Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschäftigte sich am Mittwoch ein ganzer Vortragsblock mal wieder mit der NIS-2. Die vielbeschriene EU-Richtlinie zur Absicherung von Unternehmenssoftware und -netzen ist bekanntermaßen im Oktober 2024 in Kraft getreten. Trotzdem beschäftigt die NIS-2 und deren Umsetzung nach wie vor das BSI und seine Partner in der IT-Industrie. Das liegt vor allem daran, dass bisher viel weniger Firmen die Vorschriften der Richtlinie erfüllen, als man eigentlich bei einem solchen Gesetz erwarten würde.

Registrierung beim BSI läuft schleppend

Wie Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft in seiner Einführung ansprach, ist es sehr schwierig, konkrete Zahlen zur NIS-2-Umsetzung in der deutschen Wirtschaft zu erheben. Die Registrierungszahlen beim BSI von Firmen, die laut dem Gesetz als "wichtige" oder "besonders wichtige" Einrichtungen dazu verpflichtet sind, bleiben aber nach wie vor unter den Erwartungen. Bis zum 6. März hätten sich eigentlich alle entsprechenden Unternehmen beim BSI melden müssen.

Laut Bach weiß das BSI von mehreren meldepflichtigen Unternehmen, die nach Konsultation der Firmenspitze mit Rechtsbeiständen zu dem Schluss gekommen sind, bewusst die eigene Firma nicht zu melden, obwohl dies wohl nötig wäre. Wohl um keine schlafenden Hunde zu wecken. Ein kürzlich veröffentlichter Bericht der Firma Schwarz Digits legt nahe, dass dies keine Einzelfälle sind.

Bach wies in diesem Zusammenhang darauf hin, dass Geschäftsführungen das Thema ernst nehmen sollten — nicht nur wegen der im Gesetz festgeschriebenen persönlichen Haftung der Betriebsleitung. Nur weil man selbst der Meinung sei, die eigene Firma sei nicht meldepflichtig, entspräche das noch lange nicht der Realität. Bach verglich das mit der Steuerpflicht, da könne man auch nicht selbst entscheiden, ob diese zutreffe.

Knapp die Hälfte der Unternehmen hat nie von der NIS-2 gehört

Dass sich viele Firmen bisher noch nicht beim BSI gemeldet haben, obwohl sie das eigentlich müssten, liegt aber wohl auch daran, dass in vielen Firmen nach wie vor das Bewusstsein fehlt, was die NIS-2 überhaupt ist. Schlimmer noch, es gibt wohl aber auch noch eine große Anzahl an Firmen in Deutschland, die gar nicht wissen, dass die NIS-2 überhaupt existiert. Laut Manuel Bach hat das BSI im Rahmen einer Studie Ende letzten Jahres festgestellt, dass knapp die Hälfte der deutschen Unternehmen noch nicht einmal den Begriff "NIS-2" gehört hatten.

Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit and der Technischen Universität München mit der Umsetzung der NIS-2 bei kleinen und mittelständischen Unternehmen in Deutschland beschäftigt hatte, sagte in seinem Vortrag, dass viele der von ihm befragten Unternehmen angaben, erst jetzt, Anfang 2026, damit begonnen zu haben, sich mit der NIS-2 auseinanderzusetzen. Laut Ahmadzei sehen viele Firmenvertreter die Umsetzung des Gesetzes als reine Pflichtaufgabe und bezweifelten, dass die damit verbundenen Prozesse die IT-Sicherheit in ihrem Unternehmen verbessern würden.

Am Ende des Vortragsblocks zu diesem Thema stellte auch Manuel Bach vom BSI fest, dass die Bundesregierung — aber auch seine eigene Behörde — beim Thema NIS-2 noch viel Arbeit vor sich habe. Die geringe Kenntnis über dieses Thema in weiten Teilen der Wirtschaft deute klar darauf hin, dass hier noch viel Aufklärungsarbeit zu leisten sei. Und vor allem sieht es so aus, als ob ein nicht unerheblicher Teil der deutschen IT-Landschaft darüber hinaus dann auch noch davon überzeugt werden muss, dass die Umsetzung dieses EU-Gesetzes mehr als eine Arbeitsbeschaffungsmaßnahme durch EU-Kommission und BSI ist.

↵ Zurück zur Homepage