sich in einer Stunde abstimmen, eine konzernweite Diskussion mit 20 Landesgesellschaften nicht. Die EU-Kommission hat vor kurzem zentrale Meldewege ausdrücklich erlaubt. Das ist die richtige Richtung, sollte aber konsequent auch bei den Behörden umgesetzt werden, was in Österreich angesichts der unterschiedlichen Meldestellen noch eine offene Baustelle ist.
24 Stunden Meldefrist ist die neue Baseline
In Österreich liegen die NIS2-Meldefristen zwischen 12 und 72 Stunden, in Deutschland nicht wesentlich anders. Wer parallel Datenschutzvorfälle, Produkthaftungsthemen oder vertragliche Meldepflichten gegenüber Kunden hat, sollte sich an der jeweils kürzesten Frist orientieren und einen Top-Level-Prozess für sicherheitsrelevante Vorfälle bauen, an dem sich alle anderen Meldewege anschließen.
Eine sehr klare Empfehlung aus der Diskussion: Die Prozesse müssen geübt werden.
Krisenstabsübungen unter Zeitdruck können schonungslos zeigen, wo die Schwachstellen liegen, und sie haben einen unerwarteten aber erfreulichen Nebeneffekt: Sie schaffen Akzeptanz im Management, das die Komplexität vorher oft unterschätzt hat.
Wer interne Audits nach ISO 27001 macht, sollte NIS2-relevante Controls bewusst mit abprüfen.
Lieferantenmanagement ist die größte Herausforderung
Das Thema Lieferkette wurde im Panel ausführlich und kontrovers diskutiert. Auf der einen Seite steht die berechtigte Forderung der NIS2, auch entlang der Supply Chain Sicherheit nachzuweisen. Auf der anderen Seite die Realität: Kunden überschütten Lieferanten mit 98-seitigen Fragebögen, jeder hat ein eigenes ISMS, vertragliche Klauseln versuchen, Risiken vollständig auf den Zulieferer abzuwälzen.
Praktikabel ist nur ein abgestuftes Vorgehen. Lieferanten in Risikoklassen einteilen, diese mit unterschiedlich tiefen Prüfverfahren belegen, vertragliche Anforderungen entsprechend differenzieren. Der Bleistiftlieferant braucht keinen 27001-Audit, der Cloud-Provider mit privilegiertem Zugriff schon. Wer alles gleich kritisch behandelt, prüft am Ende nichts mehr ernsthaft.
Schwierig wird es bei Single Suppliers, also Lieferanten ohne realistische Alternative. Die ehrliche Antwort lautet hier: Risikoanalyse, Workarounds wo möglich, Akzeptanz und Dokumentation, wo nicht. Diese Fälle gehören sauber dokumentiert, denn im Schadensfall zählt der Nachweis, alles Erdenkliche getan zu haben.
Registrierung lokal mit zentraler Steuerung
Die Registrierungspflicht hat sich für viele Konzerne als unerwartet aufwendig erwiesen. Unterschiedliche Schwellenwerte, unterschiedliche Definitionen, unterschiedliche Behördenportale. In Deutschland sind sogar die ELSA-Zertifikate aus der Steuerwelt aufgetaucht, was zu skurrilen Rückfragen interner Steuerabteilungen geführt hat.
Bewährt hat sich, die Registrierung lokal zu vergeben (sprachlich und rechtlich sinnvoll) und zentral zu überwachen. Konzernweite Übersichten über Schwellenwerte, Mitarbeiterzahlen, Umsätze und Geschäftstätigkeiten je Tochtergesellschaft sind Pflicht. Die Behördenportale sind zum Teil unausgereift, Antwortfristen werden überschritten, manche Mitgliedstaaten klassifizieren ohne Widerspruchsmöglichkeit. Hier hilft nur Geduld und konsequentes Nachfassen.
Was kann man jetzt konkret tun?
Wer noch nicht weiß, ob das Unternehmen betroffen ist, sollte das umgehend prüfen. Wer betroffen ist, sollte folgende Schritte priorisieren:
- Erstens: Eine ehrliche Gap-Analyse gegen ISO 27001 machen. In den meisten Fällen ist mehr da, als man denkt.
- Zweitens: Ein zentrales Incident-Response-Verfahren etablieren, das alle Meldepflichten (NIS2, Datenschutz, KI-Verordnung, vertragliche Pflichten, Produktsicherheit) bündelt und an der kürzesten Frist orientiert. Dieses Verfahren mindestens einmal im Jahr in einer realistischen Übung testen.
- Drittens: Lieferantenmanagement risikobasiert aufsetzen. Drei bis vier Klassen, jeweils mit klaren Prüf- und Vertragsanforderungen.
- Viertens: Geschäftsführung einbinden, nicht nur informieren. NIS2 ist ein Governance-Thema mit persönlicher Haftung der Leitungsorgane, kein IT-Thema.
- Fünftens: In Österreich nicht das RKEG (Resilienz Kritischer Einrichtungen Gesetz) vergessen. Es trennt sich von NIS2, gehört aber inhaltlich zusammen, weil physische und logische Sicherheit nicht voneinander zu lösen sind.
Fragen und Antworten aus dem Panel
Im Anschluss an die Diskussion wurden einige Fragen aus dem Publikum aufgenommen, die in der Praxis immer wieder auftauchen. Hier eine kurze Zusammenfassung.
Wie ist das Verhältnis von NIS2-Nachweisen zur datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO? In Deutschland verweist die Gesetzesbegründung auf die DSGVO-Rechenschaftspflicht, in Österreich gibt es eine eigene Norm für den NIS2-Nachweis. In der Praxis dokumentieren die meisten Unternehmen getrennt, weil Datenschutz und Cybersicherheit oft fachlich unterschiedliche Bereiche sind. Spannend wird die Frage, wie die Nicht-Vornahme von Risikomaßnahmen dokumentiert wird, also bewusst getroffene Entscheidungen, etwas nicht umzusetzen. Das BSI erwartet hierfür einen nachvollziehbaren Ort, und die ISO 27001-Risikomanagementdokumentation eignet sich dafür gut.
Wie geht man mit Single Suppliers um, wenn keine Alternative verfügbar ist und der Lieferant Sicherheit nicht ernst nimmt? Es gibt keine Patentlösung. In der Praxis greifen drei Strategien: Workaround-Lösungen entwickeln, das Problem zumindest temporär selbst lösen, oder das Risiko bewusst akzeptieren und sauber dokumentieren. Entscheidend ist, dass die Geschäftsführung diese Akzeptanz mitträgt und die Verantwortung im Enterprise Risk Management klar verortet ist. Der Verweis auf die Brexit-Erfahrungen im Datenschutz war hier sehr passend: Auch dort hat man monatelang ohne Angemessenheitsbeschluss arbeiten müssen, ohne realistische Alternativen.
Wie sind Konzerne mit der Registrierungspflicht in mehreren Mitgliedstaaten umgegangen? Die meisten haben die operative Registrierung lokal vergeben, aufgrund von Sprache und behördlicher Kommunikation, aber zentral überwacht. Lokale Kontaktpersonen werden für die Behördenkommunikation benannt, die Steuerung läuft über die Konzernzentrale. Die größere Herausforderung ist nicht die einmalige Registrierung, sondern die laufende Pflege bei sich ändernden nationalen Regelungen. Italien, Ungarn und andere haben bereits Anpassungen vorgenommen.
Welche aktive Unterstützung können Großunternehmen kritischen Lieferanten geben? Das ist in den meisten Konzernen noch kein etabliertes Thema. Üblicherweise wird über Third-Party-Risk-Management ein Mindestniveau eingefordert, aber selten aktiv unterstützt. Hier gibt es ein klares Entwicklungspotenzial. Wer von einem Lieferanten Sicherheitsstandards verlangt, ohne ihm bei der Umsetzung zu helfen, riskiert in der Praxis, ihn schlichtweg zu verlieren oder mit unrealistischen vertraglichen Zusagen abzuspeisen.
Mein Fazit
NIS2 ist nicht das Ende der Welt, aber auch nicht trivial. Wer ein gelebtes ISMS hat, eine vernünftige Lieferantenstruktur und ein interdisziplinäres Team, das Recht, IT, Sicherheit und Datenschutz verbindet, kommt gut durch. Wer all das erst aufbauen muss, sollte heute anfangen, nicht in sechs Monaten.
Der vielleicht wichtigste Lerneffekt aus der Podiumsdiskussion: Cybersicherheit ist kein IT-Thema mehr, sondern ein Governance-Thema. Wer das verstanden hat, hat den größten Schritt bereits getan.
Ich unterstütze Unternehmen bei der NIS2-Umsetzung von der Betroffenheitsanalyse über die Gap-Analyse gegen ISO 27001 bis zur Operationalisierung von Incident-Response- und Lieferantenprozessen.
Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Claude Opus 4.7, Anthropic) erstellt und vor Veröffentlichung redaktionell geprüft.
