Cybervize - Cybersecurity Beratung
Alle Artikel

NIS-2 aufschieben: Warum Warten teurer wird als Starten

Alexander Busse·7. April 2026
NIS-2 aufschieben: Warum Warten teurer wird als Starten

Vor drei Monaten sagte mir ein Geschäftsführer: Wir warten noch ab. NIS-2 sei noch zu unklar. Man wolle erst sehen, was die anderen machen. Letzte Woche rief er mich zurück. Die Stimme angespannt. Wir brauchen das jetzt. Schnell.

Dieser Anruf ist kein Einzelfall. Er ist ein Muster.

Das Muster, das sich seit 25 Jahren wiederholt

Bei DSGVO war es genauso. Bei ISO 27001 war es genauso. Bei jeder Regulierung, die zunächst unklar wirkte, kam irgendwann der Moment, in dem aus Abwarten eine Notlage wurde.

Der Unterschied zwischen Januar und April ist nicht die Regulierung. Der Unterschied sind die Ressourcen. Was im Januar ein entspannter Start gewesen wäre, ist jetzt ein Feuerwehreinsatz. Interne Teams sind bis Q3 ausgebucht. Externe Kapazitäten sind rar. Preise steigen.

Drei Gründe, warum Unternehmen warten

Erstens: Unklarheit über die eigene Betroffenheit. Viele Unternehmen wissen schlicht nicht, ob sie unter NIS-2 fallen. Die Unsicherheit führt zu Passivität statt zu einer sachlichen Prüfung.

Zweitens: Überschätzte Komplexität. NIS-2-Compliance klingt nach einem Mammutprojekt. Tatsächlich ist der erste Schritt klein und klar definiert.

Drittens: Konkurrenzbeobachtung. Man wartet, was die anderen machen. Doch wenn alle warten, hat niemand einen Vorteil. Und der Termin rückt trotzdem näher.

Was den Berg größer macht

Der Berg wird nicht kleiner, wenn man wartet. Er wächst.

Wer heute anfängt, kann strukturiert priorisieren, ein Budget schrittweise aufbauen und interne Verantwortlichkeiten sauber definieren. Wer im Herbst anfängt, muss unter Zeitdruck entscheiden, externe Berater teuer einkaufen und Kompromisse eingehen, die sich später rächen.

Hinzu kommt: Behörden bauen gerade Prüfkapazitäten auf. Die ersten Aufsichtsmaßnahmen werden nicht lange auf sich warten lassen. Wer dann noch in der Startphase steckt, steht vor einem ernsthaften Problem.

Der erste Schritt dauert zwei Stunden

Eine Betroffenheitsprüfung klärt genau eine Frage: Fällt mein Unternehmen unter NIS-2?

Die Antwort hängt von drei Faktoren ab: Branche, Unternehmensgröße und Kritikalität der erbrachten Dienste. Das BSI stellt klare Kriterien bereit. Mit einer strukturierten Checkliste ist die Prüfung in zwei Stunden erledigt.

Das Ergebnis ist binär: Betroffenheit ja oder nein. Wer nicht betroffen ist, kann das Thema abhaken. Wer betroffen ist, hat jetzt eine Entscheidungsgrundlage statt einer vagen Bedrohung.

Was nach der Betroffenheitsprüfung kommt

Wenn die Betroffenheit feststeht, folgt das Gap-Assessment. Es zeigt, wo das Unternehmen heute steht und welche der 21 Sicherheitsmaßnahmen nach Artikel 21 NIS-2 bereits erfüllt sind.

Priorisierung statt Perfektion

Kein Unternehmen muss alle Maßnahmen gleichzeitig umsetzen. Was zählt, ist ein nachweisbarer, dokumentierter Fortschritt. Aufsichtsbehörden erwarten keine Perfektion. Sie erwarten Ernsthaftigkeit und einen klaren Plan.

Der Unterschied zwischen einem Unternehmen, das im Oktober 40 Prozent der Anforderungen erfüllt und einen Fahrplan vorlegen kann, und einem Unternehmen, das noch gar nicht angefangen hat, ist aus Sicht der Behörde erheblich.

Was jetzt zu tun ist

Schritt eins: Betroffenheitsprüfung durchführen. Zwei Stunden, klares Ergebnis. Schritt zwei: Gap-Assessment beauftragen oder intern durchführen. Schritt drei: Maßnahmenpakete priorisieren und Verantwortliche benennen.

Das ist kein Marathonprojekt. Es ist eine Folge überschaubarer Schritte, die sich leichter anfühlen als der Druck, im Herbst unter Zeitnot zu starten.

Der Anruf, den ich letzte Woche erhalten habe, ist eine Vorhersage für viele Unternehmen, die heute noch warten. Der Berg wächst nicht von selbst kleiner.

Zurück zur Übersicht

Weitere Artikel

Warum Governance-Programme an Woche 6 scheitern

Die meisten Sicherheitsprogramme scheitern nicht am Start, sondern wenn Initiative zu Regelbetrieb werden muss. Fünf verbindliche Routinen für nachhaltiges Governance.

7. April 2026

KI-Agenten sind keine Magie: Warum Kontrolle entscheidet

Wer KI-Agenten für Magie hält, wird sie nie wirklich steuern können. Was ein AI-Agent wirklich ist und warum das alles verändert.

6. April 2026

NIS-2 in 6 Wochen: Der Sprint, der beim Vorstand ankommt

Wie ein strukturierter 6-Wochen-Sprint mehr NIS-2-Fortschritt liefert als ein 200-Seiten-Konzept. Woche für Woche, mit messbarem Output und einem Vorstandsbericht, der ankommt.

3. April 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Die Stimme lügt nie – Kommunikation als Schlüssel zur Cybersicherheit

Mit Mandy Brandt, Sprecherin

24 minAnhoeren
Awareness & Kultur

Florian Jörgens | Vorwerk | Sensibilisierung ist der Schlüssel zur Cybersicherheit

Mit Florian Jörgens, Vorwerk

34 minAnhoeren