Der 2. Januar ist für viele Unternehmen kein echter Neustart. Die Systeme laufen, ja – aber die Menschen sind oft noch im Urlaub, in Betriebsferien oder zumindest mental noch nicht vollständig im neuen Geschäftsjahr angekommen. Genau in diese Phase fällt nun für viele Betriebe der Einstieg in die Umsetzung von NIS2. Das ist kein Detail, sondern symptomatisch für ein grundlegendes Problem: Regulierung wird entworfen, ohne die reale Taktung von Unternehmen mitzudenken.
Die NIS2-Richtlinie verfolgt ein legitimes Ziel. Cybersicherheit ist längst kein IT-Nischenthema mehr, sondern eine Frage unternehmerischer Resilienz. Doch was aktuell aus der nationalen Umsetzung in Deutschland entsteht, ist weniger ein Sicherheitskonzept als vielmehr ein weiterer Beweis dafür, wie schnell gute europäische Ansätze in deutscher Verwaltungspraxis in Bürokratielogik kippen.
Der Jahresanfang als organisatorische Sollbruchstelle
Viele Unternehmen nutzen den Jahreswechsel bewusst als Zäsur. Projekte werden abgeschlossen, Strukturen überprüft, Ressourcen neu geplant. Betriebsferien sind dabei kein Luxus, sondern Ausdruck wirtschaftlicher Vernunft. Gerade im Mittelstand gibt es keine Parallelorganisationen, die währenddessen neue regulatorische Pflichten vorbereiten.
Wenn nun rückblickend argumentiert wird, Unternehmen hätten „zwischen den Jahren“ Zeit gehabt, sich auf NIS2 vorzubereiten, offenbart das ein erstaunliches Maß an Realitätsferne. Denn in dieser Phase sind Entscheider nicht verfügbar, IT-Verantwortliche im Urlaub und externe Dienstleister ebenfalls nur eingeschränkt erreichbar. Regulierung, die implizit davon ausgeht, dass selbst Betriebsferien produktive Compliance-Zeiten sind, verkennt den unternehmerischen Alltag fundamental.
Registrierungspflicht beim BSI als bürokratischer Einstiegspunkt
Kern der neuen Pflichten ist die verpflichtende Registrierung betroffener Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik. Der Weg dorthin führt über ein ELSTER-Unternehmenskonto und perspektivisch über ein eigenes BSI-Portal, das nach aktuellem Stand erst ab Anfang 2026 vollständig zur Verfügung stehen soll.
Schon dieser Einstieg ist bezeichnend. Bevor über reale Risiken, technische Schutzmaßnahmen oder organisatorische Resilienz gesprochen wird, müssen Unternehmen zunächst formale Voraussetzungen erfüllen: Zertifikate beschaffen, Zugänge einrichten, Ansprechpartner definieren, Daten pflegen. Cybersicherheit beginnt nicht mit Schutz, sondern mit Verwaltung. Für viele Unternehmen ist das ein irritierender Start.
ELSTER als Symbol deutscher Digitalbürokratie
Dass ausgerechnet ELSTER zur Eintrittskarte für NIS2 wird, ist mehr als eine technische Entscheidung. Es ist ein Symbol für eine Digitalpolitik, die Sicherheit vor allem über formale Prozesse definiert. ELSTER steht für hohe Sicherheitsstandards, aber ebenso für Komplexität, mangelnde Nutzerorientierung und eine Logik, die sich primär an Verwaltungsvorgängen orientiert – nicht an betrieblichen Abläufen.
Damit verschiebt sich der Fokus gefährlich. Nicht die Frage, wie gut ein Unternehmen tatsächlich gegen Cyberangriffe geschützt ist, steht im Vordergrund, sondern ob es seine Pflichten formal korrekt erfüllt. Dokumentation wird zur Währung der Sicherheit, nicht Wirksamkeit. Das ist ordnungspolitisch problematisch und sicherheitstechnisch fragwürdig.
Wenn Betriebsferien auf laufende Pflichten treffen
Besonders deutlich wird die Schieflage jetzt, Anfang Januar. Viele Unternehmen kehren gerade erst in den Regelbetrieb zurück, während die regulatorischen Erwartungen bereits voll wirksam sind. Ansprechpartner müssen benannt, Prozesse definiert, Zuständigkeiten geklärt werden – zu einem Zeitpunkt, an dem Organisationen noch im Wiederanlauf sind.
Für kleine und mittlere Unternehmen ist das keine theoretische Herausforderung, sondern eine ganz praktische. Wer keine eigene Compliance-Abteilung hat, muss diese Aufgaben zusätzlich zum Tagesgeschäft stemmen. Das erzeugt Druck, führt zu Unsicherheit und begünstigt genau das, was Regulierung eigentlich verhindern sollte: formale Minimalerfüllung statt inhaltlicher Auseinandersetzung.
Kritik aus der Wirtschaft wird bislang ignoriert
Die Warnungen kommen nicht aus einer technikfeindlichen Ecke. Sie kommen aus der organisierten Wirtschaft selbst. So fordern etwa die Industrie- und Handelskammern ausdrücklich bürokratiearme, praxisnahe Lösungen bei der Umsetzung der NIS2-Richtlinie. Der Tenor ist eindeutig: Sicherheit ja, aber mit Augenmaß, Verhältnismäßigkeit und klarer Fokussierung auf das Wesentliche.
Bislang jedoch dominiert ein Ansatz, der eher Misstrauen als Partnerschaft signalisiert. Unternehmen werden nicht als verantwortliche Akteure gesehen, sondern als potenzielle Regelbrecher, die durch Melde- und Nachweispflichten gesteuert werden müssen. Das ist kein gutes Fundament für eine nachhaltige Sicherheitskultur.
Wirksame Cybersicherheit braucht Pragmatismus statt Papier
Cybersicherheit entsteht nicht in Portalen, sondern in Prozessen. Sie lebt von klaren Verantwortlichkeiten, realistischen Maßnahmen und einer Unternehmenskultur, die Risiken ernst nimmt, ohne in Lähmung zu verfallen. Ein System, das Sicherheit primär über Formulare, Registrierungen und Dokumentationspflichten organisiert, verfehlt dieses Ziel.
Gerade jetzt, zu Beginn des Jahres, brauchen Unternehmen Orientierung statt Überforderung. Einen strukturierten, pragmatischen Einstieg, der zur betrieblichen Realität passt – auch dann, wenn der Jahreswechsel von Urlaub und Betriebsferien geprägt war. Genau hier setzt nis2-conform.eu an: als praxisnahe Unterstützung, die Komplexität reduziert, Anforderungen einordnet und Unternehmen befähigt, NIS2 als handhabbares Sicherheitsprojekt zu verstehen, nicht als weiteres Bürokratiemonster.
NIS2 darf nicht an deutscher Bürokratielogik scheitern
NIS2 ist notwendig. Cybersicherheit ist unverzichtbar. Doch gute Regulierung erkennt man daran, dass sie im Alltag funktioniert. Wenn Unternehmen den Jahresanfang vor allem damit verbringen, neue Verwaltungspflichten zu sortieren, statt ihre Systeme sicherer zu machen, läuft etwas falsch.
Der Start ins neue Jahr sollte nicht der Beginn neuer Überforderung sein, sondern der Auftakt zu mehr digitaler Resilienz. Dafür braucht es weniger Formularlogik und mehr Vertrauen in die Unternehmen, die unsere Wirtschaft tragen.