Der Mensch als Sicherheitslücke: Warum NIS2 die IT allein nicht absichert
Seit Dezember 2025 verpflichtet das NIS2-Umsetzungsgesetz rund 30.000 Unternehmen zu strengeren Sicherheitsmaßnahmen. Doch die größte Schwachstelle bleibt der Mensch – und genau dort tun sich viele Firmen schwer.
Wenn über Cybersicherheit gesprochen wird, fallen meist zuerst Begriffe wie Firewall, Verschlüsselung oder Zero Trust. Doch die folgenreichsten Sicherheitsvorfälle beginnen oft viel banaler: mit einem Klick auf den falschen Anhang, einem weitergegebenen Passwort oder einem Anruf, in dem sich jemand überzeugend als IT-Kollege ausgibt. Genau dieser menschliche Faktor rückt nun stärker in den Fokus – getrieben von einer neuen gesetzlichen Pflichtenlage.
Was sich mit NIS2 geändert hat
Am 6. Dezember 2025 ist in Deutschland das NIS2-Umsetzungsgesetz in Kraft getreten. Es setzt die europäische NIS2-Richtlinie in nationales Recht um und verändert vor allem das BSI-Gesetz (BSIG). Betroffen sind nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) rund 29.500 bis 30.000 Unternehmen aus zahlreichen Sektoren – von Energie und Verkehr über die Lebensmittel- und Abfallwirtschaft bis hin zu Teilen der digitalen Infrastruktur und der verarbeitenden Industrie.
Die Kernpflichten lassen sich grob in drei Bereiche bündeln: Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden und angemessene Risikomanagementmaßnahmen umsetzen und dokumentieren. Die Registrierungsfrist lief bereits im März 2026 ab, eine generelle Übergangsfrist sieht das Gesetz nicht vor. Wer unter die Regelung fällt, steht also bereits jetzt in der Pflicht – nicht erst in ferner Zukunft.
Technik ist nur die halbe Miete
Ein verbreitetes Missverständnis lautet, NIS2 sei in erster Linie ein Thema für die IT-Abteilung. Die geforderten Risikomanagementmaßnahmen umfassen zwar technische Vorkehrungen wie Zugriffskontrollen, Backups oder Verschlüsselung. Sie verlangen aber ausdrücklich auch organisatorische Maßnahmen – darunter Konzepte für die Sicherheit der Lieferkette, das Management von Sicherheitsvorfällen und Schulungen. Zudem nimmt das Gesetz die Geschäftsleitung stärker in die Verantwortung: Sie soll Maßnahmen überwachen und sich entsprechend fortbilden.
Damit verschiebt sich der Blickwinkel. Cybersicherheit wird vom rein technischen Projekt zur Führungs- und Kulturaufgabe. Studien zur Lage der IT-Sicherheit verweisen seit Jahren darauf, dass ein erheblicher Teil erfolgreicher Angriffe über Phishing, Social Engineering oder kompromittierte Zugangsdaten beginnt – also über Wege, die keine Firewall allein schließen kann.
Der „Human Risk“ als eigenes Handlungsfeld
Anbieter von Sicherheitslösungen positionieren sich zunehmend auf diesem Feld. So wirbt etwa die Validato AG laut Unternehmensangaben damit, die „Human-Risk-Lücke“ in den Risikomanagementmaßnahmen zu adressieren und menschliches Fehlverhalten datenschutzkonform messbar zu machen. Ob ein einzelnes Werkzeug hält, was die Werbung verspricht, lässt sich von außen nicht beurteilen – bemerkenswert ist eher der Trend dahinter: Der Mensch wird nicht mehr nur als Risiko betrachtet, sondern als ein eigenes, steuerbares Handlungsfeld neben Technik und Prozessen.
Sinnvoll wird dieser Ansatz dort, wo Awareness mehr ist als ein einmaliges Pflichtvideo. Regelmäßige, realitätsnahe Übungen – etwa simulierte Phishing-Kampagnen mit anschließender Aufklärung statt Bloßstellung – gelten in der Fachwelt als wirksamer als jährliche Frontalschulungen. Wichtig ist dabei das Vier-Augen-Prinzip und ein datenschutzkonformer Umgang mit den Ergebnissen, damit aus Sensibilisierung kein Misstrauensinstrument wird.
Was Unternehmen jetzt mitnehmen können
Für viele Mittelständler ist NIS2 vor allem ein Anlass, ohnehin überfällige Hausaufgaben zu erledigen: zu klären, ob man überhaupt betroffen ist, Verantwortlichkeiten zu benennen, Meldewege zu definieren und Beschäftigte greifbar zu schulen. Der größte Hebel liegt selten in einer einzelnen teuren Software, sondern in einer Organisation, in der Sicherheit selbstverständlich mitgedacht wird – vom Empfang bis zur Geschäftsführung.
Dieser Beitrag ist eine redaktionelle Einordnung und stellt keine Rechts- oder Steuerberatung dar. Ob und in welchem Umfang ein Unternehmen unter das NIS2-Umsetzungsgesetz fällt, sollte im Einzelfall fachkundig geprüft werden.
- Pflicht ohne Aufschub: Was das NIS-2-Gesetz jetzt von Zehntausenden Unternehmen verlangt
- Vom Papier zur Pflicht: Wie die E-Rechnung den Mittelstand zum Umdenken zwingt
- Cyber Resilience Act: Warum vernetzte Produkte künftig ab Werk sicher sein müssen
- Vom Papier zum Datensatz: Warum die E-Rechnung den Mittelstand unter Zugzwang setzt
- Cybersicherheit per Gesetz: Was die NIS2-Pflichten für den Mittelstand bedeuten
- Police im Schrank, Schutz im Kleingedruckten: Warum Cyber-Versicherungen im Ernstfall oft nicht zahlen