Kontakt
Menü
Startseite NIS-2 in Kraft getreten – Studien zeigen: Viele Unternehmen noch nicht bereit

NIS-2 in Kraft getreten – Studien zeigen: Viele Unternehmen noch nicht bereit

Nach langem Ringen haben Bundestag und Bundesrat das Cybersicherheitsgesetz beschlossen – doch aktuelle Erhebungen offenbaren erheblichen Nachholbedarf

Das Gesetzgebungsverfahren: Die Fakten

Nach über einem Jahr Verspätung ist es nun amtlich: Der Deutsche Bundestag hat am 13. November 2025 das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz verabschiedet. Für den Gesetzentwurf stimmten CDU/CSU, AfD und SPD, dagegen Bündnis 90/Die Grünen, Die Linke enthielt sich. Eine Woche später, am 21. November 2025, gab auch der Bundesrat seine Zustimmung. Nach Verkündung im Bundesgesetzblatt wird das Gesetz voraussichtlich Ende 2025 oder Anfang 2026 in Kraft treten – ohne Übergangsfrist.

Damit endet eine lange Phase der Rechtsunsicherheit. Die EU hatte die Umsetzungsfrist ursprünglich auf den 17. Oktober 2024 festgelegt. Deutschland und 23 weitere Mitgliedstaaten konnten diese nicht einhalten, weshalb die EU-Kommission ein Vertragsverletzungsverfahren einleitete.

Was wurde beschlossen?

Das Gesetz überführt die europäische NIS-2-Richtlinie in deutsches Recht und novelliert das BSI-Gesetz grundlegend. Die wichtigsten Eckpunkte:

  • Rund 29.500 Unternehmen aus 18 Wirtschaftssektoren sind künftig reguliert – eine massive Ausweitung gegenüber den bisherigen ca. 4.500 KRITIS-Betreibern
  • Betroffene Unternehmen müssen sich beim BSI registrieren, Risikomanagementmaßnahmen umsetzen und Sicherheitsvorfälle melden
  • Die Geschäftsleitung haftet persönlich für die Umsetzung und Überwachung der Maßnahmen
  • Schulungen für die Führungsebene werden verpflichtend
  • Bei Verstößen drohen empfindliche Bußgelder, die sich am Umsatz orientieren
  • Erste Nachweise werden ab 2027 fällig

Das BSI wird zur zentralen Aufsichtsbehörde und nimmt zugleich die Funktion des Chief Information Security Officer (CISO) für die Bundesverwaltung ein.

Doch wie steht es um die Umsetzung in der Praxis?

Maik Wetzel, ESET, auf der kiwiko Tagung im November 2025

Mehrere aktuelle Erhebungen zeichnen ein ernüchterndes Bild – und bestätigen, was innerhalb der kiwiko-Community seit Monaten thematisiert wird.

Maik Wetzel auf der kiwiko Partnertagung:

„57,7% werden den Anforderungen nicht gerecht“

Das Thema NIS-2 wird im kiwiko-Netzwerk schon lange mit Nachdruck vorangetrieben. Besonders hervorzuheben ist das Engagement von ESET und Maik Wetzel, die durch wiederholte Kommunikation, Vorträge und praxisnahe Handreichungen für Sensibilisierung sorgen.

Auf der kiwiko Partnertagung am 12. November 2025 präsentierte Maik Wetzel in seinem Vortrag „Cybersicherheit stärken: Die Umsetzung der NIS2-Richtlinie in der Praxis“ eine klare Analyse: „57,7 Prozent werden den Anforderungen der NIS-2 nicht gerecht – sie haben keinen ausreichenden Schutz.“

DATA REVERSE Studie: Diskrepanz zwischen Selbstbild und Realität

Unser kiwiko-Partner DATA REVERSE hat auf der IT-SA 2025 insgesamt 245 IT-Verantwortliche befragt. Die Studie zum NIS-2-Reifegrad zeigt:

  • 53 Prozent haben ihre NIS-2-Betroffenheit nie geprüft
  • 71 Prozent halten sich für vorbereitet – doch nur ein Drittel testet Recovery-Prozesse regelmäßig
  • 45 Prozent testen Wiederherstellung selten oder nie
  • Nur 30,6 Prozent verfügen über einen vollständigen IT-Notfallplan
  • Lediglich 4 Prozent haben einen externen Datenrettungspartner in der Notfallplanung definiert

Weitere Studien bestätigen das Bild

Auch die repräsentative Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und brand eins (über 5.000 Befragte) kommt zu ähnlichen Ergebnissen: Zwar haben mehr als 63 Prozent der Unternehmen mit der NIS-2-Umsetzung begonnen, doch erst 12 Prozent haben die Anforderungen vollständig implementiert. Jedes vierte Unternehmen steht noch am Anfang oder hat überhaupt nicht gestartet.

Fazit: Jetzt ist Handeln gefragt

Die Datenlage ist eindeutig: Das Gesetz ist da, aber viele Unternehmen überschätzen ihren Umsetzungsstand. Zentrale Bausteine wie regelmäßige Recovery-Tests, vollständige Notfallpläne und die Einbindung externer Partner fehlen vielerorts.

Maik Wetzel von ESET hat auf der kiwiko Partnertagung konkrete Handlungsfelder aufgezeigt, die Unternehmen jetzt priorisieren sollten:

  • Notfallpläne und Wiederanlaufkonzepte erstellen
  • Backup-Konzepte erstellen und testen
  • Regelmäßige Schulungen und Trainings organisieren
  • Beschaffung und Implementierung technischer Schutzlösungen
  • Lieferketten einbeziehen – Cyber-Supply Chain Risk Management (C-SCRM)
  • Verträge mit Dienstleistern prüfen und gegebenenfalls anpassen

Die kiwiko-Community verfügt über die gebündelte Expertise, um Unternehmen bei genau diesen Schritten zu unterstützen – von der Erstanalyse über technische Schutzmaßnahmen bis hin zur Absicherung durch spezialisierte Partner. Die Botschaft ist klar: Die Zeit der Ausreden ist vorbei.

Über den/die Autor/in des Artikels
Marika Auenmüller
Alle Beiträge
Marika Auenmüller