NIS2 ist für 80 Prozent der adressierten Betreiber nicht durchsetzbar

NIS2 ist eine Haftungsnorm ohne durchgängigen Vollzug. Das ist die nüchterne Lage nach Verabschiedung der Richtlinie und der schleppenden nationalen Umsetzung in Deutschland.

Wer die Zahl der adressierten Betreiber gegen die Personalstärke der zuständigen Aufsicht stellt, kommt zu einer einfachen Beobachtung. Die Mehrheit der Pflichtigen wird in den ersten Jahren nie aktiv geprüft werden. Die Haftung trifft sie trotzdem. Sie trifft sie nicht im Audit der Behörde, sondern im Schadensfall, in der Versicherungsabrechnung, in der Gesellschafterversammlung und in der persönlichen Verantwortung der Geschäftsleitung. Diese Verschiebung von der behördlichen Kontrolle zur zivilrechtlichen und versicherungsrechtlichen Durchsetzung wird in der öffentlichen Debatte unterschätzt. Sie ist aber der entscheidende Punkt, an dem sich entscheidet, ob ein Betreiber NIS2 als formalen Akt abhakt oder als operative Aufgabe begreift.

Boswau + Knauer beobachtet diese Verschiebung aus der Sicht des Herstellers, dessen Systeme an der physischen Schnittstelle der NIS2-Pflichten arbeiten. Wo es um Zutritt, Perimeter, Videoaufzeichnung, Sensorik und ihre Anbindung an Leitstellen geht, ist die Frage nicht mehr theoretisch. Sie ist messbar.

Die Personalmathematik des BSI

Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale Aufsichtsbehörde für NIS2 in Deutschland. Es ist in den vergangenen Jahren gewachsen, und es wird weiter wachsen. Die Größenordnung dieses Wachstums steht aber in keinem realistischen Verhältnis zur Größenordnung der Adressaten. Vor der Erweiterung durch NIS2 fielen unter die Vorgängerregelung in Deutschland einige Tausend Betreiber kritischer Infrastrukturen. Mit NIS2 vervielfacht sich diese Zahl. Die Schätzungen schwanken, je nach Auslegung der Schwellenwerte und der Sektorzugehörigkeit, bewegen sich aber in einer Bandbreite von rund 25.000 bis 40.000 betroffenen Unternehmen in Deutschland allein. In dieser Bandbreite ist die genaue Zahl weniger wichtig als die Größenordnung.

Eine ernsthafte Vor-Ort-Prüfung eines mittelgroßen Unternehmens nach NIS2 bindet mehrere Prüfer über mehrere Tage. Wer die verfügbare Prüferkapazität des BSI gegen diese Aufwandsannahme stellt, kommt zu einer einfachen Schlussfolgerung. Selbst bei optimistischen Annahmen über Effizienz, Stichprobenverfahren und automatisierte Vorprüfung kann die Behörde in einem Jahr nur einen niedrigen einstelligen Prozentsatz der Adressaten tatsächlich anfassen. Über fünf Jahre summiert sich das auf vielleicht 20 Prozent. Das bedeutet, dass die Mehrheit der Pflichtigen in der ersten Geltungsphase nie eine aktive Prüfung erlebt.

Diese Beobachtung ist nicht als Einladung zur Nachlässigkeit zu lesen, sondern als Beschreibung der tatsächlichen Durchsetzungsarchitektur. Die Aufsichtsbehörde wird priorisieren müssen. Sie wird ihre knappen Ressourcen auf die Sektoren konzentrieren, in denen ein Vorfall den größten gesellschaftlichen Schaden anrichtet. Energie, Wasser, Telekommunikation, Verkehr, Finanzwesen, Gesundheit. Die Anlagen, die in der klassischen KRITIS-Logik schon vor NIS2 unter besonderer Beobachtung standen, werden weiterhin im Fokus stehen. Die neu hinzugekommenen Sektoren, etwa Abfallwirtschaft, chemische Produktion mittlerer Größe, Lebensmittelproduktion, digitale Dienste, werden statistisch deutlich seltener geprüft. Wer in diesen Sektoren operiert, wird die Erfahrung machen, dass die Behörde in seinem Betrieb in den nächsten Jahren nicht erscheint. Das ist die Realität. Und genau in dieser Realität entsteht die gefährlichste Form der Selbsttäuschung, nämlich die Annahme, dass die Pflicht nicht existiert, weil die Kontrolle nicht erscheint.

Haftung ohne Audit

Die zweite Verschiebung, die NIS2 erzeugt, ist die persönliche Haftung der Geschäftsleitung. Sie ist im deutschen Umsetzungsgesetz ausdrücklich angelegt. Geschäftsführer und Vorstände haften für die Umsetzung der Sicherheitsmaßnahmen mit dem Privatvermögen, soweit grobe Fahrlässigkeit oder Vorsatz nachweisbar sind. Diese Haftungsnorm wirkt nicht erst dann, wenn das BSI prüft. Sie wirkt ab dem Moment, in dem ein Vorfall eingetreten ist und die Frage gestellt wird, ob die Geschäftsleitung die erforderliche Sorgfalt aufgebracht hat.

Die Frage wird nicht von der Aufsichtsbehörde gestellt. Sie wird von Versicherern gestellt, die ihre Leistung kürzen oder verweigern, wenn die Sorgfaltspflicht verletzt wurde. Sie wird von Gesellschaftern gestellt, die Rückgriff auf die Organe nehmen, wenn ein vermeidbarer Schaden eingetreten ist. Sie wird von Geschäftspartnern gestellt, die in ihren eigenen Lieferantenanforderungen Nachweise verlangen. Und sie wird, im schlimmsten Fall, von Staatsanwaltschaften gestellt, wenn der Vorfall einen kritischen Versorgungsbereich getroffen hat und die Frage strafrechtlicher Verantwortung im Raum steht.

In dieser Konstellation ist die Abwesenheit einer behördlichen Prüfung kein Schutz, sondern ein Risiko. Wer geprüft wird, hat zumindest eine dokumentierte Auseinandersetzung mit der Behörde, aus der sich ein Standard ableiten lässt. Wer nicht geprüft wird, trägt die volle Beweislast im Schadensfall. Er muss aus eigener Kraft nachweisen, dass seine Maßnahmen angemessen waren. Dieser Nachweis ist schwer zu führen, wenn das Unternehmen die Pflichten als nachrangig behandelt hat, weil keine Kontrolle in Sicht war. Boswau + Knauer hat in Beratungsgesprächen mit Geschäftsleitungen wiederholt erlebt, dass die Logik der Haftung erst in dem Moment verstanden wird, in dem der Vorfall bereits eingetreten ist. Dann ist die Rekonstruktion teuer und in vielen Fällen nicht mehr möglich.

Das im Buch des Autors beschriebene Verhältnis von Sicherheit als Investition gegen Sicherheit als Aufwand greift auch hier. Wer NIS2-Maßnahmen als Aufwand verbucht und auf die statistische Unwahrscheinlichkeit einer Prüfung wartet, hat die Haftungsstruktur nicht verstanden. Wer die Maßnahmen als Investition in die Verteidigungsfähigkeit im Schadensfall versteht, baut die Dokumentation auf, die ihn im entscheidenden Moment schützt.

Die physische Schnittstelle der NIS2

NIS2 wird in der öffentlichen Debatte fast ausschließlich als Cyberregulierung verstanden. Das ist eine Verkürzung. Die Richtlinie verlangt ausdrücklich Maßnahmen gegen physische Risiken, soweit sie die Verfügbarkeit, Integrität und Vertraulichkeit der Netz- und Informationssysteme betreffen. Wer einen Serverraum betreibt, ohne den Zutritt zu kontrollieren, erfüllt die Pflicht nicht. Wer eine Leitstelle betreibt, ohne den Perimeter zu sichern, erfüllt die Pflicht nicht. Wer eine Energieanlage betreibt, ohne die physische Manipulation an Steuerungssystemen auszuschließen, erfüllt die Pflicht nicht.

Diese physische Schnittstelle ist die Stelle, an der Boswau + Knauer arbeitet. Sicherheitsroboter, mobile Videotürme, KI-gestützte Videoanalyse und die zugehörige Plattform sind die Werkzeuge, mit denen die physische Komponente der NIS2-Pflichten umgesetzt werden kann. Sie sind nicht die ganze Antwort, aber sie sind ein Teil der Antwort, der in der allgemeinen Cyberdebatte regelmäßig übersehen wird. Die Empfehlungen des BSI zur Absicherung kritischer Anlagen, die VdS-Richtlinien zur Einbruch- und Überfallmeldetechnik, die Hinweise der GDV zur Schadensprävention und die einschlägigen Normen für Videoüberwachung greifen an dieser Schnittstelle ineinander. Wer sie zusammenführt, baut einen physischen Schutzring, der im Schadensfall als angemessen verteidigt werden kann.

Im Buch zu Boswau + Knauer ist die Verbindung von Bau, Industrie und Sicherheitstechnologie als Konsequenz aus der Praxis beschrieben. Genau diese Verbindung ist es, die in der NIS2-Umsetzung den Unterschied macht. Eine reine IT-Lösung schützt nicht vor dem Eindringen in den Technikraum. Eine reine bauliche Sicherung schützt nicht vor der digitalen Manipulation. Erst die Verbindung beider Welten in einer Architektur, die Daten und Entscheidungen über beide Ebenen führt, erfüllt die Pflicht.

Was im Sektor der Mittelgroßen passiert

Die spannendste Beobachtung der nächsten Jahre wird sein, wie sich die Adressaten mittlerer Größe verhalten. Das sind Unternehmen mit 50 bis 250 Mitarbeitern, die in ihre Sektorlogik unter NIS2 fallen, ohne jemals zuvor mit BSI-Regulierung in Berührung gekommen zu sein. Sie haben keine eigene IT-Sicherheitsabteilung im klassischen Sinn. Sie haben oft einen oder zwei interne Verantwortliche, die das Thema neben anderen Aufgaben führen. Sie haben keinen direkten Kontakt zur Behörde. Sie sind in der Wahrnehmung der Aufsicht praktisch unsichtbar.

In diesem Segment werden drei Verhaltensmuster sichtbar. Das erste Muster ist die formale Erfüllung. Es wird eine Risikoanalyse beauftragt, ein Maßnahmenkatalog erstellt, ein Berichtswesen aufgesetzt. Die Maßnahmen werden so gewählt, dass sie auf dem Papier angemessen wirken, ohne dass sie im operativen Alltag wirksam sind. Diese Form der Erfüllung ist die häufigste, weil sie die billigste ist. Sie ist auch die gefährlichste, weil sie im Schadensfall sofort kollabiert.

Das zweite Muster ist die Verweigerung. Das Unternehmen entscheidet, dass die Pflicht zwar formal besteht, aber praktisch nicht durchgesetzt wird, und investiert nichts. Diese Haltung wird in den nächsten Jahren häufiger sein, als die öffentliche Debatte vermuten lässt. Sie wird funktionieren, solange kein Vorfall eintritt. Sie wird in dem Moment scheitern, in dem ein Vorfall eintritt und die Versicherung den Schaden mit Verweis auf die fehlende Sorgfalt verweigert.

Das dritte Muster ist die ernsthafte Umsetzung. Sie ist im mittleren Segment selten, weil sie Investitionen verlangt, die im Verhältnis zur Unternehmensgröße spürbar sind. Sie ist aber das einzige Muster, das im Schadensfall trägt. Wer in dieses Muster investiert, baut nicht für die Behörde, sondern für die Verteidigungsfähigkeit gegenüber Versicherern, Gesellschaftern und Geschäftspartnern. Die BDSW-Empfehlungen zur Verbindung von Sicherheitsdienstleistung und Technologie, die TÜV-Zertifizierungen für sicherheitstechnische Anlagen und die Anforderungen der BG BAU für bauliche Anlagen greifen in diesem Muster ineinander zu einem Standard, der verteidigbar ist.

Die Lieferkette als zweiter Vollzugsweg

Neben der direkten Aufsicht durch das BSI wirkt ein zweiter Durchsetzungsweg, der die Personalmathematik der Behörde umgeht. Es ist die Lieferkette. NIS2 verlangt von den direkt regulierten Betreibern, dass sie die Sicherheit ihrer Lieferanten in ihre eigenen Risikobetrachtungen einbeziehen. Diese Pflicht wird in der Praxis weitergegeben. Wer einen Energieversorger, einen Krankenhausbetreiber oder ein Logistikunternehmen beliefert, erhält in den kommenden Quartalen Fragebögen, Auditforderungen und Nachweispflichten, deren Umfang in der Größenordnung der direkten Behördenprüfung liegt.

Diese Vollzugskette ist deutlich wirksamer als die direkte Aufsicht. Sie wirkt nicht über staatliche Kapazität, sondern über die kommerziellen Beziehungen der Marktteilnehmer. Ein Lieferant, der die Nachweise nicht erbringt, verliert den Auftrag. Diese Konsequenz tritt schneller ein als jede behördliche Sanktion und sie ist im Ergebnis härter. Wer in der Lieferkette eines regulierten Betreibers operiert, wird die NIS2-Pflichten daher nicht durch die Behörde aufgezwungen bekommen, sondern durch seine Kunden. Diese Form der Durchsetzung trifft auch die Unternehmen, die in der direkten Aufsicht nicht im Fokus stehen.

Die physische Sicherheit ist Teil dieser Lieferantenfragebögen. Die Standardfragen betreffen Zutrittskontrolle, Videoüberwachung, Alarmierung, Reaktionszeiten und Dokumentation. Wer hier keine belastbaren Antworten geben kann, fällt aus der Lieferantenliste. In der Praxis zeigen sich genau diese Fragen als Engstelle in Audits, weil die IT-Abteilungen die Antworten nicht liefern können und die Sicherheitsabteilungen nicht in die NIS2-Logik eingebunden sind. Die Lösung dieser Engstelle erfordert die Verbindung beider Welten in einer dokumentierten Form, die im Audit standhält.

Was bleibt

NIS2 wird nicht dadurch wirksam, dass das BSI flächendeckend prüft. Es wird dadurch wirksam, dass Haftung, Versicherbarkeit und Lieferantenstatus an die Erfüllung gekoppelt sind. Diese drei Durchsetzungswege wirken parallel, sie wirken unabhängig von der Behördenkapazität, und sie treffen die Geschäftsleitung persönlich. Wer auf die statistische Unwahrscheinlichkeit einer behördlichen Prüfung baut, hat das Risiko falsch verstanden. Wer die Pflicht als Investition in die eigene Verteidigungsfähigkeit versteht, baut eine Struktur, die im Schadensfall trägt.

Für den Betreiber, der seine Position überprüfen will, bietet Boswau + Knauer als ersten Schritt das Gespräch an. Sechzig Minuten, vertraulich, ohne Folgekosten. Wir zeichnen, wo wir an Ihrer Stelle die physische Schnittstelle Ihrer NIS2-Pflichten sehen würden. Wenn das Gespräch eine Folge hat, geht sie in das Audit über. Wenn nicht, ist das Gespräch das Ergebnis. In beiden Fällen haben Sie eine Einschätzung, die Sie vorher in dieser Form nicht hatten.

Häufige Fragen

Welche Unternehmen fallen unter NIS2?

NIS2 adressiert in Deutschland Unternehmen aus 18 Sektoren, sofern sie die Schwellenwerte überschreiten, in der Regel 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz. Zu den wesentlichen Einrichtungen zählen Energie, Wasser, Verkehr, Finanzwesen, Gesundheit und digitale Infrastruktur. Zu den wichtigen Einrichtungen zählen Lebensmittelproduktion, Abfallwirtschaft, chemische Produktion mittlerer Größe, Maschinenbau und digitale Dienste. Die genaue Einordnung hängt von der Tätigkeit und der Größe ab. Eine eindeutige Selbsteinschätzung ist möglich, sie verlangt aber eine Prüfung der Sektorzugehörigkeit und der Schwellenwerte im Einzelfall.

Wie streng kontrolliert das BSI die NIS2-Umsetzung?

Die Aufsichtskapazität des BSI ist begrenzt. Die Behörde wird in den ersten Jahren der Geltung priorisieren und ihre Ressourcen auf Sektoren mit der höchsten gesellschaftlichen Bedeutung konzentrieren. Energie, Wasser, Telekommunikation und Gesundheit stehen im Fokus. Die Mehrheit der adressierten Unternehmen wird statistisch in der ersten Phase nicht aktiv geprüft. Diese Aussage ist keine Einladung zur Nachlässigkeit, sondern eine Beschreibung der tatsächlichen Vollzugslage. Die Pflichten gelten unabhängig von der Prüfungswahrscheinlichkeit, und die Haftung der Geschäftsleitung wirkt auch ohne aktive Prüfung.

Was passiert, wenn ich NIS2-Pflichten ignoriere?

Die formalen Bußgelder können erheblich sein, sie sind aber das geringste Problem. Wirksamer ist die persönliche Haftung der Geschäftsleitung, die im Schadensfall greift. Versicherer können Leistungen kürzen oder verweigern, wenn die Sorgfaltspflicht verletzt wurde. Gesellschafter können Rückgriff auf die Organe nehmen. Geschäftspartner, die selbst reguliert sind, fordern Nachweise und schließen nicht erfüllende Lieferanten aus. Diese drei Folgen wirken unabhängig von der behördlichen Sanktion. Wer NIS2 ignoriert, riskiert nicht primär das Bußgeld, sondern die Verteidigungsfähigkeit im Schadensfall.

Wie hängt physische Sicherheit mit NIS2 zusammen?

NIS2 verlangt Maßnahmen gegen physische Risiken, soweit sie die Verfügbarkeit, Integrität und Vertraulichkeit der Netz- und Informationssysteme betreffen. Zutrittskontrolle zu Serverräumen, Perimeterschutz von Leitstellen, Videoüberwachung kritischer Bereiche und Alarmierung bei physischen Manipulationen sind Teil der Pflicht. Reine IT-Maßnahmen erfüllen die Anforderung nicht, wenn die physische Schnittstelle ungeschützt bleibt. Die Verbindung von baulicher Sicherung, technischer Sensorik und Datenführung in einer dokumentierten Architektur ist der Standard, der im Audit standhält. VdS-, GDV- und TÜV-Vorgaben liefern die einschlägigen Rahmen.