Führungsaufgabe – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 30 Jun 2026 18:39:43 +0000 de hourly 1 Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht https://www.datensicherheit.de/herausforderung-beginn-nis-2-registrierung-unzureichend Wed, 01 Jul 2026 22:37:00 +0000 https://www.datensicherheit.de/?p=55321 Nach Beobachtung von Axians sind viele Unternehmen trotz Registrierung nicht in der Lage, die regulatorischen Anforderungen im Ernstfall zu erfüllen

[datensicherheit.de, 02.07.2026] Seit dem Inkrafttreten der NIS-2-Richtlinie Ende 2025 stehen Tausende Unternehmen vor neuen regulatorischen Anforderungen. So gilt etwa der 31. Juli 2026 als aktuelle Zielmarke für die Registrierung – doch der Fokus auf Fristen greift laut Christoph Neukam zu kurz. Nach Beobachtung von Axians sind viele Unternehmen trotz Registrierung nämlich nicht in der Lage, die regulatorischen Anforderungen im Ernstfall zu erfüllen. Neukam, „Business Unit General Manager“ der BU „Information Security & Business Resilience“ bei Axians, führt in einer aktuellen Stellungnahme aus, warum NIS-2 vor allem eine Führungsaufgabe ist, und stellt zudem klar, dass die Registrierung nur der erste Schritt eines „weit umfassenderen Prozesses“ ist.

axians-christoph-neukam

Foto: Axians

Christoph Neukam: Die größte Lücke sehen wir aktuell bei der operativen Handlungsfähigkeit im Ernstfall

Vor allem im Mittelstand große Unsicherheit über die Betroffenheit

Neukam führt aus: „Registriert ist noch lange nicht compliant! Oft haben Unternehmen die Registrierung entweder aufgeschoben oder sie als reinen Formalakt betrachtet. Beides greift zu kurz. Die eigentliche Herausforderung liegt nicht im Ausfüllen eines Formulars im BSI-Portal, sondern in der Frage, ob Unternehmen die organisatorischen Voraussetzungen geschaffen haben, um die Anforderungen dauerhaft zu erfüllen.“

  • Vor allem im Mittelstand zeige sich weiterhin große Unsicherheit darüber, ob Unternehmen überhaupt unter die NIS-2-Regulierung fallen. „Und solange diese Frage offen bleibt, scheuen viele die notwendigen Investitionen.“

Dies sei kein Zufall, denn mittelständische Unternehmen hätten oft wenig Erfahrung mit regulatorischen Anforderungen und verfügten nur über begrenzte Ressourcen, um sich strukturiert damit auseinanderzusetzen. Besonders deutlich zeige sich dies in Industrie- und Produktionsunternehmen, in der Logistik sowie bei Zulieferern kritischer Wertschöpfungsketten. Dort sei die Diskrepanz zwischen formaler Betroffenheit und operativer Umsetzung besonders ausgeprägt.

Registrierung ohne funktionierende Meldefähigkeit führt zur Schein-Sicherheit

Dazu kämen immer wiederkehrende Missverständnisse: „Viele Unternehmen glauben, NIS-2 betreffe nur KRITIS-Betreiber oder sei in erster Linie ein technisches Thema. Tatsächlich geht es um deutlich mehr.“ NIS-2 verlange einen strukturierten Umgang mit Risiken, klare Verantwortlichkeiten sowie nachvollziehbare Entscheidungsprozesse.

  • Das mache die Umsetzung zu einer Management- und „Governance“-Aufgabe, welche Geschäftsführung, „Compliance“, Informationssicherheit, IT, „Legal“ und die Fachabteilungen gemeinsam tragen müssten.

„Die größte Lücke sehen wir aktuell bei der operativen Handlungsfähigkeit im Ernstfall. Die 24-Stunden-Meldepflicht wird vielfach unterschätzt“, berichtet Neukam. Zahlreiche Unternehmen verfügten noch nicht über definierte Incident-Response-Prozesse, getestete Abläufe oder klare Eskalationsketten. Eine Registrierung ohne funktionierende Meldefähigkeit schaffe deshalb nur eine scheinbare Sicherheit.

NIS-2 als kontinuierlicher Prozess unter Einbindung der Strategie, Budgetplanung und Unternehmenssteuerung

Wer jetzt handeln will, sollte pragmatisch priorisieren: „Erstens die eigene NIS-2-Pflicht sorgfältig klären und offene Registrierungen nachholen. Zweitens Verantwortlichkeiten auf Managementebene definieren und einen funktionierenden Incident-Response-Prozess aufbauen. Drittens technische Maßnahmen vertiefen und Risiken in der Lieferkette systematisch adressieren.“

  • NIS-2 sei keine einmalige „Compliance“-Maßnahme, sondern ein kontinuierlicher Prozess, der in Strategie, Budgetplanung und Unternehmenssteuerung verankert sein müsse.

Neukams Fazit: „Am Ende zeigt sich der Nutzen von NIS-2 nicht in der Registrierung, sondern im Ernstfall: Dann wird sichtbar, ob Unternehmen wirklich resilient sind, oder ob Prozesse, Zuständigkeiten und Entscheidungen erst dann entstehen, wenn es bereits zu spät ist.“

Weitere Informationen zum Thema:

axians DEUTSCHLAND
Über uns: Unser Ziel ist es, das Leben von Menschen und Organisationen zu verbessern, indem wir unsere Kunden auf dem Weg in die digitale Zukunft begleiten. Dabei profitieren Kunden von unserem innovativen Lösungsangebot und einer partnerschaftlichen Zusammenarbeit – alles im Sinne einer erfolgreichen digitalen Transformation.

ChannelPartner
Christoph Neukam / Experte für Cyber Security, Axians Security Force / Christoph Neukam ist Head of ISMS Consulting bei der Axians Security Force

datensicherheit.de, 14.05.2026
NIS-2-Umsetzung: Trotz Investitionen in IT-Sicherheit hinken viele Krankenhäuser hinterher / Aktuelle ESET-Studie zeigt Fortschritte bei der Cybersicherheit auf – Universitätskliniken kämpfen aber mit der Umsetzung regulatorischer Vorgaben im NIS-2-Kontext

datensicherheit.de, 04.04.2026
Finnlands Weg der NIS-2-Umsetzung: Pragmatische Lösungen und Bürokratie-Vermeidung / Kooperation statt „Melde-Tsunami“: Finnisches Modell zur NIS-2-Umsetzung soll Zusammenarbeit zwischen Staat und Wirtschaft stärken

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden

]]>