Die Network and Information Security Directive 2 (NIS2-Richtlinie) soll die Cybersicherheit von Unternehmen und kritischen Infrastrukturen in Europa deutlich erhöhen. Viele Organisationen beschäftigen sich aktuell vor allem mit der Frage, ob sie rechtlich betroffen sind. Warum diese Perspektive zu kurz greift und weshalb sich auch nicht verpflichtete Unternehmen mit NIS2 befassen sollten, erklärt Christian Volkmer, geschäftsführender Gesellschafter von Projekt 29.

Herr Volkmer, aktuell wird viel über NIS2 gesprochen. Die meisten Unternehmen stellen sich vor allem eine Frage: Betrifft uns das überhaupt?

Christian Volkmer: Das ist tatsächlich die häufigste Frage in Gesprächen mit Unternehmen. Und sie ist verständlich – schließlich geht es zunächst um gesetzliche Pflichten. Aber diese Perspektive greift zu kurz. NIS2 ist nicht nur ein regulatorisches Thema. Die Richtlinie definiert im Grunde einen europäischen Mindeststandard für Cybersicherheit. Unternehmen sollten sich daher weniger fragen, ob sie formell betroffen sind, sondern eher: Wie weit sind wir organisatorisch und technisch aufgestellt, um mit den aktuellen Cyberrisiken umzugehen?

Sie sagen also: Auch Unternehmen ohne gesetzliche Verpflichtung sollten sich mit NIS2 beschäftigen?

Unbedingt. NIS2 beschreibt sehr konkret, welche organisatorischen und technischen Maßnahmen Unternehmen treffen sollten, um ihre IT- und Informationssicherheit zu stärken – zum Beispiel Risikomanagement, Sicherheitsprozesse, Meldewege oder Verantwortlichkeiten auf Managementebene. Das sind keine abstrakten Anforderungen. Das sind bewährte Leitlinien für moderne Cybersicherheit. Deshalb sehen wir NIS2 in der Praxis zunehmend als eine Art Referenzrahmen für gute Sicherheitsstrukturen. Viele Unternehmen nutzen diese Vorgaben bereits heute freiwillig als Orientierung.

Warum gewinnt Cybersicherheit gerade jetzt so stark an Bedeutung?

Die Bedrohungslage verschärft sich seit Jahren deutlich. Cyberangriffe gehören inzwischen zu den größten Geschäftsrisiken für Unternehmen. Studien und Marktanalysen zeigen regelmäßig, dass viele Unternehmen Ransomware-Angriffe als das größte operative Risiko einschätzen – noch vor klassischen wirtschaftlichen Risiken. Der Grund ist einfach: Eine erfolgreiche Cyberattacke kann heute den gesamten Betrieb lahmlegen. Produktionsausfälle, Datenverlust, Lieferkettenprobleme oder Reputationsschäden können existenzielle Folgen haben. Vor diesem Hintergrund ist es absolut sinnvoll, dass Unternehmen sich strukturiert mit ihrer IT- und Informationssicherheit beschäftigen. Genau dafür liefert NIS2 einen klaren Rahmen.

Ein aktuelles Thema ist auch die Registrierungspflicht beim BSI. Viele Unternehmen haben diese noch nicht umgesetzt.

Das stimmt. Obwohl eine Registrierungspflicht für betroffene Unternehmen bis zum Stichtag 6. März 2026 existiert, haben sich laut aktuellen Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) bisher tausende Unternehmen noch nicht registriert. Das zeigt zweierlei: Erstens ordnen viele Organisationen noch immer ihre mögliche Betroffenheit falsch ein. Und zweitens zeigt es, wie groß der Informationsbedarf weiterhin ist. Viele Unternehmen befinden sich noch ganz am Anfang der Auseinandersetzung mit dem Thema.

Welche Rolle spielt das Management bei NIS2?

Eine sehr große. Ein zentraler Gedanke der Richtlinie ist, dass Cybersicherheit nicht mehr ausschließlich ein technisches IT-Thema ist. Sie wird zur Managementverantwortung. Unternehmensleitungen müssen sich künftig stärker mit Risiken, Sicherheitsstrategien und organisatorischen Maßnahmen befassen. Das bedeutet nicht, dass Geschäftsführer selbst IT-Sicherheit umsetzen müssen. Aber sie müssen sicherstellen, dass geeignete Strukturen, Prozesse und Verantwortlichkeiten vorhanden sind. Das ist letztlich vergleichbar mit anderen Unternehmensrisiken – etwa im Finanzbereich oder im Arbeitsschutz.

Welche Vorteile hat es für Unternehmen, sich frühzeitig mit NIS2 auseinanderzusetzen?

Der größte Vorteil ist Planungssicherheit. Wenn NIS2 zum europäischen Cybersicherheitsstandard wird – und vieles deutet darauf hin –, dann werden sich viele Anforderungen langfristig in der Wirtschaft etablieren. Wer sich frühzeitig damit beschäftigt, kann Maßnahmen Schritt für Schritt umsetzen. Unternehmen, die erst reagieren, wenn regulatorischer Druck entsteht oder ein Sicherheitsvorfall passiert, haben deutlich weniger Handlungsspielraum. Frühe Vorbereitung bedeutet also vor allem Flexibilität und strategische Kontrolle.

Wie unterstützt Projekt 29 Unternehmen in diesem Bereich?

Ein großer Vorteil für unsere Kunden ist, dass Projekt 29 Teil der P29 Group ist. NIS2 betrifft nicht nur einzelne Themenfelder, sondern mehrere Disziplinen gleichzeitig: IT-Sicherheit, organisatorische Prozesse, Compliance-Strukturen, Risikoanalysen und nicht zuletzt auch Fragen des Datenschutzes. NIS2 hat also technische, organisatorische und juristische Facetten. Genau hier liegt die Stärke unserer Gruppe. In der P29 Group bündeln wir unterschiedliche Kompetenzen:

• Datenschutz und Informationssicherheit bei Projekt 29
• Compliance- und Governance-Themen bei Ratisbona Compliance
• IT-Infrastruktur und Systemhausleistungen bei Itago Systems
• IT-Forensik und Incident Response bei pen.sec

Für Unternehmen bedeutet das: Sie müssen sich nicht mit einer Vielzahl einzelner Dienstleister abstimmen, sondern können auf ein integriertes Kompetenznetzwerk zurückgreifen. Gerade bei einem Thema wie NIS2 ist diese ganzheitliche Perspektive ein entscheidender Vorteil. Wir können Unternehmen entlang der gesamten Wertschöpfung der Cybersicherheit begleiten – von der Analyse über die Umsetzung bis hin zur Reaktion auf Sicherheitsvorfälle.

Ihr Fazit: Was sollten Unternehmen jetzt tun?

Der wichtigste Schritt ist, sich aktiv mit dem Thema auseinanderzusetzen – unabhängig davon, ob eine unmittelbare gesetzliche Betroffenheit vorliegt. Cybersicherheit wird in den kommenden Jahren zu einem zentralen Wettbewerbs- und Stabilitätsfaktor für Unternehmen werden. NIS2 liefert dafür einen sehr klaren Orientierungsrahmen. Unternehmen, die diese Entwicklung frühzeitig ernst nehmen, verschaffen sich einen echten strategischen Vorteil.

Wie gehen Sie konkret vor, wenn Unternehmen Unterstützung bei NIS2 benötigen?

Wir verfolgen bewusst keinen Standardansatz nach dem Motto „eine Lösung für alle“. Unternehmen unterscheiden sich stark – in Größe, Branche, IT-Struktur und Risikoprofil. Deshalb setzen wir mit Projekt 29 zum einen auf einen projektbasierten Ansatz sowie Tools über die Unternehmen schnell und unkompliziert prüfen können, ob Ihr Unternehmen unmittelbar von der neuen Cybersicherheits-Richtlinie betroffen ist. Ergänzend bietet Ratisbona Compliance mit RC_NIS2 ein Workshopformat an, das Unternehmen einen sehr pragmatischen Einstieg in das Thema ermöglicht.

Das Interview führte: Thorsten Retta, punktX grafik.content.konzepte