NIS-2: Die Hälfte der deutschen Unternehmen hat noch nie davon gehört

Ein Kongress mit einer ernüchternden Botschaft

Stellen Sie sich vor: Ein Gesetz tritt in Kraft, das Tausende Unternehmen in Deutschland betrifft, mit persönlicher Haftung der Geschäftsführung, Meldepflichten und konkreten Sicherheitsanforderungen. Und ein halbes Jahr später weiß die Hälfte der Betroffenen noch nicht einmal, dass es dieses Gesetz gibt.

Klingt absurd? Ist aber Realität.

Genau dieses Bild zeichnete der 21. Deutsche IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Anfang April 2025. Ein ganzer Vortragsblock war dem Thema NIS-2 gewidmet – und die Erkenntnisse waren alles andere als beruhigend.

Was das BSI auf seinem Kongress festgestellt hat

Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft machte keinen Hehl daraus: Die Registrierungszahlen im BSI-Portal bleiben weit unter den Erwartungen. Bis zum 6. März 2025 hätten sich alle als „wichtig" oder „besonders wichtig" eingestuften Einrichtungen beim BSI melden müssen. Das ist nicht passiert.

Noch beunruhigender: Das BSI weiß von mehreren Unternehmen, die nach Rücksprache mit ihrer Rechtsabteilung bewusst entschieden haben, sich nicht zu registrieren. Die Hoffnung dahinter: Wenn man still bleibt, fällt man vielleicht nicht auf.

Bach wählte dafür einen treffenden Vergleich: Das erinnert an die Steuerpflicht. Ob man steuerpflichtig ist, entscheidet nicht der Unternehmer selbst – das entscheidet das Finanzamt. Mit NIS-2 ist es genauso.

Und dann ist da noch die Zahl, die einem wirklich die Sprache verschlägt: Laut einer BSI-Studie vom Ende des letzten Jahres hatte knapp die Hälfte der deutschen Unternehmen noch nie den Begriff „NIS-2" gehört.

Wer ist von NIS-2 eigentlich betroffen?

NIS-2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die seit Oktober 2024 in Deutschland gilt. Sie verpflichtet Unternehmen in sogenannten kritischen und wichtigen Sektoren dazu, grundlegende Cybersicherheitsmaßnahmen umzusetzen – und sich beim BSI zu registrieren.

Betroffen sind unter anderem Unternehmen aus den Bereichen Energie, Wasser, Gesundheit, Transport, digitale Infrastruktur, aber auch viele mittelständische Betriebe aus der Fertigungs- und Lebensmittelbranche. Als Faustregel gilt: Wer in einem der erfassten Sektoren tätig ist und mehr als 50 Mitarbeitende oder über 10 Millionen Euro Jahresumsatz hat, sollte seine Betroffenheit ernsthaft prüfen.

Die persönliche Haftung der Geschäftsführung ist dabei kein leeres Wort. Wer als Betriebsleiter die NIS-2-Pflichten ignoriert, kann im Schadensfall direkt in die Verantwortung gezogen werden.

Was die Forschung zum Mittelstand zeigt

Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der TU München mit der NIS-2-Umsetzung bei kleinen und mittelständischen Unternehmen beschäftigt hat, bestätigte auf dem Kongress: Viele Firmen haben sich erst Anfang 2026 überhaupt erstmals mit dem Thema auseinandergesetzt – also mehr als ein Jahr nach Inkrafttreten.

Und selbst die, die es kennen, sehen die Umsetzung oft als lästige Pflichtaufgabe ohne echten Mehrwert. Kein Wunder, dass der Fortschritt schleppend ist.

Das ist schade. Denn NIS-2 ist keine bürokratische Fingerübung. Hinter den Anforderungen stecken reale Maßnahmen, die Unternehmen tatsächlich widerstandsfähiger gegen Cyberangriffe machen: strukturiertes Risikomanagement, definierte Notfallprozesse, klare Verantwortlichkeiten. Wer das als Checkliste abarbeitet, ohne zu verstehen warum, verschenkt echten Mehrwert.

Unsere Einschätzung

Was den BSI-Kongress geprägt hat, sehen wir in unserer täglichen Beratungspraxis genauso. Es gibt eine große Gruppe von Unternehmen, die NIS-2 schlicht ignorieren - aus Unwissenheit, aus Zeitmangel oder in der Hoffnung, unter dem Radar zu bleiben.

Das wird nicht funktionieren. Das BSI hat klar signalisiert, dass es die Registrierungspflicht ernst nimmt. Und die Aufsichtsbehörden werden zunehmend aktiv. Wer jetzt noch wartet, riskiert nicht nur Bußgelder - sondern im Ernstfall auch die persönliche Haftung der Geschäftsführung.

Die gute Nachricht: Es ist nicht zu spät. Wer jetzt handelt und seine Betroffenheit prüft, kann die notwendigen Schritte strukturiert angehen. NIS-2 ist kein Hexenwerk – aber man muss es anfassen.

Fazit

Die Botschaft des BSI-Kongresses ist eindeutig: Deutschland liegt bei der NIS-2-Umsetzung erheblich hinter dem Zeitplan. Zu viele Unternehmen kennen das Thema nicht, zu viele unterschätzen ihre eigene Betroffenheit, und ein Teil weicht der Meldepflicht bewusst aus. Das ist riskant – für die IT-Sicherheit der Unternehmen und für die Geschäftsführer persönlich. Es lohnt sich, jetzt aktiv zu werden.

---

Unsicher, ob Ihr Unternehmen von NIS-2 betroffen ist?

Genau das ist die häufigste Frage, die wir hören – und die wichtigste. Wir helfen Ihnen, Ihre Betroffenheit zu prüfen, die nächsten Schritte zu planen und die Registrierung beim BSI durchzuführen. Praxisnah, ohne Bürokratie-Chinesisch.