Modern workplace with laptop

NIS-2: 20.000 Unternehmen haben die Frist verpasst, gehören Sie dazu?

/in /von

Zuletzt aktualisiert: 31. März 2026

Viele Unternehmen sind betroffen und wissen es nicht

Die Frist ist vorbei: Am 6. März hätten sich betroffene Unternehmen im Rahmen der NIS-2-Richtlinie registrieren müssen.

Was zunächst nach einer weiteren regulatorischen Vorgabe klingt, betrifft in der Realität deutlich mehr Einrichtungen und Unternehmen, als viele vermuten. Ein großer Teil hat diese Frist verpasst, häufig nicht aus Nachlässigkeit, sondern weil unklar ist, ob man überhaupt betroffen ist.

Aktuelle Schätzungen zeigen: Rund 30.000 Unternehmen aus verschiedenen Sektoren fallen unter die Vorgaben. Registriert haben sich bislang jedoch nur etwa 11.500.

Zehntausende Organisationen stehen damit potenziell in der Pflicht, ohne es zu wissen.

1. Warum NIS-2 häufig unterschätzt wird

Ein zentraler Grund liegt in der Wahrnehmung. Viele Unternehmen verbinden Vorgaben zur Cybersicherheit noch immer mit klassischen KRITIS-Infrastrukturen oder sehr großen Konzernen. Mittelständische Betriebe gehen häufig davon aus, nicht betroffen zu sein, obwohl genau sie zunehmend in den Fokus rücken.

Dabei ist NIS-2 keine komplett neue Entwicklung. Das aktuelle Umsetzungsgesetz baut auf bestehenden Regelungen auf und entwickelt diese weiter. Ziel ist es, Sicherheitsstandards zu vereinheitlichen und Unternehmen besser auf reale Bedrohungen wie Cyberangriffe oder schwerwiegende Sicherheitsvorfälle vorzubereiten.

2. Was jetzt auf dem Spiel steht

Mit der neuen Richtlinie steigt die Verbindlichkeit deutlich. Unternehmen, die die Umsetzung ignorieren oder sich nicht ausreichend vorbereiten, müssen mit Konsequenzen rechnen.

Dazu zählen nicht nur finanzielle Strafen in Millionenhöhe, sondern auch mögliche Sanktionen durch zuständige Behörden wie das BSI. Besonders kritisch wird es, wenn Meldepflichten bei Sicherheitsvorfällen nicht eingehalten werden oder Risiken nicht ausreichend bewertet wurden.

Hinzu kommt ein oft unterschätzter Punkt: Die Verantwortung liegt nicht mehr allein bei der IT. Geschäftsführung und Management sind direkt in der Pflicht, sowohl bei der Organisation von Sicherheitsmaßnahmen als auch beim Risikomanagement.

Modern workplace with laptop

3. Betrifft Ihr Unternehmen überhaupt NIS-2?

Hier liegt aktuell eine große Unsicherheit. Viele Unternehmen sind sich nicht sicher, ob sie unter die neuen Anforderungen fallen.

Eine erste Einschätzung lässt sich jedoch relativ einfach treffen.

Ihr Unternehmen sollte genauer prüfen, wenn:

  • es mindestens 50 Mitarbeiter beschäftigt oder über 10 Millionen Euro Jahresumsatz erzielt
  • es Teil einer relevanten digitalen oder wirtschaftlichen Infrastruktur ist
  • es in einem der betroffenen Sektoren tätig ist
  • zentrale Prozesse stark von IT und digitalen Systemen abhängen

Schon einzelne dieser Punkte können ausreichen, um unter die NIS-2-Richtlinie zu fallen.

4. Was Unternehmen jetzt konkret tun sollten

Auch wenn die Frist bereits verstrichen ist, ist es keineswegs zu spät, aktiv zu werden. Entscheidend ist jetzt ein strukturierter Einstieg in das Thema.

Statt in Aktionismus zu verfallen, sollten Unternehmen zunächst verstehen, wo sie stehen und welche nächsten Schritte sinnvoll sind. Dazu gehört vor allem, bestehende Sicherheitsstrukturen zu hinterfragen und gezielt weiterzuentwickeln.

Ein sinnvoller Startpunkt umfasst dabei typischerweise:

  • die Klärung der eigenen Betroffenheit und regulatorischen Einordnung
  • eine erste Bewertung vorhandener Sicherheitsmaßnahmen und möglicher Lücken
  • den Aufbau eines klaren Risikomanagements
  • die Definition von Verantwortlichkeiten, auch auf Führungsebene
  • sowie die Vorbereitung auf den Umgang mit Sicherheitsvorfällen und gesetzlichen Meldepflichten
Close up of businessman hand pointing

5. NIS-2 als Chance für mehr Sicherheit

So stark aktuell über Pflichten, Verstöße und mögliche Konsequenzen gesprochen wird: NIS-2 ist in erster Linie ein Instrument zur Stärkung der unternehmerischen Sicherheit.

Unternehmen, die sich frühzeitig mit der Umsetzung beschäftigen, profitieren langfristig. Prozesse werden klarer, Risiken besser einschätzbar und der Umgang mit Cyberangriffen deutlich strukturierter.

Gleichzeitig steigt das Vertrauen, sowohl bei Kunden als auch bei Partnern und Behörden.

6. Fazit: Jetzt Klarheit schaffen und Risiken vermeiden

Die größte Herausforderung rund um NIS-2 ist derzeit nicht die Komplexität, sondern die Unsicherheit.

Viele Unternehmen wissen nicht, ob sie betroffen sind, welche Anforderungen gelten oder welche Konsequenzen bei Verstößen drohen.

Wer sich jetzt aktiv damit auseinandersetzt, schafft nicht nur Compliance, sondern legt die Grundlage für eine stabilere und sicherere Zukunft.

Cybersicherheit ist längst kein reines IT-Thema mehr, sondern ein zentraler Bestandteil moderner Unternehmensführung.

Jetzt Beratung anfragen

Das könnte Dich auch interessieren
Cybersecurity woman and computer with global netw 2025 04 06 11 22 50 utcCyber-Resilienz: Wie Unternehmen widerstandsfähig gegen Cyberangriffe werden
Post 18.09.25Was ist das NIST Cybersecurity Framework?
Webinar, Mikrofon, Schulung17.03.26 14:00 Uhr » Web-Seminar nächste Evolution von IBM Enterprise-Storage