In Deutschland meldeten 2025 knapp drei von vier Unternehmen eine Zunahme von Cyberangriffen. Cyberattacken sind inzwischen der größte Schadenstreiber durch Datendiebstahl, Sabotage und Industriespionage. Laut der Bitkom-Studie „Wirtschaftsschutz 2025“ entfielen im Jahr 2025 70 % des Gesamtschadens von 202,4 Milliarden Euro auf Cyberattacken, 2024 waren es 178,6 Milliarden Euro.

Damit wird deutlich: Cyber-Risiken sind keine IT-Einzelfälle, sondern ein zentrales Unternehmensrisiko. Wer NIS2 vor diesem Hintergrund weiterhin als Cybersecurity-Aufgabe der IT behandelt, greift zu kurz. NIS2 adressiert nicht primär technische Sicherheitslücken, sondern ein organisatorisches Steuerungsdefizit. In vielen Organisationen fehlt für Cyberrisiken die unternehmensweite Risikoführung: klare Verantwortlichkeiten, verbindliche Entscheidungswege und eine definierte Risikotoleranz. Genau dieses Defizit macht Cybersicherheit zu einem Geschäftsrisiko – und damit zur Managementaufgabe.

Was NIS2 verlangt und warum Risikomanagement im Zentrum steht 

Die NIS2-Richtlinie ist kein Security-Programm für die IT, sondern ein Regelwerk, das Cyber-Risiken als Unternehmensrisiko behandelt. Mit der Umsetzung der NIS-2-Richtlinie im BSI-Gesetz steigen die Anforderungen an Unternehmen, ihre digitalen Sicherheitsmaßnahmen systematisch zu planen, umzusetzen und zu überwachen. Der Fokus liegt auf einem prüfbaren und auditierbaren System aus Risikoanalysen, Governancestrukturen und Meldeprozessen. 

Entscheidend ist die Prüfbarkeit: Unternehmen müssen zeigen, dass Risiken erfasst, priorisiert, behandelt und überwacht werden sowie Zuständigkeiten und Entscheidungen nachvollziehbar dokumentiert sind. Die Geschäftsleitung steht dabei im direkten gesetzlichen Verantwortungsbereich. Sie muss sicherstellen, dass Cybersecurity integraler Teil der Unternehmenssteuerung ist. Dazu zählt auch die gesetzliche Schulungsverpflichtung. 

Praktisch heißt das: Governance, Risikomanagement, Incident-Handling, Dienstleistersteuerung und Dokumentation müssen zusammenpassen.  Die Maßnahmen werden von den IT- und Security-Teams umgesetzt. Die Organisation muss jedoch festlegen, wer über die Kriterien für die Priorisierung sowie die Akzeptanz oder Ablehnung von Restrisiken entscheidet. 

Drei NIS2 Anforderungen an das Risikomanagement 

Damit die Anforderungen nicht nur auf dem Papier bestehen, lohnt sich ein Blick in die Praxis: Woran erkennt man, dass Risikomanagement unter NIS2 tatsächlich umgesetzt wird? Drei Punkte sind dabei entscheidend. 

1. Ein belastbares Cyber-Risikoregister mit sauberem Umfang und klaren Zuständigkeiten. Dieses bildet kritische Prozesse, relevante Systeme und Abhängigkeiten ab und weist jedes Risiko einem Verantwortlichen zu. Die Bewertung folgt festen Kriterien und basiert auf dem Allgefahren-Ansatz. Sie umfasst also neben Angriffen auch Ausfälle, Fehlkonfigurationen, menschliche Fehler sowie physische und umweltbedingte Einflüsse. 

2. Ein priorisierter Risikobehandlungsplan, abgeleitet aus definierten Risikotoleranzen und Schwellenwerten. Er übersetzt Risiken in Maßnahmen mit Verantwortlichen, Fristen und Status. Restrisiken werden dabei nicht einfach hingenommen, sondern bewusst und nachvollziehbar beschlossen, inklusive Begründung, Zuständigkeit und Gültigkeit. 

3. Ein Reporting- und Nachweispaket, das die Steuerung durch die Geschäftsleitung ermöglicht. Dazu gehören versionierte Risikoanalysen und Behandlungspläne, Nachweise zu Tests und Übungen sowie dokumentierte Freigaben und Entscheidungen. Ergänzend liegt ein nutzbarer Incident-Response- und Meldeablauf mit klarer Eskalationslogik vor. 

NIS2 Zeitplan und Umsetzung in Deutschland 

NIS2 trat bereits im Januar 2023 als EU-Richtlinie in Kraft. Die Umsetzungsfrist für die Überführung in nationales Recht endete im Oktober 2024. Ebenfalls im Oktober 2024 trat zusätzlich eine Durchführungsverordnung in Kraft, die insbesondere für Teile des digitalen Sektors konkretisiert, wann ein erheblicher Sicherheitsvorfall vorliegt und welche Risiko- und Sicherheitsmaßnahmen im Detail umzusetzen sind. 

Nationale Umsetzung in Deutschland 

• 13. November 2025: Der Bundestag verabschiedet das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). 
• 6. Dezember 2025: Inkrafttreten nach Verkündung im Bundesgesetzblatt. 
• bis 6. März 2026: Die Registrierung muss spätestens drei Monate erfolgen, nachdem eine Einrichtung erstmals oder erneut unter die NIS2-Regelung fällt. Dabei ist auch eine rund um die Uhr erreichbare Kontaktstelle (24/7) anzugeben. 

Wichtig: Die inhaltlichen Anforderungen gelten grundsätzlich ab Inkrafttreten des Gesetzes. „Warten“ führt unmittelbar zu Risiken in genau den Themen, die nicht kurzfristig nachgerüstet werden können: Betroffenheitsanalyse und Grundsatzklärung, ein aufgesetztes NIS2-Programm mit Projektmanagement, dokumentierte Risikomanagementmaßnahmen inklusive Reporting-Workflows sowie vorbereitete Incident-Response- und Meldeprozesse. 

NIS2 strukturiert umsetzen: 5 entscheidende Schritte

Ein praxistauglicher Einstieg folgt fünf klaren Schritten – mit Fokus auf Steuerung statt auf bloßes Abarbeiten einzelner Maßnahmen. 

1. Betroffenheit und Scope klären 

Startpunkt ist die Betroffenheitsanalyse und die Abgrenzung, welche Einheiten, Dienste und Standorte im Betrachtungsumfang sind. Parallel werden die Grundlagen für die Steuerung gesetzt, damit Verantwortlichkeiten später im Projekt klar sind. 

2. Governance und Verantwortlichkeiten festlegen 

Risk Ownership, Entscheidungsrechte und Eskalationswege werden definiert. Dazu gehören klar definierte Schnittstellen zwischen Management, IT-Security, Compliance, Rechtsabteilungen und den Fachbereichen – sowie ein Reporting-Prozess, der regelmäßig Entscheidungen vorbereitet, statt den Fokus auf Statusberichte zu legen. 

3. Ist-Analyse und Lückenbewertung durchführen 

Der aktuelle Stand im Unternehmen wird anhand der NIS2-Themen bewertet. Besonderer Fokus liegt auf Risikomanagement, Incident Response, Dienstleistersteuerung und Dokumentation. Das Ergebnis ist eine priorisierte Lückenliste mit klarer Risikobegründung. 

4. Maßnahmenplan priorisieren und umsetzen 

Die Lücken werden in einen umsetzbaren Plan mit klaren Verantwortlichen, Meilensteinen und Abhängigkeiten übersetzt. Die Priorisierung folgt Risiken und Auswirkungen auf das Unternehmen; teaminterne Präferenzen werden nicht beachtet. Notwendige Tests, Übungen und Meldeabläufe werden verbindlich eingeplant. 

5. Regelbetrieb und kontinuierliche Verbesserung etablieren 

NIS2 endet nicht mit diesem Projekt. Regelbetrieb heißt: Überwachung, regelmäßige Berichte, Prüfungen, Tests und eine systematische Auswertung werden verankert. So bleibt die Wirksamkeit nachweisbar, und Anpassungen können gezielt und kontrolliert erfolgen. 

NIS2 ist eine Frage der Steuerungsfähigkeit – nicht der Technik 

NIS2 verpflichtet Unternehmen, Cyber-Risiken wie jedes andere wesentliche Unternehmensrisiko zu behandeln. Damit rücken Governance, Verantwortlichkeiten, Entscheidungsprozesse und Transparenz in den Fokus. Wer NIS2 erfolgreich umsetzt, schafft ein nachweisbar wirksames Cyber-Risikomanagement und stärkt zugleich die Resilienz der gesamten Organisation.