Mit der NIS‑2‑Regulierung hat die Europäische Union verbindliche Vorgaben zur Cybersicherheit geschaffen. Seit dem 6. Dezember 2025 gelten diese Vorgaben auch in deutschem Recht. Sechs Monate später zeigt sich nach Einschätzung der IT‑Expert:innen von TÜVIT: Viele betroffene Unternehmen haben die neuen Anforderungen bislang nicht oder nur unzureichend umgesetzt.
Mit der NIS‑2‑Regulierung hat die Europäische Union verbindliche Vorgaben zur Cybersicherheit geschaffen. Ziel ist es, Unternehmen dazu zu verpflichten, ihre IT‑Systeme und digitalen Infrastrukturen besser gegen Angriffe zu schützen. Die Richtline stellt einen zentralen Baustein für die Stabilität von Wirtschaft und Gesellschaft da. Seit dem 6. Dezember 2025 gelten diese Vorgaben auch in deutschem Recht. Sechs Monate später (6. Juni 2026) zeigt sich nach Einschätzung der IT‑Expert:innen von TÜVIT, einem Unternehmen der TÜV NORD GROUP: Viele betroffene Unternehmen haben die neuen Anforderungen bislang nicht oder nur unzureichend umgesetzt.
„In der Praxis erleben wir häufig, dass NIS‑2 noch immer unterschätzt oder auf einzelne technische Maßnahmen reduziert wird“, sagt Tim Golly, Lead Expert Management Systeme bei TÜVIT. „Nach unserer Erfahrung hat bisher nur etwa jedes zehnte Unternehmen die Anforderungen vollständig umgesetzt. Das deckt sich auch mit verschiedenen Untersuchungen, beispielsweise mit der Studie zur IT-Sicherheit in Unternehmen von DIGITAL.SICHER.NRW, dem Kompetenzzentrum für Cybersicherheit in der Wirtschaft Nordrhein-Westfalens. Und das, obwohl der wirtschaftliche Schaden durch Cyberangriffe Jahr für Jahr weiter steigt.“
Rund 30.000 Unternehmen in Deutschland fallen inzwischen unter die NIS‑2‑Regelungen. Besonders kritisch sieht TÜVIT die Auswirkungen auf kritische Lieferketten. Denn in vielen Fällen reicht bereits ein unzureichend abgesicherter Dienstleister oder Zulieferer aus, um ganze Wertschöpfungsprozesse ins Stocken zu bringen, etwa durch Produktionsausfälle, gestörte IT‑Services oder verspätete Reaktionen auf Sicherheitsvorfälle.
„Die größten Herausforderungen liegen dabei oft nicht in der Technik“, so Golly. „Entscheidend sind klare Führungs‑, Entscheidungs- und Meldewege – und genau hier sehen wir in vielen Unternehmen noch großen Nachholbedarf.“
Aus Sicht von TÜVIT ist die Lösung weniger komplex, als häufig angenommen – sie erfordert aber ein Umdenken. „Der Weg zur NIS‑2‑Umsetzung beginnt auf Managementebene“, sagt Golly. Unternehmen, die gut vorankommen, verankern demnach Cybersicherheit fest in ihrer Unternehmensführung. Sie würden zunächst ihre Betroffenheit klären und Transparenz über den eigenen Status schaffen. Darauf aufbauend würden sie Risiken ganzheitlich betrachten, also nicht nur aus IT‑Sicht, sondern auch mit Blick auf Lieferketten, physische Abhängigkeiten und organisatorische Schwachstellen. Ebenso wichtig seien klar definierte Verantwortlichkeiten und funktionierende Melde‑ und Krisenprozesse, die im Ernstfall greifen und regelmäßig trainiert werden. „Und am Ende zählt der Nachweis: Unternehmen müssen zeigen können, dass ihre Maßnahmen auch wirklich wirken – reine Selbsteinschätzungen reichen nicht mehr aus“, so Golly weiter. „NIS‑2 ist kein IT‑Projekt, sondern ein Führungsthema. Wer Verantwortung, Prozesse und Nachweise sauber aufsetzt, reduziert Haftungsrisiken, gewinnt Handlungssicherheit und stärkt das Vertrauen von Kunden und Partnern.“
Nach Einschätzung von TÜVIT wird nachweisbare Cyber‑Resilienz damit zunehmend zur Voraussetzung für Geschäftsbeziehungen – gerade in regulierten und sicherheitskritischen Branchen.
Vor über 150 Jahren gegründet, stehen wir weltweit für Sicherheit und Vertrauen. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick. Ob Ingenieurinnen, IT-Security-Experten oder Fachleute für die Mobilität der Zukunft: Wir sorgen in mehr als 100 Ländern dafür, dass unsere Kunden in der vernetzten Welt noch erfolgreicher werden.
