Die EU-Richtlinie NIS-2 soll die Cybersicherheit in Europa stärken – doch in Deutschland lässt die nationale Umsetzung weiterhin auf sich warten. Eigentlich hätte das entsprechende Gesetz bereits im vergangenen Jahr in Kraft treten sollen. Stattdessen droht der Bundesrepublik nun ein Vertragsverletzungsverfahren, denn die EU-Kommission drängt zunehmend auf eine zügige Umsetzung.
Was die Verzögerung bedeutet, welche Erfahrungen man bei Stackfield bereits gemacht hat und weshalb es für Organisationen noch nicht zu spät ist, sich diesem Thema zu widmen, erklärt Torsten Zinke, Experte für Informationssicherheit und Information Security & Compliance Manager bei Stackfield. Er weiß: "Es ist niemand zur Tatenlosigkeit verdammt".
Torsten, die Umsetzung von NIS-2 in Deutschland verzögert sich, obwohl das Thema Cybersicherheit politisch immer mehr an Bedeutung gewinnt. Dennoch kann man den Eindruck bekommen, als würde das Thema unter der neuen Regierung nicht unbedingt forciert. Wie realistisch ist es deiner Einschätzung nach, dass Deutschland die Vorgaben der EU jetzt zügig umsetzt?
ZINKE: Die Frist zur Umsetzung der NIS-2-Richtlinie in nationales Recht lief am 17. Oktober 2024 ab – und wurde damit bereits überschritten. Damit zählt Deutschland im europäischen Vergleich leider zu den Nachzüglern. Aus meiner Sicht hat das Projekt bislang nicht die notwendige politische Priorität erfahren und wurde ohne die erforderliche Entschlossenheit vorangetrieben.
Torsten Zinke – Information Security & Compliance Manager bei Stackfield
Hinzu kommt, dass der Regierungswechsel zu weiteren Verzögerungen geführt hat, da verschiedene Prozesse nun neu angestoßen werden müssen. Das Bundesinnenministerium des Inneren hat jedoch vor einigen Monaten angekündigt, die Umsetzung nun verstärkt voranzutreiben. Nicht zuletzt auch deshalb, weil die EU bereits ein Vertragsverletzungsverfahren in der zweiten Stufe eingeleitet hat.
Positiv hervorzuheben ist, dass Ende Mai ein neuer Referentenentwurf vorgelegt wurde. Insofern erscheint es zumindest realistisch, dass das Gesetzgebungsverfahren zur Umsetzung von NIS-2 noch vor dem Jahresende 2025 abgeschlossen werden kann.
Was bedeutet die langsame Umsetzung von NIS-2 konkret für Bürgerinnen und Bürger – etwa wenn es um Cyberangriffe auf Einrichtungen der kritischen Infrastruktur wie Krankenhäuser, Energieversorger oder Behörden geht?
ZINKE: Die schleppende Umsetzung der NIS-2-Richtlinie in Deutschland ist keineswegs ein abstraktes bürokratisches Problem. Sie hat ganz konkrete Konsequenzen für die Sicherheit unserer kritischen Infrastrukturen und damit für das tägliche Leben der Bürgerinnen und Bürger. Die Richtlinie sieht verbindliche Sicherheitsstandards für Betreiber kritischer Einrichtungen, wie die gerade genannten, vor. Ohne die Einführung der NIS-2-Standards steigt das Risiko erfolgreicher Cyberangriffe auf eben diese Organisationen
"Die Auswirkungen von Cyberangriffen können gravierend sein."
Die Auswirkungen von Cyberangriffen können gravierend sein und beispielsweise zu Störungen bei der Energieversorgung, Problemen in der Wasserwirtschaft oder zur Ausfall kommunaler Dienstleistungen führen. Das bedeutet im Klartext: Bürgerinnen und Bürger können mitunter keine Personaldokumente beantragen, sich nicht ummelden oder erhalten im schlimmsten Fall keine medizinische Notversorgung.
Wir sprechen hier auch nicht von theoretischen Szenarien, sondern von realen Vorfällen: So musste zum Beispiel die Notaufnahme des Uniklinikums Düsseldorf 2020 nach einem Ransomware-Angriff zeitweise schließen. Anfang 2024 wurde die Landesregierung Mecklenburg-Vorpommerns Ziel eines massiven Angriffs, und erst kürzlich – im März 2025 – war die Zentrale der Bundesagentur für Arbeit betroffen.
Stackfield hat sich schon früh auf NIS-2 vorbereitet. Was genau wurde hier unternommen und was hat sich dabei als besonders wichtig herausgestellt?
ZINKE: Wir haben frühzeitig die Bedeutung der NIS-2-Richtlinie erkannt und entsprechend gehandelt. Ein erster Schritt war die Betroffenheitsanalyse über das BSI-Portal. Auch wenn wir derzeit nicht unmittelbar unter den Anwendungsbereich der Richtlinie fallen, beobachten wir die Entwicklung sehr genau. Denn: Wenn ein verpflichtetes Unternehmen kritische IT-Dienstleistungen an uns auslagert, müssen wir als Dienstleister ein adäquates Sicherheitsniveau gewährleisten. Möglich wäre aber auch, dass wir aufgrund vertraglicher Anforderungen oder in unserer Rolle als Subdienstleister in die Pflicht genommen werden. Etwa, wenn unsere Dienste für systemrelevante Einrichtungen essenziell sind.
Insgesamt sehen ich uns sehr gut aufgestellt. Unsere bestehenden Zertifizierungen – etwa nach BSI C5 sowie ISO 27001, 27017 und 27018 – belegen, dass wir die relevanten Anforderungen bereits in großem Umfang erfüllen. Noch in diesem Jahr planen wir zudem die Erweiterung um die ISO 27701, die speziell Datenschutzaspekte adressiert. Viele der NIS-2-Vorgaben decken sich aber bereits mit den Prinzipien der ISO 27001, darunter Risikomanagement, Notfallplanung, Zugangskontrollen und die Verschlüsselung sensibler Daten.
Besonders wichtig sind mir zwei Punkte:
Erstens die praktische Umsetzung. Es nutzt keinem Unternehmen, wenn Richtlinien und Vorgaben erstellt werden, die danach im Schrank landen und nur zu Audits oder als Compliance-Nachweise hervorgeholt werden.
Zweitens: Die kontinuierliche Verbesserung der Informationssicherheit. Über Jahre "nur" den Status Quo zu erhalten, ist eine Möglichkeit. Mittelfristig wird man so aber angreifbar. Ich sehe es als sinnvoller an, die Informationssicherheit permanent anzupassen und zu verbessern.
Ist es für Unternehmen, die bisher wenig unternommen haben, noch möglich, rechtzeitig auf NIS-2 zu reagieren? Gibt es Tipps, die du den betroffenen Organisationen mit auf den Weg geben kannst?
ZINKE: Da die nationale Umsetzung noch auf sich warten lässt, ist eine Umsetzung für Unternehmen sicher noch möglich. Vor allem dann, wenn sie nicht bei null anfangen müssen. Wer bereits Maßnahmen nach etablierten Standards wie der ISO 27001 oder dem BSI-Grundschutz umgesetzt hat, kann diese als Fundament nutzen.
Ebenfalls hilfreich ist ein strukturierter Prozess, um dieses Thema anzugehen. So haben wir das auch bei Stackfield gemacht. Allgemein kann man dabei die folgenden Schritte nacheinander abarbeiten:
- Erst einmal die Verantwortlichkeiten klären,
- dann eine Risikoanalyse durchführen,
- Mindestsicherheitsmaßnahmen festlegen und umsetzen,
- Meldeprozesse vorbereiten,
- die Lieferkette und die betroffenen Dienstleister miteinbeziehen,
- die Sensibilisierung und regelmäßige Schulung der Mitarbeiterinnen und Mitarbeiter
- sowie, ganz wichtig: Die Dokumentation nicht vergessen! Diese Nachweise braucht jedes betroffene Unternehmen, wenn eine Prüfung durch die Behörden ansteht.
Zahlreiche Unternehmen sehen NIS-2 als zusätzliche Belastung, obwohl die Bedrohung durch Cyberangriffe in Deutschland größer ist als je zuvor. Von einem entschlossenen Vorgehen kann bislang aber keine Rede sein. Verlieren der neue Bundeskanzler Friedrich Merz und sein Kabinett dadurch politisches Vertrauen oder ist die zusätzliche Zeit notwendig, um eine durchdachte und wirkungsvolle Umsetzung zu erreichen?
ZINKE: Wie bereits Eingangs erwähnt denke ich, dass bereits zu viel Zeit verschenkt wurde. Ich kann Unternehmen, die bisher nicht oder wenig in Hinsicht auf Informationssicherheit unternommen haben, verstehen, dass sie NIS-2 als zusätzliche Belastung sehen. Was es de facto auch ist. Es geht um zusätzliche Investitionen, die Entwicklung und Pflege von Dokumentationen und Prozessen, klare Meldewege, technische und organisatorische Maßnahmen und vielem mehr. Die To-do-Liste ist lang und für viele abschreckend.
Gleichzeitig sprechen die Fakten eine klare Sprache: Der BSI-Lagebericht und Studien wie etwa jener des Digitalverbands Bitkom zeigen, dass 2023 jedes zweite Unternehmen in Deutschland von Cyberangriffen betroffen war. Laut der aktuellen Cybersecurity-Studie des TÜV hat sich das Bild im vergangenen Jahr nicht wesentlich verändert. Die Angreifer agieren zunehmend professionell, koordiniert und mit hoher krimineller Energie. Besonders im Fokus stehen der Mittelstand, kommunale Einrichtungen, das Gesundheitswesen und die Energieversorgung.
Die zentrale Frage lautet also: Wie lange können wir uns noch erlauben, uns bei der digitalen Sicherheit im Schneckentempo zu bewegen?
Mal ehrlich: Datenschutz ist nicht gerade sexy. Es wird zwar niemand bestreiten, dass das Thema wichtig ist, doch spricht man es an, gibt es oft Augenrollen und müde Gähner, trotz der ganz konkreten Gefahren für unseren Alltag. Was kann man deiner Meinung tun, damit das Thema Cybersicherheit nach stärker ins öffentliche Bewusstsein kommt?
ZINKE: Da gibt es viele Möglichkeiten. Beispielsweise durch Aufklärungs- und Sensibilisierungskampagnen durch staatliche Institutionen wie das BSI oder BMI. Das BSI hat mit der Seite "BSI für Bürger" einen, nach meiner Meinung, sehr guten Ansatz, indem es die doch teilweise komplexen Sachverhalte allgemeinverständlich erklärt.
Darüber hinaus braucht es gegebenenfalls eine verpflichtende Transparenz nach Sicherheitsvorfällen. Nur wenn Organisationen offen über Angriffe berichten – natürlich unter Wahrung von Verhältnismäßigkeit und Datenschutz sowie idealerweise ohne erhobenen Zeigefinger – können andere daraus lernen und ihre eigenen Systeme absichern.
"Das Thema Cybersicherheit sollte in Schulen ein Pflichtfach werden."
Und nicht zuletzt: Das Thema Cybersicherheit sollte in Schulen ein Pflichtfach werden. Letzten Endes muss Cyberhygiene als Teil des Alltags so selbstverständlich sein wie Zähneputzen: regelmäßige Updates, starke Passwörter, Zwei-Faktor-Authentifizierung und so weiter – dazu braucht es ausgebildete und motivierte Lehrkräfte, niedrigschwellige Tools und kontinuierliche Erziehung.
Die Grundlagen des Datenschutzes bereits in der Kindheit verankern – damit würde man den Ansatz "Security by Design" wirklich einmal wörtlich nehmen. Ist Deutschland deiner Meinung nach überhaupt bereit für diesen Ansatz oder fehlt dazu noch das richtige Mindset?
ZINKE: (lacht) Es stimmt, das Prinzip verlangt, dass Sicherheit von Anfang an in Produkte, Dienste und Prozesse integriert wird – nicht nachträglich. Und ja, auch die schulische Bildung ist meiner Ansicht nach ein solcher Prozess.
"Security by Design" ist ein proaktiver, systematischer Ansatz. Ich sehe, dass dieses Prinzip zwar oft technisch möglich ist, aber oft vernachlässigt wird. In vielen Unternehmen steht der Wunsch nach schneller Markteinführung über Sicherheitsaspekten. Security wird als "Hemmschuh" wahrgenommen. Das muss sich ändern. Grade Startups und der Mittelstand scheuen oft den initial höheren Aufwand – obwohl langfristig die Kosten für Schadensbegrenzung viel höher sind
Auf der anderen Seite sind auch Kunden nicht immer bereit, für sichere Produkte mehr zu zahlen. Allerdings wächst durch viele Regularien, wie zum Beispiel den Cyber Resilience Act der Druck zur Umsetzung von "Security by Design".
Deutschland hat die technologischen Grundlagen für diesen Ansatz, aber es fehlt vielerorts noch das richtige Mindset, vor allem in der Breite. Wir brauchen einen kulturellen Wandel, mehr politische Sichtbarkeit für das Thema und letztlich auch gesetzliche Anreize. Erst wenn Cybersicherheit als Wert erkannt wird, nicht als Pflicht, wird sie auch als echter Wettbewerbsvorteil wahrgenommen.
Wie können wir deiner Meinung nach als Gesellschaft verhindern, dass "NIS-2" nur zu einer Pflichtübung für Politik und Unternehmen ohne echte und dauerhafte Wirkung wird?
ZINKE: Wir brauchen eine konsequente, EU-weite Umsetzung der NIS-2-Richtlinie, mit klaren Rechenschaftspflichten. Es reicht nicht, Gesetze zu erlassen, sie müssen auch durchgesetzt und überprüft werden – mit Audits, Sanktionen und Transparenzpflichten für Unternehmen. Nur so erkennen wir, wer Cybersicherheit ernst nimmt.
Gleichzeitig müssen wir das Thema in der Unternehmenskultur verankern. Cybersicherheit darf keine lästige Pflichtübung bleiben, sondern muss durch Schulungen, gelebte Vorbilder im Management und klare strategische Ziele zur Selbstverständlichkeit werden.
Wichtig ist aber auch der gesellschaftliche Diskurs: Wenn wir Cybersicherheit als Teil unserer kollektiven Resilienz begreifen, wächst auch der politische und wirtschaftliche Druck, tatsächlich etwas zu verändern. Forschung, NGOs und die Fachöffentlichkeit spielen hier eine zentrale Rolle.
Und nicht zuletzt brauchen wir Innovation – von staatlich geförderten Sicherheitstechnologien bis hin zu offenen, transparenten Softwarelösungen. Nur mit qualifizierten, ausgebildeten Fachkräften und frühzeitiger Bildung kann das langfristig gelingen.