Viele Unternehmen noch nicht bereit für neue EU-Pflichten

Viele Unternehmen in Deutschland sind auf die neuen Anforderungen der Zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2, noch nicht ausreichend vorbereitet. Das geht aus einer Online-Umfrage von Civey im Auftrag von TÜV Rheinland unter 500 IT-Verantwortlichen in Deutschland hervor. Demnach sieht sich nur jedes dritte Unternehmen bislang auf einem guten Weg bei der Umsetzung. Vollständig umgesetzt haben die neuen gesetzlichen Pflichten zu Risikomanagement und Cybersicherheit erst 14,3 % der Befragten. Weitere 16,9 % sehen sich weit fortgeschritten.

Deutlich kleiner ist der Anteil der Unternehmen, die sich erst am Anfang befinden: 6,4 % haben mit der Umsetzung begonnen, bei 3,4 % ist sie noch geplant. Weitere 6,6 % geben an, dass NIS-2 bislang kein Thema ist. Gut jeder Fünfte, konkret 21,6 %, sagt, das eigene Unternehmen sei nicht von der Regulierung betroffen, die Ende 2025 in nationales Recht umgesetzt wurde.

Warum NIS-2 für die Geschäftsleitung relevant wird

Die Umfrage macht zugleich deutlich, dass weiterhin erhebliche Unsicherheit besteht. Knapp jeder dritte Befragte, 30,8 %, antwortete auf die Frage nach dem Umsetzungsstand mit „Weiß nicht / Kein Angabe“. Michael Silvan, Experte für Cybersecurity bei TÜV Rheinland, ordnet den Befund mit Blick auf die verbleibende Zeit ein: „Die Zeit wird knapper, denn Unternehmen müssen bald nachweisen können, dass sie die neuen gesetzlichen Pflichten für IT-Sicherheit auch einhalten. Wer keine klare Roadmap hat, riskiert nicht nur Compliance-Lücken, sondern auch persönliche Haftung der Geschäftsleitung“, erklärt Silvan.

Damit rückt NIS-2 nicht allein in den Verantwortungsbereich der IT-Abteilungen. Die Richtlinie betrifft auch Governance, Risikomanagement und Nachweispflichten. Für Unternehmen entsteht daraus ein Handlungsfeld, das technische, organisatorische und strategische Aspekte verbindet.

KI-Projekte in der Industrie professionell planen

KI-Projekte bringen Unbekannte mit, die klassische Projektplanung an Grenzen führen. Das Fraunhofer IOSB liefert am 17. Juni 2026 in Heilbronn Methoden und Werkzeuge für Anforderungserhebung, Planung und Durchführung – illustriert an Praxisbeispielen.

NIS-2 als Hebel für Resilienz

Der TÜV Rheinland verweist darauf, dass NIS-2 auch als Chance verstanden werden kann, Sicherheitsstrukturen robuster aufzustellen. Orientierung zu den wichtigsten Themen sollen Fachleute des Unternehmens im Rahmen einer Expertenwoche geben. Diese findet vom 15. bis 19. Juni statt. In praxisnahen Einordnungen erläutern Experten individuell, was durch die Regulierung konkret für einzelne Unternehmen gilt und welche Prioritäten gesetzt werden sollten.

„NIS-2 ist kein Bürokratieprojekt. Es ist eine Chance, Sicherheitsstrukturen so aufzubauen, dass sie im Ernstfall wirklich tragen“, sagt Michael Silvan.

Welche Themen stehen bei NIS-2 im Fokus?

Im Mittelpunkt der Expertenwoche stehen nach Angaben von TÜV Rheinland IT-Compliance, Lieferanten-Management, Resilienz und Notfallplanung, Risikomanagement sowie Sicherheitsmanagement. Interessierte können dazu individuelle Expertengespräche buchen.

Die Themen zeigen, dass NIS-2 über klassische IT-Sicherheit hinausgeht. Neben technischen Schutzmaßnahmen gewinnen Prozesse, Lieferketten, Notfallplanung und Managementsysteme an Bedeutung. Gerade für Unternehmen aus Industrie, Maschinenbau und Produktion sind solche Strukturen zentral, wenn Anlagen, Datenflüsse und Lieferfähigkeit geschützt werden sollen.

Mehrheit hält NIS-2 für wichtig

Trotz der erkennbaren Umsetzungslücken bewertet eine Mehrheit der Befragten die neue Regulierung grundsätzlich positiv. Laut Umfrage halten sechs von zehn Befragten, 60,3 %, NIS-2 für wichtig oder sehr wichtig für mehr Resilienz in Unternehmen in Deutschland.

Die Ergebnisse zeigen damit ein ambivalentes Bild: Die Bedeutung von NIS-2 für Cybersicherheit und Widerstandsfähigkeit wird mehrheitlich anerkannt. Gleichzeitig ist die praktische Umsetzung in vielen Unternehmen noch nicht abgeschlossen oder bleibt unklar.