Skip to content
Home

17. März 2026 | 5 min

Nach der NIS2-Deadline: Warum zwei Drittel der Unternehmen im Verzug sind – und was jetzt wirklich zählt

Die NIS2-Richtlinie ist eines der zentralen regulatorischen Themen im Bereich Cybersecurity und GRC. Sie wurde eingeführt, um das Cybersicherheitsniveau in Europa deutlich zu erhöhen und Unternehmen stärker in die Verantwortung zu nehmen. Doch kurz nach Ablauf zentraler Fristen zeigt sich ein klares Bild: Ein grosser Teil der betroffenen Organisationen ist nicht ausreichend vorbereitet.

Viele Unternehmen haben die Anforderungen unterschätzt, ihre Betroffenheit nicht korrekt eingeordnet oder notwendige Massnahmen zu spät gestartet. Gleichzeitig steigt der Druck durch Aufsichtsbehörden, strengere Kontrollen und potenzielle Sanktionen.

Die entscheidende Frage lautet daher nicht mehr, ob Unternehmen sich mit NIS2 beschäftigen sollten, sondern wie sie jetzt strukturiert und schnell aufholen können.

Das wichtigste in Kürze

  • Ein grosser Teil der betroffenen Unternehmen hat die NIS2-Fristen nicht eingehalten.
  • NIS2 erweitert den Kreis der regulierten Unternehmen erheblich und verschärft Anforderungen.
  • Cyberrisiken werden zu einem zentralen Governance- und Managementthema.
  • Geschäftsleitungen tragen direkte Verantwortung und potenzielle Haftung.
  • Viele Organisationen haben Defizite bei Risikomanagement, Dokumentation und Verantwortlichkeiten.
  • Jetzt entscheidend: Gap-Analyse, Priorisierung und strukturierte Umsetzung.
  • NIS2 ist kein einmaliges Projekt, sondern erfordert ein dauerhaftes GRC-System.

Warum so viele Unternehmen im Verzug sind

Die hohe Zahl an nicht vorbereiteten Unternehmen ist kein Zufall. NIS2 bringt mehrere strukturelle Herausforderungen mit sich.

Erstens wurde der Anwendungsbereich massiv erweitert. Anders als bei der ursprünglichen NIS-Richtlinie betrifft NIS2 nicht mehr nur kritische Infrastrukturen, sondern eine grosse Zahl an mittelgrossen und grossen Unternehmen in unterschiedlichen Branchen.

Zweitens herrscht in vielen Organisationen Unsicherheit darüber, ob sie überhaupt betroffen sind. Die Kriterien sind komplex und hängen von Branche, Unternehmensgrösse und konkreten Tätigkeiten ab.

Drittens wurden die Anforderungen häufig unterschätzt. NIS2 ist kein reines IT-Sicherheitsprojekt, sondern verlangt ein umfassendes Managementsystem für Cyberrisiken.

Und viertens fehlt es in vielen Unternehmen an integrierten GRC-Strukturen, um regulatorische Anforderungen systematisch umzusetzen.

NIS2 als Gamechanger für GRC

NIS2 verändert die Rolle von Governance, Risk und Compliance grundlegend.

Cybersecurity wird nicht mehr als technisches Thema behandelt, sondern als integraler Bestandteil der Unternehmenssteuerung. Die Richtlinie verlangt unter anderem:

  • systematisches Risikomanagement für Informationssicherheit
  • klare Verantwortlichkeiten auf Managementebene
  • dokumentierte Sicherheitsmassnahmen
  • Meldepflichten für Sicherheitsvorfälle
  • Schulung der Geschäftsleitung
  • Absicherung von Lieferketten und Drittparteien

Damit wird NIS2 zu einem klassischen GRC-Thema, das Governance, Risiko und Compliance miteinander verbindet.

Die Rolle der Geschäftsleitung

Ein zentraler Aspekt von NIS2 ist die Verantwortung der obersten Führungsebene.

Geschäftsleitungen sind nicht nur indirekt verantwortlich, sondern tragen direkte Verantwortung für:

  • Umsetzung von Sicherheitsmassnahmen
  • Überwachung der Compliance
  • Einhaltung von Meldepflichten
  • Aufbau eines funktionierenden Risikomanagements

In vielen Fällen ist auch eine persönliche Haftung möglich, wenn diese Pflichten nicht erfüllt werden.

Damit wird Cyberrisiko endgültig zu einem Thema auf Vorstandsebene.

Typische Schwachstellen in Unternehmen

Die aktuelle Situation zeigt, dass viele Unternehmen ähnliche Defizite haben.

Eine häufige Schwachstelle ist fehlende Transparenz. Viele Organisationen wissen nicht genau, welche Systeme, Daten oder Drittanbieter kritisch sind.

Ein weiteres Problem ist die fehlende Integration von Cyberrisiken in das zentrale Risikomanagement. Risiken werden isoliert in der IT betrachtet, aber nicht in die Gesamtsteuerung eingebunden.

Auch die Dokumentation ist oft unzureichend. Ohne nachvollziehbare Nachweise lassen sich regulatorische Anforderungen nicht erfüllen.

Schliesslich fehlt es häufig an klaren Verantwortlichkeiten. Ohne definierte Zuständigkeiten bleibt die Umsetzung fragmentiert und ineffektiv.

Was Unternehmen jetzt konkret tun müssen

Nach Ablauf der Fristen geht es nicht mehr um Vorbereitung, sondern um Aufholen.

Ein strukturierter Ansatz umfasst mehrere Schritte.

Zunächst muss geklärt werden, ob und in welchem Umfang das Unternehmen von NIS2 betroffen ist. Darauf folgt eine Gap-Analyse, die den aktuellen Stand mit den regulatorischen Anforderungen vergleicht.

Auf dieser Basis sollten Massnahmen priorisiert werden. Nicht alle Anforderungen müssen gleichzeitig umgesetzt werden, aber kritische Lücken müssen schnell geschlossen werden.

Parallel dazu ist es wichtig, Governance-Strukturen aufzubauen. Dazu gehören klare Verantwortlichkeiten, Reporting-Linien und Entscheidungsprozesse.

Ein weiterer zentraler Punkt ist die Einführung oder Weiterentwicklung eines integrierten GRC-Systems. Nur so lassen sich Risiken, Massnahmen und Compliance-Anforderungen langfristig steuern.

NIS2 als Chance und nicht nur als Pflicht

So gross der regulatorische Druck auch ist, NIS2 bietet Unternehmen auch Chancen.

Ein strukturiertes Cyberrisikomanagement verbessert nicht nur die Compliance, sondern auch die operative Stabilität. Sicherheitsvorfälle können schneller erkannt und besser bewältigt werden.

Auch die Transparenz im Unternehmen steigt. Risiken werden sichtbar, Verantwortlichkeiten klarer und Entscheidungsprozesse fundierter.

Darüber hinaus stärkt ein hoher Reifegrad in der Cybersicherheit das Vertrauen von Kunden, Partnern und Investoren.

Unternehmen, die NIS2 ernst nehmen, können daraus einen echten Wettbewerbsvorteil entwickeln.

Fazit

Die NIS2-Deadline hat deutlich gemacht, dass viele Unternehmen noch nicht ausreichend vorbereitet sind. Gleichzeitig steigt der Druck durch Regulierung, Aufsicht und zunehmende Cyberbedrohungen.

NIS2 ist kein kurzfristiges Compliance-Projekt, sondern ein langfristiger Transformationsprozess. Unternehmen müssen Cyberrisiken in ihre Governance integrieren, Risikomanagementsysteme ausbauen und Compliance kontinuierlich steuern.

Wer jetzt strukturiert handelt, kann nicht nur regulatorische Risiken reduzieren, sondern auch die eigene Resilienz und Wettbewerbsfähigkeit nachhaltig stärken.

FAQ

Was ist das Hauptziel von NIS2?
Das Ziel ist ein höheres und einheitliches Cybersicherheitsniveau in Europa sowie eine stärkere Verantwortung der Unternehmen für Cyberrisiken.

Warum sind so viele Unternehmen im Verzug?
Weil der Anwendungsbereich erweitert wurde, Anforderungen komplex sind und viele Organisationen keine integrierten GRC-Strukturen haben.

Wer ist im Unternehmen verantwortlich?
Die Geschäftsleitung trägt die Verantwortung für Umsetzung, Überwachung und Einhaltung der Anforderungen.

Was passiert bei Nicht-Einhaltung?
Es drohen regulatorische Massnahmen, Sanktionen und potenziell persönliche Haftung.

Wie sollten Unternehmen jetzt starten?
Mit einer klaren Betroffenheitsanalyse, einer Gap-Analyse und dem Aufbau eines strukturierten GRC-Systems zur Umsetzung der Anforderungen.

Share

Related posts

Die Fehler von Boeing durch fehlerhaftes Risikomanagement – Update November 2025
04 November 2025 | 4 min

Die Fehler von Boeing durch fehlerhaftes Risikomanagement – Update November 2025

 Einleitung In einem früheren Zazoon-Artikel haben wir beleuchtet, wie Boeing durch mangelbehaftete Fertigungsprozesse, fehlende Rückverfolgbarkeit und eine schwache Risikokultur in eine tiefe Krise geriet. Seitdem hat das Unternehmen angekündigt, seine Steuerungs- und Sicherheitsmechanismen zu stärken. Doch wie sieht die Realität heute aus? Aus Sicht von November 2025 prüfen wir, was sich bei Boeing verbessert hat,<a href="https://zazoon.com/de/die-fehler-von-boeing-durch-fehlerhaftes-risikomanagement-update-november-2025/">Continue reading <span class="sr-only">"Die Fehler von Boeing durch fehlerhaftes Risikomanagement – Update November 2025"</span></a>
Read more
Was ist GRC und wie funktioniert es?
24 August 2023 | 4 min

Was ist GRC und wie funktioniert es?

 Der Begriff GRC steht für Governance, Risikomanagement und Compliance. Er kann als ein umfassendes Paket von Fähigkeiten beschrieben werden, das eine Organisation bei der Erreichung ihrer Ziele unterstützt, indem es Fairness und Integrität auf allen Ebenen sicherstellt. Der Bereich Governance umfasst die organisatorischen Aktivitäten, die im Wesentlichen die Rollen, Verantwortlichkeiten und Erwartungen der Personen, die<a href="https://zazoon.com/de/was-grc-und-wie-funktioniert-es/">Continue reading <span class="sr-only">"Was ist GRC und wie funktioniert es?"</span></a>
Read more
Weihnachtsgeschenke für Geschäftspartner in DACH
11 September 2025 | 4 min

Weihnachtsgeschenke für Geschäftspartner in DACH

 In der Weihnachtszeit nutzen viele Unternehmen die Gelegenheit, Geschäftspartnern für die Zusammenarbeit zu danken. Kleine Aufmerksamkeiten stärken Beziehungen, zeigen Wertschätzung und können ein wichtiger Teil der Firmenkultur sein. Gleichzeitig müssen jedoch steuerliche Vorgaben, Compliance-Regeln und unternehmensinterne Richtlinien beachtet werden – und diese unterscheiden sich je nach Land. Der folgende Artikel bietet einen aktuellen, ausgewogenen Überblick<a href="https://zazoon.com/de/weihnachtsgeschenke-fuer-geschaeftspartner-in-dach/">Continue reading <span class="sr-only">"Weihnachtsgeschenke für Geschäftspartner in DACH"</span></a>
Read more