Techaus Consulting | Media
08. Januar 2026 Security & Compliance 2 min Lesezeit

NIS-2 Realitätscheck: Was Infrastrukturen ein Jahr nach der Pflicht wirklich leisten müssen.

Ende 2024 trat NIS-2 in Kraft. Die Panik war groß, die Beraterhonorare hoch. Ein Jahr später schauen wir nüchtern zurück: Wo schauen Prüfer wirklich hin?

Das Jahr 2025 war für viele IT-Leiter das "Jahr der Dokumentation". NIS-2 zwang tausende Unternehmen, die zuvor unter dem Radar flogen, plötzlich in ein Korsett aus Meldepflichten und Risikomanagement.

Jetzt, Anfang 2026, liegen die ersten echten Erfahrungen aus Prüfungen und Vorfällen vor. Die gute Nachricht: Das befürchtete Bußgeld-Massaker ist ausgeblieben. Die schlechte: "Paper-Compliance" (Sicherheit nur auf dem Papier) fliegt heute schneller auf als je zuvor.

Lektion 1: Die "24-Stunden-Lüge"

Die Meldepflicht bei Sicherheitsvorfällen (24h Erstmeldung) war der größte Stressfaktor. Die Praxis 2025 hat gezeigt: Behörden akzeptieren keine vagen "Wir untersuchen noch"-Mails mehr.

Wer keine funktionierende SIEM-Lösung (Security Information and Event Management) oder zumindest zentrales Logging hat, kann diese Frist faktisch nicht einhalten. Wir haben Fälle gesehen, in denen allein das Fehlen von Log-Daten zu höheren Strafen führte als der Vorfall selbst.

Lektion 2: Supply Chain ist der neue Angriffsvektor

NIS-2 forderte explizit die Absicherung der Lieferkette. 2025 hat dies bestätigt: Fast 60% der relevanten Vorfälle kamen nicht direkt über die Firewall, sondern über VPN-Zugänge von Dienstleistern oder Wartungsschnittstellen.

"Vertrauen ist gut, Netzwerksegmentierung ist besser. Wer Dienstleister 2026 noch ins gleiche Netz wie den Backup-Server lässt, handelt grob fahrlässig."

Was jetzt zu tun ist (Q1 2026)

Viele Unternehmen haben 2024/25 hastig Maßnahmen eingeführt, die nun den Betrieb lähmen. Der Trend geht zur "Usable Security":

  • MFA-Optimierung: Weg von SMS/OTP hin zu FIDO2-Token (YubiKeys etc.), um Phishing-Resistenz zu garantieren, ohne Mitarbeiter zu nerven.
  • Backup-Immutability: Kein Audit ohne die Frage: "Sind Ihre Backups wirklich unveränderbar?". Wer hier noch auf einfache SMB-Shares setzt, fällt durch.
  • Notfall-Handbücher: Die BSI-Prüfer wollen keine 200-Seiten-Konzepte sehen, sondern eine "One-Pager"-Checkliste, die auch nachts um 3 Uhr funktioniert.

Fazit

NIS-2 hat die IT-Security in Deutschland teurer, aber auch robuster gemacht. Der Hype ist vorbei, jetzt beginnt die Fleißarbeit: Die eingeführten Prozesse müssen gelebt werden, sonst sind sie im Ernstfall wertlos.

← Zurück zur Übersicht