NIS 2: Der Kabinettsbeschluss ist gut – doch der letzte Schliff fehlt

Mit dem heutigen Kabinettsbeschluss zur Umsetzung der NIS 2-Richtlinie rückt Cybersicherheit in den politischen Fokus. Die Regelung wird ab Tag 1 gelten - und Geschäftsführungen haften künftig mit ihrem Privatvermögen, wenn sie den neuen Anforderungen nicht nachkommen. Ulrich Plate, Leiter der Kompetenzgruppe KRITIS im eco - Verband, ordnet die Lage ein und benennt Chancen, Risiken und Handlungsbedarf für Unternehmen:

"Mit dem Kabinettsbeschluss zur Umsetzung der NIS 2-Richtlinie sendet die Bundesregierung endlich ein überfälliges Signal: Die Zeit des Zauderns ist vorbei, die Cybersicherheit rückt in den politischen Fokus. Gut so - denn die NIS 2 verlangt nicht weniger als eine Generalüberholung der Sicherheitsarchitektur in kritischen Infrastrukturen."

"Der ehrgeizige Zeitplan ist nicht ohne Tücken: Die Beschleunigung kann helfen, die dringend benötigte Rechtssicherheit für Unternehmen schneller herzustellen. Nach den Plänen des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll die nationale Rechtsverordnung bereits Anfang 2026 in Kraft treten." Allerdings, so Plate weiter, sei zu befürchten, dass dabei Details zu Ausnahmen und Sonderregelungen nicht ausreichend geklärt würden.

Zudem blickten auch international operierende Unternehmen mit Sorge auf mögliche nationale Alleingänge. "Erste Tendenzen dazu sind bereits in Ländern wie Frankreich und Italien zu beobachten, die eigene Interpretationen der Richtlinie vorantreiben. Um die angestrebte Harmonisierung zu erreichen, sollte ein Flickenteppich aus unterschiedlichen Regelungen innerhalb der EU vermieden werden."

"Besonders kritisch sind die geplanten Ausnahmen für Unternehmen mit vermeintlich 'vernachlässigbaren' kritischen Tätigkeiten. Sie mögen politisch bequem erscheinen, stehen aber europarechtlich auf wackeligen Beinen", sagt der KRITIS-Experte und mahnt: "Sollten sie vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und Strafzahlungen. Jetzt ist der Zeitpunkt für Unternehmen, ihre Sicherheitsarchitekturen zu stärken, Risikoanalysen zu schärfen und Lieferketten abzusichern. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die Compliance, sondern auch die eigene Resilienz."