Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert

Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

[datensicherheit.de, 18.10.2025] Am 17. Oktober 2024 hat die EU mit der NIS-2-Direktive eine neue Ära der Cybersicherheit eingeläutet. Heute – zwölf Monate später – sei von diesem Anspruch indes wenig zu sehen: Nur 15 von 27 Mitgliedsstaaten haben die Richtlinie bisher in nationales Recht überführt. Besonders alarmierend erscheint in diesem Zusammenhang, dass sich unter den Nachzüglern ausgerechnet die Schwergewichte Deutschland, Frankreich und Spanien befinden – immerhin Länder, welche zusammen 68 Prozent der EU-Bevölkerung und 71 Prozent der -Wirtschaftsleistung stellen. „Dieses Jubiläum sollte ein Weckruf für Europa sein!“, kommentiert Erhan Oezmen, Deutschlandchef bei SentinelOne. Er moniert: „Die EU war lange Vorreiter bei Cybersicherheitsgesetzen. Doch weil NIS-2 als Richtlinie und nicht als direkt geltende Verordnung umgesetzt wird, entsteht ein ,Flickenteppich’ aus nationalen Lösungen. Und der bremst Europa aus.“

NIS-2 verschärft Anforderungen an das Risikomanagement deutlich, verunsichert aber Unternehmen

Die zögerliche Umsetzung sorge auch bei Betrieben für Stillstand. Vor allem sogenannte Kleine und Mittlere Unternehmen (KMU) wüssten nicht, wie sie mit NIS-2 umgehen sollen. „Viele Sicherheitsteams warten auf klare Vorgaben von Verbänden oder Behörden“, so Oezmen.

• Gleichzeitig verschärfe NIS-2 die Anforderungen an das Risikomanagement deutlich – liefere aber kaum praktische Hilfestellung.

Die EU-Agentur ENISA habe zwar einen technischen Leitfaden veröffentlicht. „Der kam aber zu spät und beantwortet zu wenig. Besonders die Vorgaben zur Lieferkettensicherheit oder zur Meldepflicht bleiben vage und schwer umsetzbar“, erläutert Oezmen.

NIS-2-Bußgelder könnten Regelwerk zur Waffe Cyberkrimineller machen

Die Folgen dieser Verzögerung seien fatal: Schwache Durchsetzung und unklare Regeln öffneten Cyberkriminellen „Tür und Tor“. Schon heute verwiesen Ransomware-Gruppen in erbeuteten Daten gezielt auf branchenspezifische Vorschriften – und nutzten die Unsicherheit für ihre Zwecke.

• Oezmen warnt: „Wenn NIS-2 erst einmal mit Bußgeldern durchgesetzt wird, könnte das Regelwerk selbst zur Waffe werden!“

Er fordert: „Europa muss jetzt handeln: Lücken schließen, Vorgaben konkretisieren und für eine konsequente Umsetzung sorgen – bevor Angreifer das für uns übernehmen!“

NIS-2 bürdet betroffenen Unternehmen mehr Pflichten und Verantwortung auf

Die NIS-2-Richtlinie wurde am 18. Oktober 2024 verabschiedet. Sie ersetze die ursprüngliche NIS-Richtlinie von 2016 und weite deren Geltungsbereich deutlich aus.

• Unternehmen in „kritischen Sektoren“ – darunter Energie, Gesundheit, Verkehr, digitale Infrastruktur und öffentliche Verwaltung – müssen nun strengere Sicherheitsmaßnahmen umsetzen, Risiken besser managen und Sicherheitsvorfälle schneller melden.

Erklärtes Ziel ist es, eine gemeinsame Cybersicherheitsbasis in der gesamten EU zu schaffen und so Kritische Infrastrukturen (KRITIS) sowie Lieferketten widerstandsfähiger zu machen. Wer dann gegen die Vorgaben verstößt, muss mit empfindlichen Bußen rechnen.

Damit NIS-2 Europas Cybersicherheit stärkt, muss die Richtlinie endlich umgesetzt werden

Ein Jahr nach Inkrafttreten von NIS-2 sei Europas Cybersicherheitsarchitektur aber noch immer „Flickwerk“.

• Die größten Volkswirtschaften hinkten hinterher, Unternehmen warteten auf Orientierung, und Angreifer nutzten die Lücken schamlos aus.

„NIS-2 kann Europas Cybersicherheit stärken – aber nur, wenn wir es auch umsetzen“, betont Oezmen. Er gibt abschließend zu bedenken: „Die Zeit drängt. Es ist 5 vor 12!“

Weitere Informationen zum Thema:

SentinelOne
Our Mission: Empowering the World to Run Securely

Linkedin
Erhan Oezmen

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY, 26.06.2025
NIS2 Technical Implementation Guidance

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 14.10.2025
Chancen und Herausforderungen für KMU: DsiN-Talk zu NIS-2 am 27. Oktober 2025 / Mit der Umsetzung der NIS-2-Richtlinie soll ein neuer Rahmen für Cybersicherheit in der EU geschaffen werden

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden