Peter Schneider im IT-Business Podcast “ImPuls”

Das fragen sich Mihriban Dincel und Natalie Forell im IT-Business Podcast “ImPuls”.
Der Podcast der IT-Business-Redaktion beleuchtet regelmäßig aktuelle IT-Themen mit Expert/-innen aus der Branche.
Zu Gast ist Peter Schneider, unser Channel Account Manager.

Seit dem 6. Dezember 2025 gilt die NIS2-Richtlinie in Deutschland. Doch viele Unternehmen stehen vor der Herausforderung: Wie setze ich die Anforderungen um  und was passiert, wenn ich es nicht tue?

Die Zahlen sprechen eine klare Sprache: Laut einer Studie von G DATA, Statista und brand eins hatten zum Zeitpunkt der Befragung nur 12,1 % der Unternehmen die NIS2-Vorgaben vollständig umgesetzt. Weitere 20,4 % befanden sich in der finalen Umsetzungsphase, während 31,3 % noch mitten im Prozess steckten. Am erschreckendsten: 7,3 % hatten noch gar nicht begonnen.

Peter Schneider zeigt Verständnis für Firmen:

“Ich habe Verständnis für die IT-Teams, die komplett überlastet sind momentan. Es steht so viel an, was IT-Sicherheit angeht. Wir haben so viele Brennpunkte.

Wenn sich da eine Richtlinie immer und immer wieder verschiebt, dann verstehe ich schon, dass man da keine große Priorität draus macht, sondern erst mal es flachliegen lässt und dann abwartet, okay, was passiert da eigentlich noch alles?”

Mit rund 290 Milliarden Euro Schaden durch Cyberangriffe allein im letzten Jahr (laut Bitkom und Verfassungsschutz) ist klar: Deutschland muss seine IT-Sicherheit und Resilienz massiv erhöhen. Seit dem 6. Dezember 2025 gilt die NIS2-Richtlinie in Deutschland. Keine Übergangsfristen, keine Ausreden mehr. Die Zahl der betroffenen Unternehmen ist von rund 4.500 unter der alten NIS-Richtlinie auf fast 30.000 gestiegen. Neu ist vor allem:

• Erweiterte Betroffenheit: Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz können betroffen sein
• Lieferketten-Verantwortung: Auch indirekt betroffene Unternehmen müssen ihre Lieferketten überprüfen
• Meldepflichten: Bei Sicherheitsvorfällen gilt ein dreistufiges Melderegime ans BSI

• Persönliche Haftung: Die Geschäftsführung trägt die Verantwortung – mit Bußgeldern von bis zu 20 Millionen Euro

Die Verunsicherung vieler Unternehmen sei oft hausgemacht, so Schneider weiter: “Das NIS2-Gesetz ist ja im Prinzip aus der Ignoranz der Unternehmensführung entsprechend entstanden, dass man einfach gemerkt hat vonseiten des Gesetzgebers, dass es immer mehr Unternehmen gibt, die erstens gehackt werden, zweitens eigentlich gar keine vernünftigen IT-Security-Strukturen oder Cyber-Security-Strukturen haben.”

Seine klare Botschaft: Jeder Unternehmensführer sollte eigenständig auf die Idee kommen, grundlegende Cyber-Security-Maßnahmen umzusetzen – unabhängig von gesetzlichen Vorgaben. NIS2 ist der Handlungsrahmen für all jene, die das Thema bisher vernachlässigt haben.

1. Betroffenheit prüfen

Bin ich direkt betroffen oder über die Lieferkette? Die Analyse liegt in der Eigenverantwortung jedes Unternehmens. Bei Betroffenheit folgt eine dreimonatige Frist zur Registrierung beim BSI-Portal.

2. Ist-Zustand ermitteln

Wo stehe ich aktuell? Welche Sicherheitsmaßnahmen sind bereits vorhanden? Welche Lücken gibt es? Eine ehrliche Bestandsaufnahme ist der Ausgangspunkt für alle weiteren Maßnahmen.

3. Notfallprozesse etablieren

Im Ernstfall zählt jede Minute. Unternehmen müssen wissen:

• Wer erstellt die Meldung ans BSI?
• Wer gibt sie frei?
• Welche Informationen müssen innerhalb von 24 Stunden übermittelt werden?

Bei Sicherheitsvorfällen gelten klare Fristen:

• 24 Stunden: Erstmeldung mit grundlegenden Informationen
• 72 Stunden: Erstes Update mit Bewertung und technischen Details
• 1 Monat: Abschlussbericht oder Fortschrittsbericht

Diese Fristen gelten für alle erheblichen Sicherheitsvorfälle – auch für Beinahvorfälle.

Hilfe ist verfügbar

Unternehmen müssen die Umsetzung nicht alleine stemmen. Es gibt zahlreiche Unterstützungsangebote. (z.B.: BSI-Portal: Mit Starterpaket, Erklärvideos und Checklisten)

Sie benötigen Unterstützung bei der NIS2-Umsetzung? Kontaktieren Sie uns unter