NIS2: Die Richtlinie, die keiner kommen sah (außer uns allen seit Jahren)
Warum die neue Cybersicherheits-Regulierung NIS 2 den IT-Dienstleistungsmarkt umdrehen wird. Und warum Open Source jetzt endgültig vom „nice to have“ zum Pflichtprogramm wird.
Es gibt in der IT-Welt zwei Arten von Dingen, über die man sich sicher sein kann:
- Neue IT-Buzzwords aus den USA und
- EU-Richtlinien, die in Deutschland erst einmal zwei Legislaturperioden lang ignoriert werden, bevor plötzlich politischer Alarm ausgelöst wird.
So auch bei NIS2. Die Richtlinie hing seit Jahren wie ein nebulöses Damoklesschwert über Behörden, Unternehmen und IT-Dienstleistern. Das Ganze begleitet vom kollektiven Schulterzucken: „Wird schon nicht so schlimm.“
Spoiler: Doch. Wird es. Und wie. Time to act. Now.
NIS1? Was war vorher? Und warum NIS2 jetzt?
Bevor NIS2 kam, gab es natürlich NIS1 – die erste europäische Richtlinie zur Netz- und Informationssicherheit (2016).
Was NIS1 regelte:
- Sicherheitsanforderungen für kritische Infrastrukturen
- erste Standards für Incident Reporting
- grundlegende Anforderungen an Sicherheitsmaßnahmen
Warum das nicht mehr reichte:
- viel zu geringe Reichweite
- uneinheitliche Umsetzung in der EU
- wachsende Bedrohungslage, aber stagnierende Sicherheitsniveaus
- Verantwortung oft „irgendwo in der IT“ statt bei Entscheidern
NIS2 ist deshalb keine kosmetische Revision – sondern eine strategische Korrektur.
Am letzten Donnerstag, den 13. November 2025, hat der Bundestag das NIS2-Umsetzungsgesetz beschlossen. Und mit einem Mal ist das Netz voll. Selbsternannte Spezialisten locken mit hektischen Whitepapern, nervösen Webinaren und „Wir machen Sie NIS2-ready“-Versprechen, die nicht einmal warten konnten, bis die Tinte trocken war. Versprechen 10 Jahre Routine in diesem Thema.
Zeit für einen nüchternen, praxisnahen und leicht schmunzelnden Blick darauf, was uns da tatsächlich erwartet, auch warum NIS2 ausgerechnet für Open Source zum größten Vertrauens- und Transparenzbooster seit Jahrzehnten werden könnte.
Was NIS2 wirklich bedeutet (jenseits der Pressemitteilungen)
Was ist NIS2 – und warum ist das so wichtig?
Kurz gesagt:
NIS2 ist die neue europäische Cybersecurity-Grundordnung.
Und sie macht Cybersicherheit verbindlich, überprüfbar und sanktionierbar.
Konkret bedeutet das:
- Pflicht zu Informationssicherheitsmaßnahmen
- Verantwortung der Geschäftsführung, inklusive persönlicher Haftung
- Strenge Anforderungen an Risikomanagement, Incident Response, Backup-Konzepte, Lieferkettenprüfung und Zugriffsmodelle
- Bußgelder im DSGVO-Niveau
- Erweiterter Unternehmenskreis, darunter auch viele Mittelständler und Dienstleister
Warum das wichtig ist?
Weil Cyberangriffe längst keine abstrakte Gefahr mehr sind – sondern tägliche Realität.
NIS2 zwingt Unternehmen erstmals dazu, strukturiert darauf vorbereitet zu sein.
Inhalt und Bedeutung des NIS2-Umsetzungsgesetzes
Das neue Gesetz überführt die Mindeststandards der EU-Richtlinie in verbindliche nationale Vorschriften. Es schafft damit einen klaren Rahmen für Informationssicherheit in Deutschland – mit ganz realen Konsequenzen für Unternehmen, Lieferketten, Betreiber kritischer Infrastrukturen und die Verantwortlichen in den Chefetagen.
Das Gesetz soll die EU-Mindeststandards endlich in deutsches Recht bringen. De facto führt es aber zu etwas Größerem:
Rund 30.000 Einrichtungen (von KRITIS bis Mittelstand) rutschen in den Kreis der regulierten IT-Strukturen. Und ohne das jetzt nur ironisch zu meinen, Regulationen sind eine sehr sehr deutsche Spezialität. Die Pflichten werden schärfer, detaillierter und vor allem nachweisbarer. Und plötzlich tragen Dienstleister echte Verantwortung, nicht nur „implizite Erwartungshaltungen“.
Mit dabei sind Punkte wie:
- Risiko- und Sicherheitsanalysen
- Notfallmanagement & getestete Backups
- Verpflichtende Verschlüsselung
- 24h-Meldepflicht beim BSI
- Nachvollziehbare Lieferketten
Kurz: „Sicherheit nach Bauchgefühl“ wird durch „Sicherheit mit Prüfprotokoll“ wie einmal im Jahr bei jedem Auto bei der DEKRA ersetzt. Und es war meiner Meinung nach längst überfällig.
Der politische Teil: verspätet, aber immerhin
Die EU wollte die Umsetzung im Oktober 2024.
Deutschland antwortete sinngemäß:
„Wir sind dran. Also irgendwann. Ganz sicher.“
Nach einem drohenden Vertragsverletzungsverfahren wurde es jetzt doch ernst. Die deutsche Galapos-Riesenschildkröte setzte sich im Bewegung. Langsam. Aber nicht aufzuhalten. Das Inkrafttreten wird nun Ende 2025 / Anfang 2026 erwartet. Also jetzt.
Die Kritik: zu spät, zu viel, zu unscharf
NIS2 wird international betrachtet als Fortschritt gesehen.
Aber Kritik fehlt es bei den Fachleuten nicht.
„Kritische Komponenten“ definiert künftig das Bundesinnenministerium. Mit allen Risiken politischer Flexibilität. Nun, erwiesenermaßen war die Politik schon immer ausgezeichnet drain wenn es darum ging technische Sachverhalte zu verstehen. Man denke nur an den "Papagei" Ursula von der Leyen. Ich denke, da musste jeder IT-Spezialist ein bisschen schmunzeln.
Unternehmen müssen massiv investieren, obwohl viele heute schon an Trivialitäten wie Passwortmanagement mit MFA scheitern. Habe ich schon einmal erwähnt, dass die Aconitas aus Mertingen hier eine tolle Lösung mit Ionos zusammen anbietet? Nein, keine Werbung, nur ein grundsolider innovativer deutscher Dienstleister, den ich schon seit Jahren gut kenne. Behörden müssen jetzt ebenfalls echte IT-Sicherheit machen. (Ja, wirklich.)
Und bevor man jetzt hämisch kontert, dass manche Behörden von den Geldstrafen ausgenommen sind ... soll der Bund sich selber die Strafe auf das eigene Konto überweisen? Dafür stehen hier andere Sanktionen als Maßnahmen im Raum.
Die vergessene Dimension: NIS2 ist ein Open-Source-Turbolader
Bislang wird NIS2 vor allem technisch und organisatorisch diskutiert.
Was fast niemand ausspricht:
NIS2 macht Open Source zur strategischen Waffe für Transparenz, Auditierbarkeit und digitale Souveränität.
1. Auditierbarkeit wird Pflicht und damit wird Offenheit im Code selbst relevant
Geschlossene Systeme werden weiterhin existieren. Keine Frage.
Aber bei sicherheitskritischen Komponenten MUSS und wird die Frage lauten:
„Können wir nachvollziehen, wie das funktioniert?“
Das ist mit Blackbox-Proprietärsystemen schwierig. Egal wo es läuft. Egal, was vertraglich geregelt ist. Mit Open Source: trivial.
2. Lieferketten müssen dokumentiert werden – nicht nur „wer“, sondern „wie“
Dienstleister müssen künftig erklären welche Software sie einsetzen, wie diese gepflegt wird, wo die Abhängigkeiten liegen.
Bei Open-Source-Stacks ist das transparent und prüfbar.
Bei proprietären Clouds eher: Vertrauen und PDFs.
3. Lokale Wertschöpfung wird wieder attraktiv
NIS2 zwingt Unternehmen, ihre Abhängigkeiten zu analysieren.
Dabei fällt auf: „Wir zahlen Millionen an überseeische Monokulturen, während lokale Anbieter und Open-Source-Ökosysteme auditierbare Alternativen bieten?“
Vielleicht erkennen wir ja nun die Notwendigkeit aus der einen oder anderen Monokultur auszubrechen?
4. Souveräne Clouds und Open-Source-Dienstleister werden Gewinner
Wer dokumentieren kann, wie seine Systeme funktionieren, wo der Code liegt und wie er gepflegt wird, hat einen massiven Vorteil.
5. Open Source wird vom Kostenargument zum Compliance-Argument
Früher: „Open Source spart Lizenzkosten.“
Heute: „Open Source erfüllt regulatorische Anforderungen.“
Morgen: „Open Source ist Betriebsgrundlage in kritischen Bereichen.“
Was NIS2 für MSPs, Systemhäuser und Provider bedeutet
Viele denken: „NIS2 betrifft unsere Kunden, nicht uns.“ Falsch.
Die Dienstleister werden Teil der kritischen Lieferkette. Und damit selbst prüfbar.
Managed Services müssen belastbar und auditierbar sein. „Wir kümmern uns um alles“-Verträge ohne Substanz sind tot.
Backup & Recovery werden gesetzlicher Mindeststandard. OneDrive und SharePoint ist kein Backup. Novastor aus Hamburg zum Beispiel dagegen schon. Software made in Germany for Europe.
4. Transparenz wird überlebenswichtig
„Was setzen Sie ein?“
„Warum?“
„Wie aktuell?“
„Wer pflegt das?“
Diese Fragen werden Pflicht. Und die Dokumentation der Antworten wird ein laufender Prozess werden, wie Software Asset Management bei Closed Source/Pay Lizenzen oder FinOps Prozesse bei Hyperscaler Consumption.
5. Proprietäre Clouds geraten unter Druck
Wie schon mehrfach diskutiert, siehe meine älteren Blog-Beiträge: Geopolitische Risiken sind keine theoretischen Risiken mehr.
Fazit: NIS2 ist kein bürokratisches Monster – sondern ein Weckruf mit (Open-Source-)Herz
Ja, Deutschland ist spät dran. Ja, der Aufwand wird erheblich. Aber NIS2 ist kein Stück Papier. Es ist die überfällige Antwort auf eine digitalisierte Welt, die jahrelang „Cloud = sicher“ mit „Cloud = bequem“ verwechselt hat.
NIS2 bringt Sicherheit dorthin, wo sie hingehört: sichtbar, prüfbar, auditierbar.
Und genau deshalb wird Open Source in den kommenden Jahren nicht nur eine Alternative sein, sondern - nicht immer - aber oft die einzige realistisch auditierbare Grundlage für NIS2-konforme IT.
Die Zukunft der Cybersicherheit in Europa wird offen sein. Oder sie wird nicht bestehen.
Für Dienstleister, MSPs, Hostern und Systemhäuser heißt das:
Die Karten werden neu gemischt. Wer Transparenz und Souveränität liefern kann, wird vorne liegen. Wer sich hinter „Proprietary Magic“ und PDFs versteckt aber selber nicht leisten kann – nicht. Und mit leisten meine ich sich selber die Hände schmutzig machen. Nicht nur mit Tinte und Druckerschwärze.
Ein persönlicher Nachsatz
Ich habe das Glück, in meinem tägliche Umfeld echte Fachleute zu haben, die diese Debatte seit Jahren begleiten.
Zwei Kollegen davon möchte ich hier explizit erwähnen weil sie mich jedes Mal wieder mit ihrer Kompetenz beeindrucken und wahrhaftig überrollen:
- Asmir Demiri – ausgewiesener Experte für Datenschutz, Compliance, KRITIS und NIS2
- Christian Dräger – Spezialist für Security-Frameworks, Risikoanalysen und regulatorische Umsetzung in komplexen IT-Landschaften
Beide prägen meine Sicht auf NIS2 und offene Sicherheitsarchitekturen immer wieder und beide zeigen:
Das Thema ist groß, aber lösbar, wenn Expertise und Offenheit zusammenkommen.
Vielleicht braucht Europa genau diesen Schulterschluss:
Technik. Transparenz. Und Menschen, die wissen, was sie tun.