NIS-2-Update, der Reality-Check: Was ab April 2026 zu tun ist

Dabei ist das Thema nicht neu. In unseren ersten beiden NIS-2-Artikeln haben wir ausführlich beschrieben, wer betroffen ist und welche konkreten Maßnahmen gefordert werden. Nun ist der Moment für ein NIS-2-Update: Wo steht Deutschland? Welche Fristen sind abgelaufen und was müssen Unternehmen jetzt konkret tun?

Die gute Nachricht: Wer jetzt handelt, kann das Ruder noch herumreißen. Mehr noch: Wer NIS-2-Anforderungen strukturiert angeht, kann daraus einen echten Wettbewerbsvorteil formen. Dieser Artikel zeigt, wie das geht.

Der Stand nach dem 6. März: Ernüchternd, aber nicht hoffnungslos
Das Bild ist deutlich: Nur ein kleiner Teil (die oben genannten 38%) der rund 29.000 betroffenen deutschen Unternehmen hat sich fristgerecht registriert. Dabei war die Erstregistrierung beim BSI vergleichsweise unkompliziert. Dennoch blieb die große Mehrheit untätig. Das lässt erahnen, in welchem Rückstand viele Unternehmen hinsichtlich der eigentlichen inhaltlichen NIS-2-Anforderungen stehen.

Das BSI als zuständige Aufsichtsbehörde hat weitreichende Befugnisse erhalten: Es darf Nachweise anfordern, Audits einleiten und bei nachgewiesenen Verstößen hohe Bußgelder verhängen (siehe NIS2UmsuCG, §65).

• Besonders wichtige Einrichtungen (große Unternehmen in kritischen Sektoren
  bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Wichtige Einrichtungen (mittelgroße Unternehmen in relevanten Sektoren):
  bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, wiederum der jeweils höhere Betrag.
• Auch wichtig zu wissen: Das NIS2UmsuCG sieht nun eine persönliche Haftung der Geschäftsführung vor.

Dies verdeutlicht: Die Regulierung ist ernst gemeint und die zuständigen Behörden wurden befähigt, durchzugreifen. Unternehmen, die jetzt strukturiert vorgehen, verschaffen sich einen Vorsprung gegenüber dem breiten Feld der Wartenden.

Abwarten ist ab sofort keine Strategie mehr
Mit dem Ablauf der Registrierungsfrist am 6. März ist eine wichtige Schwelle überschritten: Es gibt keine Übergangsfristen mehr, keine impliziten Schonfenster. Das NIS2UmsuCG ist geltendes Recht, und wer die Anforderungen nicht erfüllt, ist im Verstoß, auch ohne, dass das BSI bisher aktiv eingeschritten ist.

Besonders relevant: Schon die ausgebliebene Registrierung stellt einen solchen Verstoß dar. Das bedeutet nicht zwangsläufig, dass morgen ein Bußgeldbescheid im Briefkasten liegt. Es bedeutet aber, dass Rechtsrisiken real sind und mit jeder weiteren Verzögerung wachsen. Zudem wird NIS-2-Konformität zunehmend in Ausschreibungen und Lieferkettenbewertungen abgefragt; Kunden und Partner setzen das voraus. Die entscheidende Frage lautet daher nicht mehr: Müssen wir das wirklich tun? Sondern: Wo fangen wir an und wie setzen wir es richtig um?

Was jetzt konkret zu tun ist, mit Beispielen aus der Praxis
Kurzer Reality-Check: Muss mein Unternehmen handeln?
Wenn Sie heute nicht mit Sicherheit sagen können, welche OT-Systeme in Ihrem Netzwerk online erreichbar sind – oder wer in Ihrem Unternehmen als Erstes benachrichtigt werden müsste, sollte ein Cyberangriff Ihre Produktionssysteme treffen – dann gehören Sie zu den Unternehmen, die jetzt handeln müssen. Die vier folgenden Handlungsfelder geben Ihnen einen ersten, konkreten Anhaltspunkt.

1. Incident Management

• Zuständig: IT-Leiter oder CISO
• NIS-2 verpflichtet betroffene Unternehmen, bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden eine erste Meldung beim BSI abzugeben. Dafür braucht es einen klaren, dokumentierten Incident-Response-Prozess, der schriftlich festlegt, welche Schritte im Ernstfall zu durchlaufen sind.
  • Wer ist intern der erste Ansprechpartner?
  • Wer entscheidet, ob ein Vorfall meldepflichtig ist?
  • Welche Informationen müssen an das BSI übermittelt werden, und in welchem Format?
• Wichtig für Fertigungsunternehmen: OT-Vorfälle, etwa der Ausfall einer Steuerungseinheit durch einen Angriff, folgen anderen Eskalationspfaden als IT-Vorfälle. Beide müssen im Prozess abgebildet sein, noch bevor der Ernstfall eintritt.

2. Technische Mindestanforderungen

• Zuständig: OT-/Anlagenverantwortliche und IT-Sicherheit gemeinsam
• Netzwerksegmentierung, Multi-Faktor-Authentifizierung für privilegierte Zugänge und geregeltes Patch-Management sind Pflicht. Der Haken im OT-Umfeld: Viele Legacy-Protokolle wie Modbus oder OPC DA können nicht aktualisiert werden, und Patches lassen sich nicht ohne Produktionsstopp einspielen.
• Flächendeckendes Monitoring und eine gute Trennung zwischen OT- und IT-Netzwerken sind hier umso wichtiger. edge.SHIELDOR wurde für genau diesen Anwendungsfall entwickelt: OT-Netzwerke sicherer machen, ohne in laufende Produktionsprozesse einzugreifen.

3. Lieferkettensicherheit

• Zuständig: Einkauf gemeinsam mit IT-Sicherheit
• NIS-2 verpflichtet Unternehmen ausdrücklich, auch ihre Lieferkette sicherheitstechnisch im Blick zu behalten. In der Praxis bedeutet das: Lieferanten und externe Dienstleister nach Kritikalität klassifizieren.
  • Wer hat Fernzugriff auf Ihre Produktionsanlagen?
  • Wer teilt Netzwerksegmente mit Ihren Systemen?
• Für diese Partner empfiehlt sich ein strukturiertes Supplier-Assessment, z.B. ein Fragebogen zur IT/OT Sicherheitslage, der als Grundlage für Vertragsklauseln oder Rahmenvereinbarungen dienen kann.

4. Schulungen und Sensibilisierung

• Zuständig: HR und IT-Sicherheit
• Technische Maßnahmen greifen nur, wenn die Menschen dahinter mitziehen. NIS-2 fordert Nachweise, dass Mitarbeitende für Cyberrisiken sensibilisiert werden. OT-Operatoren und Maschinenbedienende haben dabei andere Bedrohungsprofile als Büromitarbeiter; Schulungen sollten das widerspiegeln. 
• Einmalige Jahresschulungen genügen dabei kaum. Wirksam sind rollenspezifische Trainings mit praxisnahen Szenarien sowie regelmäßige Updates bei neu identifizierten Bedrohungslagen.

Was Sie jetzt tun können

• Registrierung beim BSI nachholen: Falls noch nicht geschehen, ist das der dringlichste erste Schritt. Das BSI-Portal ist zugänglich, die Registrierung selbst erfordert relativ wenig Aufwand.
• Gap-Analyse durchführen: Prüfen Sie systematisch, welche NIS-2-Anforderungen bereits erfüllt sind und wo Lücken bestehen. Eine strukturierte Selbstauskunft oder ein externes Audit schafft Klarheit und Prioritäten.
• Incident-Response-Prozess dokumentieren und testen: Legen Sie schriftlich fest, wer bei einem Sicherheitsvorfall was tut. Benennen Sie konkrete Ansprechpartner, intern und für die BSI-Meldung, und testen Sie den Ablauf in einer Übung.
• Lieferanten-Assessment einleiten: Beginnen Sie mit den kritischsten Partnern: Wer hat Zugriff auf Ihre Produktionssysteme? Erstellen Sie eine Übersicht und prüfen Sie Verträge auf Sicherheitsanforderungen.

Vom Compliance-Risiko zum Wettbewerbsvorteil
Unternehmen, die NIS-2 jetzt ernstnehmen, tun mehr als nur Bußgelder zu vermeiden. Sie bauen etwas auf, das in der industriellen Lieferkette zunehmend nachgefragt wird: nachweisbare Cybersicherheit. In regulierten Branchen wie der Automobilindustrie, dem Maschinenbau und der Lebensmittelproduktion fragen Einkaufsabteilungen aktiv nach der Sicherheitslage ihrer Lieferanten. Wer heute in Incident Management, Netzwerksegmentierung und Lieferkettenbewertung investiert, positioniert sich als zuverlässiger, zukunftsfähiger Partner, ein konkreter Marktvorteil.

TRIOVEGA ist nach IEC 62443 zertifiziert und begleitet gemeinsam mit seinen Partnern Fertigungsunternehmen von der Gap-Analyse über die technische Umsetzung bis zur dauerhaften Betriebsunterstützung. Nutzen Sie die Chance, die strukturiertes Handeln jetzt bietet.

Jetzt handeln, strukturiert und chancenorientiert
NIS-2 ist keine Einmalaufgabe, sondern eine dauerhafte Anforderung an die Sicherheitsreife von Organisationen. Der 6. März 2026 war ein Datum, das viele verpasst haben, es markiert aber auch den Startpunkt für eine strukturierte Aufholjagd. Wer mit einer belastbaren Bestandsaufnahme, klaren Prozessen und gezielten technischen Maßnahmen beginnt, kann die Compliance-Lücke schließen und dabei die eigene Wettbewerbsfähigkeit stärken.

Mehr Hintergrund zu NIS-2 finden Sie in unseren früheren Artikeln: NIS-2-Richtlinie wird Gesetz und NIS-2: Welche Maßnahmen die Industrie jetzt umsetzen muss. Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht, vereinbaren Sie gerne einen unverbindlichen Beratungstermin mit unserem Team.