NIS-2 und KRITIS
»Jetzt zählt die Umsetzung, nicht die Compliance«
Industrie und kritische Infrastruktur (KRITIS) hinken bei der Umsetzung wirksamer Cybersecurity-Maßnahmen gemäß der NIS-2-Richtlinie der EU noch immer hinterher. Wie ist nun die aktuelle Cybersicherheits-Lage, und was sollten Unternehmen jetzt tun?
Die fortschreitende Digitalisierung und die tiefe Vernetzung von IT und Operational Technology (OT) bieten enorme Effizienzpotenziale, machen industrielle Steuerungssysteme aber auch so verwundbar wie nie zuvor. Dass dies keine abstrakte Gefahr mehr ist, belegen die Zahlen des IBM X-Force Threat Intelligence Index 2026: Die Fertigungsindustrie ist das fünfte Jahr in Folge die weltweit am stärksten von Cyberangriffen betroffene Branche und verzeichnet mittlerweile fast 28 Prozent aller erfassten Vorfälle. Cyberkriminelle nutzen die Aufhebung der traditionellen OT-Isolation schonungslos aus: Angriffe über vernetzte Anwendungen stiegen zuletzt um 44 Prozent, während sich folgenschwere Attacken auf Lieferketten seit 2020 fast vervierfacht haben. Wie alarmierend unvorbereitet viele Organisationen auf diese akute Bedrohungslage sind, zeigt der BSI-Lagebericht 2025: Demnach haben rund 48 Prozent der deutschen KRITIS-Betreiber in ihren Systemen nach wie vor keine funktionierende Angriffserkennung implementiert. Während die öffentliche Debatte häufig von rein IT-basierten Ransomware-Szenarien dominiert wird, beweisen diese Zahlen, dass bereits die gezielte Störung der digitalen Verfügbarkeit in der oft ungeschützten OT ausreicht, um die öffentliche Wahrnehmung, kritische Dienstleistungen und wirtschaftliche Prozesse spürbar zu beeinträchtigen – quer durch alle Branchen, von staatlichen Stellen über Produktionsanlagen bis hin zu Unternehmen jeder Größe.
Fakt ist: Während Cybersecurity für Organisationen vor rund zehn Jahren noch nicht obligatorisch war, ist sie jetzt rechtliche Pflicht. NIS-2 und das KRITIS-Dachgesetz setzen verbindliche Standards, Fristen und Verantwortlichkeiten. Der 6. März 2026 wurde für rund 29.000 Unternehmen und Einrichtungen in Deutschland im Rahmen des NIS-2-Umsetzungsgesetzes als Frist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gesetzt. Dass bis zu diesem Zeitpunkt erst rund 39 Prozent der betroffenen Organisationen ihrer Pflicht nachgekommen sind, ist nicht nur eine schwache Quote, sondern ein Warnsignal. Die Registrierung darf nicht nur als Formalie betrachtet werden: sie ist vielmehr Voraussetzung für Melde- und Risikomanagementprozesse im Ernstfall – aufsichtsrechtliche Strafen und hohe Bußgelder bei Versäumnis inklusive. Mehr noch: Wer NIS-2 noch immer unterschätzt, riskiert nicht nur regulatorischen Druck, sondern vor allem massive Lücken zwischen IT, OT und Management.
Dies bedeutet, dass es nicht mehr nur darum gehen darf, ein »Häkchen« unter das Thema Regulierung zu setzen – jetzt zählt die tatsächliche Umsetzung organisatorischer und technischer Maßnahmen bis hin zur Sicherheit der Lieferketten. Und das ist gut so – denn wenn schon staatliche Websites kompromittiert werden können, wieviel mehr private KRITIS-Betreiber und Unternehmen sind dann gefährdet? Gerade wenn sie bislang nicht ernsthaft auf Cybervorfälle vorbereitet waren?
Die aktuellen Angriffsfälle zeigen, dass Führungsebene, IT/OT, Risiko & Governance eng verzahnt werden müssen. Ansonsten könnten nicht nur Services lahmgelegt, sondern auch Rechtspflichten verletzt werden. Resilienz bedeutet in diesem Kontext mehr als Schutz: Sie steht für Betriebskontinuität, Fehlertoleranz, Wiederherstellungsfähigkeit und Widerstand gegen Angriffe. Genau das verlangt explizit NIS-2. Zwar fordert die EU-Richtlinie jede Menge Compliance-Maßnahmen, doch darin liegt auch eine strategische Chance: Standardisierte Risikomanagementprozesse führen zu effizienteren, sichereren und widerstandsfähigeren Infrastrukturen – ein Wettbewerbsvorteil, der weit über die gesetzlichen Anforderungen hinausgeht.
Allerdings reichen punktuelle IT-Sicherheitslösungen heute nicht mehr aus. Gefragt ist ein ganzheitlicher Ansatz für IT/OT, der Prävention, Früherkennung und eine schnelle Reaktion auf Sicherheitsvorfälle verbindet. Zusätzlichen Druck erzeugen die verschärften Meldepflichten: Sie zwingen die Verantwortlichen dazu, Monitoring-Prozesse zu professionalisieren und die technologische Infrastruktur so zu härten, dass sie auch massiven Lastspitzen standhält.
Die erforderlichen Technologien zur Abwehr solcher Szenarien sind längst verfügbar. Der Engpass liegt primär in der Geschwindigkeit der Umsetzung und der Skalierung innerhalb der Organisationsstrukturen. Investitionen in Cyberresilienz dürfen nicht mehr nur als reiner Kostenfaktor betrachtet, sondern müssen als Grundvoraussetzung für Wertschöpfung und eine funktionierende digitale Gesellschaft verstanden werden. Eine zukunftsfähige Sicherheitsstrategie muss auf Verfügbarkeit priorisieren und auf Organisationen und Architekturen setzen, die Angriffe bereits im Keim ersticken, bevor Dienste offline gehen. Die Komplexität dieser Herausforderung erfordert eine enge Zusammenarbeit zwischen Unternehmen und spezialisierten Partnern, um die Vorgaben von NIS-2 und KRITIS in wirksame Strukturen und Schutzmechanismen zu übersetzen. Erst durch eine konsequente Stärkung der digitalen Resilienz lässt sich sicherstellen, dass kritische Infrastrukturen auch in Krisenzeiten stabil bleiben.
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
