NIS2 in der Praxis: Die ersten 100 Tage – was wirklich passiert
NIS2 ist seit Januar 2026 in Kraft. Doch die Umsetzung stockt in vielen Unternehmen. Ein Praxisbericht über die häufigsten Hürden und fünf Quick Wins.
Die NIS2-Richtlinie ist seit dem 17. Januar 2026 geltendes Recht in Deutschland. Über 29.500 Unternehmen sind betroffen – vom Energieversorger bis zum mittelständischen IT-Dienstleister. Doch mehr als 100 Tage nach Inkrafttreten zeigt sich in der Praxis ein ernüchterndes Bild: Die wenigsten Unternehmen sind tatsächlich compliant. Nicht, weil sie es nicht wollen. Sondern weil die Umsetzung komplexer ist, als die meisten erwartet haben.
In diesem Artikel teile ich die Erfahrungen aus den ersten NIS2-Projekten bei Nexus – die häufigsten Stolpersteine, die überraschendsten Erkenntnisse und fünf Quick Wins, die sofort wirken.
Die Lücke zwischen Pflicht und Praxis
Die gesetzliche Pflicht ist klar. Die NIS2-Anforderungen umfassen Risikomanagement, Incident Response, Supply-Chain-Security und Meldepflichten. In der Theorie klingt das handhabbar. In der Praxis scheitern Unternehmen an drei Stellen:
1. Scope-Definition: Viele Unternehmen wissen nicht, ob sie überhaupt betroffen sind – oder in welcher Kategorie. Die Unterscheidung zwischen „wesentlichen” und „wichtigen” Einrichtungen hat direkte Auswirkungen auf Audit-Pflichten und Sanktionshöhen. In jedem zweiten Projekt, das ich begleite, beginnt die Arbeit mit einer Scope-Klärung, die eigentlich vor Monaten hätte stattfinden sollen.
2. Verantwortlichkeiten: NIS2 macht die Geschäftsführung persönlich haftbar. Das ist vielen Führungskräften bewusst – aber die Konsequenz daraus fehlt. Wer ist operativ verantwortlich? Wer berichtet an wen? In den meisten Unternehmen fehlt ein klarer Governance-Rahmen für Cybersicherheit.
3. Lieferketten-Risiken: NIS2 fordert eine systematische Bewertung der Sicherheit in der Lieferkette. Das betrifft nicht nur IT-Dienstleister, sondern jeden kritischen Zulieferer. Viele Unternehmen haben keine vollständige Übersicht ihrer kritischen Abhängigkeiten – geschweige denn eine Risikobewertung.
Was in den ersten 100 Tagen wirklich passiert
Aus den Projekten der letzten Monate lassen sich drei Phasen identifizieren, die fast jedes Unternehmen durchläuft:
Phase 1: Erkenntnis (Woche 1–4)
Das Unternehmen stellt fest, dass es betroffen ist. Die Geschäftsführung wird informiert, ein internes Projektteam wird zusammengestellt. In dieser Phase dominiert die Frage: „Wie groß ist die Lücke?” Ein systematisches Assessment – wie unser NIS2 Readiness Assessment – liefert hier in zwei bis drei Wochen Klarheit über den Reifegrad und die prioritären Handlungsfelder.
Phase 2: Ernüchterung (Woche 5–10)
Die Gap-Analyse zeigt das tatsächliche Ausmaß. Typische Erkenntnisse: keine dokumentierten Incident-Response-Prozesse, keine regelmäßigen Schwachstellenscans, keine Lieferketten-Bewertung, keine Schulungsnachweise. Die Liste ist lang, das Budget begrenzt. In dieser Phase verlieren viele Projekte an Momentum, weil der Berg zu groß erscheint.
Phase 3: Pragmatismus (Woche 11–16)
Die erfolgreichen Unternehmen wechseln in den Pragmatismus-Modus. Sie priorisieren nach Risiko und Audit-Relevanz, nicht nach Perfektion. Sie setzen Quick Wins um, die sofort sichtbar sind, und bauen parallel die langfristigen Strukturen auf.
Fünf Quick Wins für die ersten 100 Tage
Diese fünf Maßnahmen lassen sich innerhalb weniger Wochen umsetzen und demonstrieren gegenüber Auditoren eine ernsthafte Compliance-Bemühung:
1. Incident-Response-Playbook erstellen
Die NIS2-Checkliste für Geschäftsführungen macht es deutlich: Ohne dokumentierten Incident-Response-Prozess ist keine NIS2-Konformität möglich. Ein pragmatisches Playbook mit Eskalationsstufen, Kontaktlisten und Meldewegen lässt sich in ein bis zwei Workshops erarbeiten. Es muss nicht perfekt sein – es muss existieren und getestet werden.
2. Asset-Inventar aufbauen
Sie können nichts schützen, was Sie nicht kennen. Ein vollständiges Inventar aller IT-Systeme, Anwendungen und Datenflüsse ist die Grundlage für jede weitere Maßnahme. Beginnen Sie mit den kritischen Geschäftsprozessen und arbeiten Sie sich nach außen vor.
3. Schwachstellenmanagement etablieren
Regelmäßige Vulnerability Scans der externen Angriffsfläche sind der schnellste Weg zu messbarer Sicherheitsverbesserung. Automatisierte Tools liefern innerhalb von Stunden einen Überblick über offene Flanken. Die Ergebnisse sind gleichzeitig Nachweis für Auditoren.
4. Lieferketten-Register anlegen
Erstellen Sie eine Liste aller kritischen Zulieferer mit deren Sicherheitsniveau. Das muss kein aufwendiges Audit sein – ein standardisierter Fragebogen an die Top-20-Lieferanten liefert erste belastbare Daten und zeigt der Aufsichtsbehörde, dass Sie das Thema aktiv angehen.
5. Schulungsnachweise sichern
NIS2 fordert regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden, einschließlich der Geschäftsführung. Dokumentierte Schulungen mit Teilnahmenachweisen sind einer der am einfachsten zu erbringenden Compliance-Nachweise – und werden von Auditoren als erstes geprüft.
Die KI-Dimension: NIS2 und autonome Systeme
Ein Aspekt, der in der NIS2-Diskussion oft zu kurz kommt: Unternehmen, die bereits KI-Agenten einsetzen oder planen, müssen diese in ihre NIS2-Compliance integrieren. Autonome Systeme, die auf kritische Infrastruktur zugreifen, brauchen eigene Risikobewertungen, lückenlose Audit-Trails und definierte Eskalationspfade. Die Schnittmenge von NIS2 und KI-Governance wird in den kommenden Monaten zum zentralen Thema – spätestens wenn der EU AI Act ab August 2026 seine Hochrisiko-Pflichten scharf schaltet.
Fazit: 100 Tage sind erst der Anfang
NIS2-Compliance ist kein Projekt mit Enddatum. Es ist ein fortlaufender Prozess, der in die Unternehmenssteuerung integriert werden muss. Die ersten 100 Tage entscheiden darüber, ob ein Unternehmen den Grundstein für nachhaltige Cybersicherheit legt – oder ob es bei der nächsten Prüfung kalt erwischt wird.
Die gute Nachricht: Sie müssen nicht alles auf einmal lösen. Priorisieren Sie, setzen Sie Quick Wins um, und bauen Sie Ihre NIS2-Reife systematisch auf.
Sie wollen wissen, wo Ihr Unternehmen bei NIS2 steht? Unser NIS2 Readiness Assessment liefert in zwei bis drei Wochen eine belastbare Standortbestimmung mit priorisierter Roadmap. Jetzt Erstgespräch vereinbaren →