NIS2: Warum Unternehmen jetzt handeln müssen

7.12.2025
 •
Maja Scheunemann

Mit der NIS2-Richtlinie verschärft die EU die Anforderungen an die Informationssicherheit deutlich. Was bislang vor allem kritische Infrastrukturen betroffen hat, gilt ab sofort für wesentlich mehr Unternehmen – und mit spürbar höherem Verantwortungsdruck für die Geschäftsleitung.

Viele Organisationen haben NIS2 lange als „kommendes Thema“ betrachtet. Inzwischen ist klar: Die Spielregeln haben sich geändert. Die Anforderungen sind konkreter, der Kreis der betroffenen Unternehmen größer und die Konsequenzen bei Nicht-Umsetzung deutlich ernster als bisher.

Was sich mit NIS2 grundlegend geändert hat

NIS2 ist kein technisches Update der bisherigen Regelungen, sondern ein Paradigmenwechsel. Informationssicherheit wird nicht mehr nur als IT-Thema verstanden, sondern ausdrücklich als Management- und Governance-Aufgabe. Unternehmen müssen nachweisen können, dass sie Risiken systematisch erkennen, bewerten und behandeln – und dass Verantwortlichkeiten klar geregelt sind.

Neu ist insbesondere, dass die Geschäftsleitung explizit in die Pflicht genommen wird. Sie trägt Verantwortung für die Umsetzung geeigneter Maßnahmen und kann bei Verstößen auch persönlich in Haftung genommen werden. Gleichzeitig steigen die Anforderungen an Meldepflichten, Dokumentation und Nachvollziehbarkeit erheblich.

Warum viele Unternehmen NIS2 unterschätzen

In der Praxis zeigt sich, dass viele Unternehmen glauben, NIS2 betreffe sie nicht oder lasse sich mit einzelnen technischen Maßnahmen „miterledigen“. Genau das ist riskant. Denn NIS2 verlangt keine punktuellen Lösungen, sondern ein strukturiertes Sicherheitsniveau, das organisatorisch verankert ist.

Hinzu kommt: Der Kreis der betroffenen Unternehmen ist deutlich größer als bei der bisherigen NIS-Regulierung. Auch Unternehmen, die sich bislang nicht als Teil kritischer Infrastrukturen gesehen haben, können unter NIS2 fallen – oft ohne es zu wissen.

Was Unternehmen jetzt konkret tun müssen

Für Unternehmen bedeutet das vor allem eines: jetzt Klarheit schaffen. Dazu gehört zunächst die Frage, ob und in welchem Umfang NIS2 anwendbar ist. Darauf aufbauend müssen bestehende Sicherheitsmaßnahmen überprüft und eingeordnet werden. In vielen Fällen gibt es bereits gute Ansätze, diese sind jedoch nicht systematisch dokumentiert oder nicht ausreichend in Governance-Strukturen eingebettet.

NIS2 verlangt unter anderem nachvollziehbare Risikobewertungen, klare Zuständigkeiten, funktionierende Meldeprozesse und ein Bewusstsein für Informationssicherheit auf Führungsebene. Wer hier erst reagiert, wenn Aufsichtsbehörden oder Geschäftspartner Fragen stellen, ist zu spät.

NIS2 ist kein reines IT-Projekt

Ein zentraler Fehler in der Umsetzung ist der Versuch, NIS2 allein der IT zu überlassen. Die Richtlinie zielt bewusst auf Organisation, Prozesse und Verantwortung ab. Informationssicherheit muss als Teil der Unternehmenssteuerung verstanden werden – nicht als Zusatzaufgabe einzelner Fachabteilungen.

Genau deshalb scheitern viele Umsetzungsversuche nicht an Technik, sondern an fehlender Struktur, unklaren Rollen oder unrealistischen Erwartungen an bestehende Ressourcen.

Wie die glacier Unternehmen bei NIS2 unterstützt

Die glacier begleitet Unternehmen dabei, NIS2 pragmatisch und strukturiert umzusetzen. Dabei geht es nicht um zusätzliche Komplexität, sondern darum, bestehende Strukturen sinnvoll weiterzuentwickeln und in ein belastbares Sicherheits- und Governance-Modell zu überführen. Die rechtlichen Grundlagen, den Anwendungsbereich und die formalen Anforderungen von NIS2 haben wir auf unserer Infoseite zur europäischen NIS2-Richtlinie und den Umsetzungsvorgaben der Länder zusammengefasst.

Im Mittelpunkt steht die Frage: Was wird konkret gefordert – und wie lässt sich das realistisch im Unternehmen abbilden? Genau hier unterstützt die glacier als Sparringspartner für Geschäftsführung, IT und Informationssicherheitsverantwortliche.

Fazit: Abwarten ist das größte Risiko

NIS2 erhöht den Druck auf Unternehmen spürbar. Wer die Anforderungen unterschätzt oder aufschiebt, riskiert nicht nur regulatorische Konsequenzen, sondern auch Reputationsschäden und operative Probleme. Gleichzeitig bietet NIS2 die Chance, Informationssicherheit strategisch sauber aufzustellen und langfristig zu stärken.

Unternehmen, die jetzt handeln, verschaffen sich Klarheit, Sicherheit und Handlungsfähigkeit – und vermeiden hektische Nachbesserungen zu einem späteren Zeitpunkt.

Wie die glacier unterstützen kann

Die glacier unterstützt Unternehmen dabei, die Anforderungen aus NIS2 einzuordnen, umzusetzen und dauerhaft zu verankern. Ziel ist keine theoretische Compliance, sondern eine Sicherheitsstruktur, die im Alltag funktioniert und Verantwortung klar regelt.

Wenn Sie wissen möchten, was NIS2 konkret für Ihr Unternehmen bedeutet und welche Schritte jetzt sinnvoll sind, begleitet die glacier Sie gerne beratend.

Unser Blog

Entdecken Sie weitere Artikel

TISAX® und BCM: Warum Prüfer jetzt genauer hinschauen

Zwei Jahre nach Einführung der aktuellen TISAX-Anforderungen prüfen Auditoren deutlich tiefer – insbesondere bei Business Continuity Management und Availability. Warum Dokumentation nicht mehr ausreicht und wo Unternehmen jetzt konkret nachschärfen müssen, lesen Sie hier.

OpenClaw im Unternehmen: Risiken für Informationssicherheit und Datenschutz

KI-Agenten wie OpenClaw versprechen tiefgreifende Automatisierung und Produktivitätsgewinne. Gleichzeitig erfordern sie weitreichende System- und Account-Berechtigungen. Dieser Beitrag ordnet ein, woher OpenClaw kommt, wie das Tool technisch arbeitet und warum sein unkontrollierter Einsatz erhebliche Risiken für Informationssicherheit und Datenschutz birgt.

Automatisierte Tools im Unternehmen – zwischen Effizienz und Verantwortung

Automatisierte Tools versprechen schnelle Lösungen für Informationssicherheit und Compliance. Doch wo endet sinnvolle Unterstützung – und wo beginnen Risiken? Ein kritischer Blick auf Automatisierung, Verantwortung und die Rolle von Beratung.