Herr Volkmer, aktuell beschäftigen sich viele Unternehmen mit der Frage: Sind wir überhaupt von NIS2 betroffen?
Das ist verständlicherweise oft der erste Ansatzpunkt. Unternehmen wollen zunächst wissen, ob für sie konkrete gesetzliche Pflichten entstehen. Aus unserer Sicht greift diese Perspektive jedoch zu kurz. NIS2 ist mehr als ein regulatorisches Thema. Die Richtlinie definiert im Kern einen europäischen Mindeststandard für Cybersicherheit und Risikomanagement. Unternehmen sollten sich deshalb nicht nur fragen, ob sie formal betroffen sind, sondern auch: Wie gut sind wir organisatorisch und technisch aufgestellt, um Cyberrisiken zu begegnen?
Sie empfehlen also auch nicht betroffenen Unternehmen, sich mit NIS2 zu beschäftigen?
Ja, auf jeden Fall. Die Richtlinie beschreibt sehr konkret, welche organisatorischen und technischen Maßnahmen Unternehmen ergreifen sollten, um ihre IT- und Informationssicherheit zu stärken. Dazu gehören beispielsweise: ein strukturiertes Risikomanagement, klare Verantwortlichkeiten im Unternehmen, Sicherheitsprozesse und Notfallstrukturen sowie Meldewege bei Sicherheitsvorfällen. Diese Anforderungen sind keine abstrakten regulatorischen Vorgaben. Sie bilden im Grunde einen Leitfaden für moderne Unternehmenssicherheit. Deshalb sehen wir in der Praxis immer häufiger, dass Unternehmen NIS2 auch unabhängig von einer gesetzlichen Verpflichtung als Orientierungsrahmen für ihre Sicherheitsstrategie nutzen.
Warum gewinnt Cybersicherheit derzeit so stark an Bedeutung?
Die Bedrohungslage hat sich in den vergangenen Jahren deutlich verschärft. Cyberangriffe gehören inzwischen zu den größten Geschäftsrisiken für Unternehmen. Viele Organisationen sehen Ransomware-Angriffe inzwischen sogar als das größte operative Risiko – noch vor klassischen wirtschaftlichen Risiken. Der Grund liegt auf der Hand: Ein erfolgreicher Angriff kann heute ganze Geschäftsprozesse zum Stillstand bringen. Produktionsausfälle, Datenverlust, Lieferkettenprobleme oder Reputationsschäden können enorme wirtschaftliche Auswirkungen haben. Vor diesem Hintergrund ist es nur konsequent, dass Unternehmen ihre Sicherheitsstrukturen systematisch weiterentwickeln. NIS2 liefert dafür einen klaren und strukturierten Rahmen.
Aktuell wird auch viel über die Registrierungspflicht beim BSI gesprochen. Wie schätzen Sie die Situation ein?
Die aktuellen Zahlen zeigen, dass sich trotz der vorgesehenen Registrierungsfrist bis zum 6. März 2026 noch immer viele betroffene Unternehmen nicht beim BSI registriert haben. Das deutet darauf hin, dass zahlreiche Unternehmen ihre mögliche Betroffenheit noch nicht abschließend bewertet haben oder sich generell noch am Anfang der Auseinandersetzung mit dem Thema befinden. Genau deshalb ist Aufklärung und Sensibilisierung so wichtig. Viele Unternehmen unterschätzen noch immer, wie stark Cybersicherheit inzwischen zu einer strategischen Managementaufgabe geworden ist.
„NIS2 wird sich zu einem zentralen Referenzrahmen für Cybersicherheit in Europa entwickeln. Unternehmen, die sich frühzeitig damit beschäftigen, gewinnen Planungssicherheit und können ihre Sicherheitsstrukturen schrittweise weiterentwickeln.“
Welche Rolle spielt das Management bei der Umsetzung von NIS2?
Eine sehr zentrale. Ein wesentlicher Gedanke der Richtlinie ist, dass Cybersicherheit nicht mehr ausschließlich als technisches IT-Thema betrachtet werden darf. Sie ist Teil der unternehmerischen Risiko- und Governance-Strukturen. Das bedeutet: Unternehmensleitungen müssen sich stärker mit Sicherheitsrisiken, organisatorischen Maßnahmen und Verantwortlichkeiten befassen. Dabei geht es nicht darum, dass Geschäftsführer selbst technische Sicherheitsmaßnahmen umsetzen. Entscheidend ist vielmehr, dass klare Strukturen, Prozesse und Verantwortlichkeiten im Unternehmen etabliert werden.
Wie unterstützt Ratisbona Compliance Unternehmen bei der Umsetzung von NIS2?
Als Teil der P29 Group können wir Unternehmen bei diesem Thema besonders umfassend unterstützen. NIS2 betrifft unterschiedliche Bereiche eines Unternehmens – von organisatorischen Compliance-Strukturen über IT-Sicherheitsmaßnahmen bis hin zu Fragen des Datenschutzes oder der Incident Response.
Innerhalb der Gruppe bündeln wir genau diese Kompetenzen:
- Ratisbona Compliance: Governance-, Risiko- und Compliance-Strukturen
- Projekt 29: Datenschutz und Informationssicherheit
- Itago Systems: IT-Infrastruktur und Systemhausleistungen
- pen.sec AG: IT-Forensik und Incident Response
Für Unternehmen entsteht dadurch ein großer Vorteil: Sie können auf ein integriertes Kompetenznetzwerk zugreifen, das alle relevanten Aspekte moderner Cybersicherheit abdeckt. Gerade bei komplexen Themen wie NIS2 ist dieser ganzheitliche Ansatz besonders wertvoll.
Wie sieht ein typischer Einstieg für Unternehmen aus?
Bei Ratisbona Compliance haben wir das Workshopformat RC_NIS2 entwickelt. Im Workshop-Rahmen setzen wir gemeinsam mit den NIS2-Verantwortlichen im Unternehmen die Anforderungen der Richtlinie pragmatisch und ressourcenschonend um. Die Zielgruppe der Workshops sind vor allem Mittelständler mit bis zu 250 Mitarbeitenden. Der Vorteil dieses Ansatzes ist, dass Unternehmen strukturiert mit der Unterstützung eines interdisziplinären Experten-Teams aus Juristen und Technikern in das Thema einsteigen können, ohne ein großes Projekt starten zu müssen. Für größere Unternehmen bietet wir eine Umsetzung im Projektrahmen an. Zudem können Unternehmen über den von Projekt 29 entwickelten NIS2-Quick-Check eine erste Einschätzung ihrer unmittelbaren Betroffenheit erhalten.
Fazit: Was sollten Unternehmen jetzt tun?
Der wichtigste Schritt ist, sich aktiv mit dem Thema Cybersicherheit auseinanderzusetzen. NIS2 wird sich zu einem zentralen Referenzrahmen für Cybersicherheit in Europa entwickeln. Unternehmen, die sich frühzeitig damit beschäftigen, gewinnen Planungssicherheit und können ihre Sicherheitsstrukturen schrittweise weiterentwickeln. Wer hingegen erst reagiert, wenn regulatorischer Druck entsteht oder ein Sicherheitsvorfall eintritt, hat deutlich weniger Handlungsspielraum. Cybersicherheit ist heute ein wesentlicher Bestandteil verantwortungsvoller Unternehmensführung.
Das Interview führte Thorsten Retta, punktX grafik.content.konzepte
Porträtbild: Dominik Schreiner