NIS-2 zieht die Sicherheitsfrage in den Vorstandssaal, legt klare Fristen für Incident‑Meldungen fest und rückt das Lieferketten-Risikomanagement in den Fokus. Doch ohne gemeinsame EU‑Standards und einheitliche Schnittstellen drohen Verwirrung und Doppelarbeit. Was NIS-2 leistet – und wo dringend nachgelegt werden muss.
NIS-2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je nach Mitgliedstaat.
Als die EU‑Mitgliedstaaten NIS-2 verabschiedeten, versprach man sich davon eine neue Stufe von Cyber‑Resilienz: Mehr Verantwortlichkeit auf höchster Ebene, verbindliche Fristen für Meldungen schwerer Vorfälle und eine echte Integration der Lieferkette in die Sicherheitsstrategie. In vielen Unternehmen ist NIS-2 tatsächlich auch zum Anlass geworden, Cybersicherheit stärker strategisch zu denken. Doch der Weg zur echten Wirkung ist steinig.
Das große Versprechen und erste Erfolge
Eines der zentralen Elemente von NIS-2 besteht darin, dass Vorstände und Geschäftsführung bei der Überwachung der Cybersicherheit nicht länger außen vor bleiben können. Die Verantwortlichkeit wird explizit: mit Schulungen, klaren Zuweisungen und Haftungsrisiken. Damit rückt Sicherheitsführung aus dem operativen Schatten in die strategische Agenda.
Ein weiteres Plus: Das Incident‑Reporting hat deutlich schärfere Züge bekommen. Die Richtlinie verlangt eine Frühwarnung innerhalb von 24 Stunden und eine Meldung des Vorfalls innerhalb von 72 Stunden. Anschließend ist innerhalb eines Monats ein Abschlussbericht (oder ein Fortschrittsbericht, falls der Vorfall noch andauert) vorzulegen. In vielen Staaten war so etwas bislang unüblich oder kam nicht direkt zum Einsatz. Mit der Regelung werden alte Blindstellen sichtbarer.
Ebenfalls bedeutsam: Die Lieferkette wird nicht mehr als zweitrangige Aufgabe behandelt. Die Sicherheit der Lieferkette muss nachweislich über die gesamte Beschaffungs- und Drittanbieterabhängigkeit hinweg gesteuert werden – durch Auswahlkriterien, vertragliche Kontrollen und kontinuierliche Gewährleistung. Unternehmen erkennen zunehmend, dass sie ohne Kontrolle über Vor‑ und Nachlieferanten größere Risiken tragen.
Die operative Realität: Wo NIS-2 noch nachhinkt
So wichtig diese Fortschritte sind, so deutlich zeigen sich auch die Lücken. Die Umsetzung ist in den einzelnen Mitgliedstaaten nach wie vor unterschiedlich, insbesondere in Bezug auf die Ausweitung des Geltungsbereichs oder die Anwendung von Kritikalitätskriterien. Die Sektoren in Anhang I/II und die Kerngrößenbegrenzungsregel sind EU-weit harmonisiert, doch nationale Ergänzungen und Leitlinien führen zu praktischen Unterschieden. Laut dem Whitepaper der European Cyber Security Organisation (ECSO) geben viele Organisationen an, dass Anforderungen teils unklar sind, teils widersprüchlich zwischen Ländern.
Ein anderes Problem: fehlende gemeinsame Vorlagen und fehlende zentrale Meldeportale. Wo die Meldepflicht beginnt – und wie Meldungen aussehen sollen –, entscheidet jedes Land für sich. Unterschiedliche Formate, verschiedene Fristen, unterschiedliche Anforderungen an Reportings: Das erzeugt Reibung und Mehrarbeit für Firmen, die international tätig sind.
Außerdem ist die regulatorische Landschaft komplex. NIS-2 existiert nicht in Isolation, sondern in Kombination mit GDPR, DORA und anderen Regularien. Ohne klare crosswalks oder abgestimmte Prozesse laufen Teams Gefahr, mehrere parallele Workflows statt eines kohärenten Ansatzes zu haben. Vieles wird formal erfüllt, aber nicht auf eine Art, mit der die Sicherheit messbar steigt.
Was nötig ist, damit NIS-2 echte Wirkung entfaltet
Damit NIS-2 nicht bloß Pflichtprogramm bleibt, sondern echte Cyber‑Resilienz schafft, sind ein paar Weiterentwicklungen nötig:
Einheitliche Incident‑Taxonomie und EU‑weiter Meldungseintrittspunkt: ein verbindliches Schema, das klar definiert, was ein „signifikanter Vorfall“ ist, und idealerweise ein EU‑zentrales Reporting‑Portal oder zumindest interoperable Plattformen über Ländergrenzen hinweg. Damit werden Meldeprozesse vergleichbar und Meldedaten konsolidierbar.
Supplier Assurance Baseline: ein minimaler, wiederverwendbarer Standard für Zulieferer, auf den sich Käufer verlassen können. Mit Kriterien für Auditierbarkeit, Transparenz und Verantwortung schon in der Lieferkette.
Klare Schnittstellen zu GDPR, DORA und weitere: Wenn Sicherheits‑, Datenschutz‑ und Finanzaufsichtsanforderungen besser aufeinander abgestimmt sind, lassen sich Arbeitsaufwand und Redundanzen reduzieren. Ein einheitliches Playbook statt vieler kleiner Regelwerke ist nötig.
Unterstützung für kleinere Unternehmen: Viele KMUs haben weder Budget noch Personal, um zusätzliche Sicherheitslasten effektiv zu stemmen. Förderprogramme, gemeinsame Vorlagen und ein abgestufter Ansatz könnten helfen.
Woran gemessen werden kann, ob NIS-2 Erfolg hat
Wie erkennen wir, ob NIS-2 echte Wirkung zeigt?
Kürzere Mean Time To Detect (MTTD) und Mean Time To Recover (MTTR). Wenn Vorfälle schneller erkannt und schneller behoben werden, zeigt sich echte operative Verbesserung.
Post‑Mortem‑Analysen mit Tiefe: Ursachen, nicht nur Symptome, sollten klar benannt werden. Lernprozesse und dokumentierte Anpassungen müssen Teil der Nachbereitung sein.
Weniger Lücken bei Drittanbietern oder Lieferanten: Wenn der Supplier-Assurance-Standard greift, sollten Sicherheitslücken durch Vorlieferanten messbar sinken.
Weniger nationale Divergenz bei Fristen und Formaten: Wenn Mitgliedstaaten ähnliche Fristen, Definitionsstandards und Meldeformate nutzen, wird erkennbar, dass Harmonisierung gelingt.
Praxis‑Tipps für Unternehmen, die nicht auf halbem Weg stehen bleiben wollen
Für Unternehmen, die nicht nur Pflichten erfüllen, sondern echten Mehrwert schaffen wollen, gibt es einige bewährte Strategien:
Risiko‑ und Lieferketten‑Mapping: Erfassen Sie nicht nur direkte Zulieferer, sondern auch Subunternehmer, Drittparteien, kritische Codes oder Komponenten. Transparenz ist die Basis für Kontrolle.
Nutzung bestehender Standards und Leitlinien: beispielsweise ISO/IEC 27001, ENISA good practices, Branchenprofile, um NIS-2, DSGVO und DORA in einem integrierten Kontroll- und Berichtssatz zusammenzuführen.
Vorstandseinbindung und Reporting auf C‑Level: Risiken und Vorfälle regelmäßig im Top‑Management platzieren und Sicherheit nicht als Technikthema, sondern als strategischen Aspekt darstellen.
Kooperation suchen: Branchennetzwerke nutzen: beispielsweise CSIRTs, ENISA. Denn viele Probleme – etwa Templates, Vorlagen, Best Practices – lassen sich gemeinsam lösen und standardisieren.
NIS-2 ist ein wichtiger erster Schritt: Es bringt Verantwortlichkeit, Meldeverpflichtungen und Lieferketten‑Risiken nach vorne. Aber: Ohne verbindliche EU‑Standards, einheitliche Vorlagen und interoperable Prozesse bleibt Vieles Stückwerk mit zusätzlichem Aufwand statt echter Sicherheit. Unternehmen sollten den Blick nicht auf Mindestanforderungen richten, sondern auf harmonisierte Standards und messbare Wirkung.
Über den Autor: Antonio Paolo Mecci verantwortet als CISO, Head of IT und DPO bei der DSwiss AG die umfassende Sicherheits- und Datenschutzstrategie. Mit über acht Jahren Erfahrung in IT und Cybersecurity verknüpft er technisches Fachwissen mit Governance-, Risiko- & Compliance-Know-how zur Stärkung der Organisationssicherheit.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/4e/41/4e411e25cd2f6b37a123df299dc97db6/0128951938v1.jpeg "In dieser Folge von „Speicherhungrig“ führt unser Fachautor Michael Matzer ein Interview mit Christoph Linden, Field Technical Director von Cohesity, über die KI-gestützte Nutzung von Backups im Zuge des Datenmanagements. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ad/3e/ad3e583461c4a0948f46931b4cf54632/0128931071v2.jpeg "In Veeam Backup & Replication fand der Hersteller bei internen Testings vier Sicherheitslücken, die mit der Version 13.0.1.1071 behoben wurden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/8e/2e8ea6945b08f3ccf0514e135b95a4b5/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/45/4145c18abcf73a4fece47fe71248255c/0128894128v1.jpeg "Die neuen 32-TB-CMR-Festplatten von Seagate sind ab sofort verfügbar. (Bild: Seagate)")
:quality(80)/p7i.vogel.de/wcms/42/86/42868377fd4496bf2feea7ae5dbbfe50/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/76/56/765658635ea06f59c39496f524115953/0128407436v1.jpeg "Magischer Hammer: Die Data Platform von Hammerspace schafft einen gemeinsamen Datenraum für File- und Objektdaten, der auch den NVMe-Speicher von GPU-Servern einschließt. Das soll für die bessere Auslastung der GPUs sorgen. (Bild: © Abul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/10/b2100f0f4be548babf43f4318b6fe890/0128742668v1.jpeg "Cloud Storage FUSE soll die direkte Verarbeitung großer Datenmengen für Analyse-, KI- und ML-Workloads ermöglichen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/75/467564f9fae7479948f54659673f2cdc/0128572571v1.jpeg "NIS-2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je nach Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/f6/7bf6a04ed0ce1a653c4cfe8ecd92d8a3/0128787134v1.jpeg "Disk Drill kann verloren gegangene Daten wiederherstellen. (Bild: Joos – CleverFiles)")
:quality(80)/p7i.vogel.de/wcms/bc/25/bc2574b897f686062666949faedc2007/0128915727v1.jpeg "Wie in den vergangenen Jahren findet das CloudFest 2026 im Europapark in Rust statt. Storage-Insider fungiert als Medienpartner – inklusive Gratis-Tickets für unsere Leserinnen und Leser. (Bild: RENÉ LAMB FOTODESIGN GMBH/CloudFest)")
:quality(80)/p7i.vogel.de/wcms/dc/b7/dcb7ce583a9ce0b42e8e35f0d557fb8f/0128409577v1.jpeg "Sechs technologische Kerntrends – von KI-Skalierung über saubere Datenbasis bis hin zu integrierten End-to-End-Prozessen – helfen Unternehmen, messbaren Geschäftserfolg aus ihren IT-Investitionen zu erzielen. (Bild: frei lizenziert Joshua Woroniecki)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/89/4d89345312c9c759c4da8996ed0e3f8e/0128189127v1.jpeg "E-Mail-Archivierung in nahezu jedem Land der Welt eine Pflicht für Unternehmen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/3d/793d22cf841d3dc6a9bf04d2ac5cc31c/0127698974v1.jpeg "Das BKM-Sonderprogramm stärkt den Erhalt historischer Originale. Authentische Quellen sollen so bewahrt werden. Schließlich geht es um das „Gedächtnis der Demokratie“. (Bild: © blende11.photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/d8/15d826df460af3af10318ef730dc1d2c/0128894300v1.jpeg "Unternehmen sollen mit PowerStore 4.3 smartere, dichtere und sicherere Speicherinfrastrukturen einrichten können. (Bild: © itchaznong – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/1f/9a1fd185950e0f1ec3eaee22559601e8/0127682042v2.jpeg "Ein Synology-NAS lässt sich als zentraler Authentifizierungsdienst nutzen. Wahlweise mit dem integrierten OAuth-Paket oder per Keycloak im Docker-Container. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/ed/0ced3344608f59ff8d8be6b73b67455b/0128862191v1.jpeg "Die Koppelung von Festplatten als RAID-Verbund soll Datenverlust beim Ausfall einzelner Platten verhindern. Zu unterscheiden ist dabei zwischen Hardware-RAID und Software-RAID. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/a5/d9a5a68e9584b0366aa1f06bd9b7885d/0128857043v1.jpeg "Bytes sind die kleinste adressierbare Speichereinheit bei Storage-Hardware wie Festplattenlaufwerken, SSDs, USB-Sticks oder anderen Speichermedien. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/db/1c/db1c91cdd92a3c540a8a73e4ec127a59/0125796845v2.jpeg "Der EU Data Act schafft neue Möglichkeiten für den Datenzugang. Unternehmen und Behörden müssen jetzt den Zugang zu Daten gewähren und dabei zugleich die Datenschutzbestimmungen einhalten. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/ef/60efa1aabb470b752ff728541fd5c032/0123952524v2.jpeg "Donald Trump sieht durch EU-Regulierungen für den Datenschutz die amerikanische Souveränität gefährdet. (Bild: by TheDigitalArtist via Pixabay)")
:quality(80)/p7i.vogel.de/wcms/ee/6c/ee6c35a5228223efd78dad47ff4128bf/0127912181v1.jpeg "Die NIS-2-Richtlinie macht IT-Dokumentation zum zentralen Sicherheitsfaktor, weil sie Transparenz schafft, Risiken sichtbar macht und Unternehmen in die Lage versetzt, Compliance, Incident-Response und IT-Sicherheitsstrategien wirksam und nachweisbar umzusetzen. (©Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e2/e0e221fa95c2b5612f6bfd220972e246/0128197293v2.jpeg "NIS-2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")