Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes zeigt sich in vielen Unternehmen ein vertrautes Muster: Das Thema wird wahrgenommen, aber innerlich noch aufgeschoben. Nicht aus Ignoranz, sondern wegen falscher Annahmen. Genau diese Denkfehler werden nun zum Risiko.
„Wir sind zu klein – das betrifft uns nicht“
Einer der häufigsten Irrtümer. NIS-2 knüpft nicht nur an Umsatz oder Mitarbeiterzahl an, sondern vor allem an Branche, Funktion und Bedeutung in der Lieferkette. Viele mittelständische Unternehmen fallen erstmals unter die Regulierung – ohne sich selbst als „kritisch“ wahrzunehmen. Wer hier nicht prüft, handelt auf Verdacht. Und das ist selten eine gute Strategie.
„Wir sind kein KRITIS-Unternehmen“
Richtig – aber irrelevant. NIS-2 ersetzt das alte Entweder-oder-Denken durch ein Stufenmodell: „wichtige“ und „besonders wichtige“ Einrichtungen. Auch wer nicht zur klassischen kritischen Infrastruktur zählt, unterliegt umfangreichen Pflichten. Die Gleichsetzung von NIS-2 mit KRITIS führt daher direkt in eine gefährliche Sicherheitslücke – organisatorisch wie rechtlich.
„Das macht unser IT-Dienstleister“
Ein besonders hartnäckiger Denkfehler. Externe IT-Dienstleister können unterstützen, betreiben, absichern. Verantwortung übernehmen sie nicht.
Das Gesetz adressiert ausdrücklich das Unternehmen und dessen Geschäftsleitung. Wer glaubt, sich durch Outsourcing zu entlasten, verkennt den Kern von NIS-2: Steuerung, Kontrolle und Entscheidung bleiben Chefsache.
„Wir kümmern uns, wenn etwas passiert“
Reaktion statt Vorbereitung – ein klassischer Managementfehler. NIS-2 verlangt Prozesse vor dem Vorfall: Meldewege, Entscheidungsstrukturen, Zuständigkeiten. Wer erst im Ernstfall beginnt, Zuständigkeiten zu klären, verpasst Fristen, meldet unvollständig oder gar nicht. Das Risiko liegt dann nicht mehr im Cyberangriff, sondern im eigenen Organisationsversagen.
„Das ist ein einmaliges Projekt“
Auch dieser Gedanke trügt. NIS-2 ist kein Zertifikat, das man abhakt, sondern ein Dauerzustand. Systeme ändern sich, Bedrohungen entwickeln sich weiter, das BSI konkretisiert Anforderungen. Unternehmen, die NIS-2 als Projekt verstehen, werden regelmäßig nacharbeiten müssen – unter Zeitdruck und mit unnötigem Aufwand.
Risiken liegen im Denken
Die größten Risiken rund um NIS-2 liegen nicht in der Technik, sondern im Denken. Wer falsche Annahmen trifft, trifft falsche Entscheidungen. Unternehmen, die früh Klarheit schaffen, Verantwortung richtig verorten und strukturiert vorgehen, haben einen entscheidenden Vorteil: Sie behalten die Kontrolle – auch dann, wenn es ernst wird.