Regulatorische Anforderungen im Ernstfall erfüllenNIS-2-Registrierung genügt nicht

6. Juli 2026

Seit Inkrafttreten der NIS-2-Richtlinie Ende 2025 stehen tausende Unternehmen vor neuen regulatorischen Anforderungen. Der 31. Juli 2026 gilt als aktuelle Zielmarke für die Registrierung, doch der Fokus auf Fristen greift zu kurz. Nach Beobachtung von Experten sind viele Unternehmen trotz Registrierung nicht in der Lage, die regulatorischen Anforderungen im Ernstfall zu erfüllen.

Registriert ist noch lange nicht „compliant“. Oft haben Unternehmen die Registrierung entweder aufgeschoben, oder sie als reinen Formalakt betrachtet. Beides greift zu kurz. Die eigentliche Herausforderung liegt nicht im Ausfüllen eines Formulars im BSI-Portal, sondern in der Frage, ob Unternehmen die organisatorischen Voraussetzungen geschaffen haben, um die Anforderungen dauerhaft zu erfüllen.

Vor allem im Mittelstand zeigt sich weiterhin große Unsicherheit darüber, ob Unternehmen überhaupt unter die NIS-2-Regulierung fallen. Und solange diese Frage offen bleibt, scheuen viele die notwendigen Investitionen.

Das ist kein Zufall, denn mittelständische Unternehmen haben oft wenig Erfahrung mit regulatorischen Anforderungen und verfügen über begrenzte Ressourcen, um sich strukturiert damit auseinanderzusetzen. Besonders deutlich zeigt sich dies in Industrie- und Produktionsunternehmen, in der Logistik sowie bei Zulieferern kritischer Wertschöpfungsketten. Dort ist die Diskrepanz zwischen formaler Betroffenheit und operativer Umsetzung besonders ausgeprägt.

Dazu kommen immer wiederkehrende Missverständnisse: Viele Unternehmen glauben, NIS-2 betreffe nur KRITIS-Betreiber oder sei in erster Linie ein technisches Thema. Tatsächlich geht es um deutlich mehr. NIS-2 verlangt einen strukturierten Umgang mit Risiken, klare Verantwortlichkeiten sowie nachvollziehbare Entscheidungsprozesse. Das macht die Umsetzung zu einer Management- und Governance-Aufgabe, die Geschäftsführung, Compliance, Informationssicherheit, IT, Legal und die Fachabteilungen gemeinsam tragen müssen.

Die größte Lücke sehen wir aktuell bei der operativen Handlungsfähigkeit im Ernstfall. Die 24-Stunden-Meldepflicht wird vielfach unterschätzt. Zahlreiche Unternehmen verfügen noch nicht über definierte Incident-Response-Prozesse, getestete Abläufe oder klare Eskalationsketten. Eine Registrierung ohne funktionierende Meldefähigkeit schafft deshalb nur eine scheinbare Sicherheit.

Wer jetzt handeln will, sollte pragmatisch priorisieren: Erstens die eigene NIS-2-Pflicht sorgfältig klären und offene Registrierungen nachholen. Zweitens Verantwortlichkeiten auf Managementebene definieren und einen funktionierenden Incident-Response-Prozess aufbauen. Drittens technische Maßnahmen vertiefen und Risiken in der Lieferkette systematisch adressieren.

NIS-2 ist keine einmalige Compliance-Maßnahme, sondern ein kontinuierlicher Prozess, der in Strategie, Budgetplanung und Unternehmenssteuerung verankert sein muss. Am Ende zeigt sich der Nutzen von NIS-2 nicht in der Registrierung, sondern im Ernstfall: Dann wird sichtbar, ob Unternehmen wirklich resilient sind, oder ob Prozesse, Zuständigkeiten und Entscheidungen erst dann entstehen, wenn es bereits zu spät ist.“

Christoph Neukam ist Business Unit General Manager der Business Unit Information Security & Business Resilience bei Axians.

Axians

Lesen Sie auch