NIS2: "Das ist kein kurzes Strohfeuer"

Die Anforderungen der NIS2-Richtlinie überfordern viele Unternehmen, selbst die einfache Registrierung beim BSI haben weniger als 20 Prozent pünktlich geschafft. Patrick Scholl, Director OT CoE bei Infinigate, nennt im Interview mit CRN die größten Probleme und wie Dienstleister sie lösen und sich damit langfristig als Partner positionieren können.

Seit dem 6. Dezember 2025 gelten die aktualisierten Vorgaben der zweiten Richtlinie des Europäischen Parlaments zur Sicherung von Netz- und Informationssystemen, kurz NIS2, die Unternehmen im Bereich der kritischen Infrastrukturen, wichtigen Einrichtungen und Firmen über 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz besondere Sicherheitspflichten auferlegt. In Deutschland sind davon laut Bundesregierung knapp 30.000 Unternehmen und Organisationen betroffen. Allerdings gibt es unter ihnen noch immer viele, die sich mit den Anforderungen schwertun oder teils noch nicht einmal realisiert haben, dass auch sie NIS2 erfüllen müssen.

Beispielhaft zeigte sich das gerade erst wieder angesichts der am 6. März abgelaufenen Dreimonats-Frist für die notwendige Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), die nur von etwas über einem Drittel der Kandidaten erfüllt wurde. Die anderen knapp 20.000 Organisationen machen es der Sicherheitsbehörde damit unnötig schwer, sie im Ernstfall kontaktieren, warnen und informieren zu können. Das kostet wertvolle Zeit und kann schnell dazu führen, dass sich ein eigentlich beherrschbares Sicherheitsrisiko dennoch nahezu ungehindert ausbreiten kann.

Warum also haben so viele Organisationen diese wichtige Frist versäumt? Ist es pure Ignoranz, ein mangelhaftes Sicherheitsbewusstsein, oder fehlt ihnen – und vielleicht auch ihren IT-Partnern – der Überblick und das nötige Wissen für die teils komplexen und umfangreichen Anforderungen? Das wollen wir von Patrick Scholl, Director OT CoE bei Infinigate, wissen. Im Interview geht er auf die größten Hürden und Versäumnisse und erklärt, warum NIS2 aus seiner Sicht gerade jetzt eine riesige Chance für den Channel und auch seine betroffenen Kunden bedeutet.

CRN: Herr Scholl, Fachmedien wie die CRN, Behörden wie das BSI sowie auch Hersteller und Distributoren berichten seit Monaten intensiv über NIS2 und die Pflichten, die daraus für Unternehmen resultieren. Dennoch ist die erste Meldefrist beim BSI nun mit einer Registrierungsquote von unter 39 Prozent abgelaufen. Wo drückt Ihrer Meinung nach der Schuh bei der Umsetzung von NIS2?

Patrick Scholl: Die größte Herausforderung ist die Übersetzung der abstrakten Richtlinie in konkrete technische, organisatorische, aber vor allem wirtschaftlich realistische IT- und OT-Maßnahmen. Viele unserer Partner, ebenso wie deren Endkunden, wissen, dass sie handeln müssen, unterschätzen aber die Komplexität gewachsener Strukturen. Zudem ist der eklatante Ressourcenmangel an Security-Experten ein echtes Nadelöhr.

CRN: Warum ist gerade die Absicherung der Produktionsumgebungen so komplex?

Scholl: In der OT haben wir es mit extrem langen Lebenszyklen und kritischen Systemabhängigkeiten zu tun. Hier lassen sich Sicherheitslücken nicht mal eben per Mausklick schließen. Vor diesem Hintergrund stellt sich für viele Systemintegratoren daher die zentrale Frage, welche Risikomanagementmaßnahmen regulatorisch verpflichtend sind und welche 'Best Practice'.

CRN: Wie kann Infinigate Partner unterstützen, die selbst nicht über die nötigen personellen Ressourcen mit dem umfassenden Know-how verfügen, um NIS2-Projekte allein zu stemmen?

Scholl: Wir übernehmen zunehmend die Rolle eines Orientierungsgebers, indem wir bei der Einordnung der Anforderungen unterstützen, regulatorische Vorgaben mit den technologischen Lösungen der Hersteller verbinden und das notwendige Know-how mittels Workshops, Assessments und Trainings vermitteln. Mit Presales-Begleitung, Co-Delivery-Modellen und Managed Services versetzen wir unsere Partner in die Lage, IT/OT-Projekte effizient und skalierbar umzusetzen, auch ohne eigenes Riesen-Team.

NIS2 ist keine Option, sondern Pflicht

CRN: Sind Sie der Meinung, dass das Thema schon richtig im Channel angekommen ist?

Scholl: Definitiv. Wir erleben eine enorme Dynamik, vor allem im Enterprise-Sektor und im gehobenen Mittelstand. Gerade bei letzterem erkennen wir zunehmend, dass dieser ebenfalls unter die erweiterten NIS2-Kategorien fallen kann. Besonders KRITIS-nahe Branchen wie Energie, Gesundheit, Logistik sowie Wasser- und Abwasserwirtschaft kommen aktiv auf uns zu. Außerdem sehen wir eine steigende Nachfrage in OT-intensiven Branchen, in denen die enge Verzahnung von IT- und Produktionsnetzwerken neue Risiken schafft und die geschäftskritische Wertschöpfungskette bedrohen kann. Man spürt deutlich: Es wächst das Bewusstsein, dass NIS2 keine Option mehr ist, sondern Pflicht.

CRN: In welchen Bereichen generiert der Channel durch NIS2 aktuell das meiste Geschäft?

Scholl: Der Run auf Security- und Gap-Assessments, Risikoanalysen und Beratungsleistungen ist gewaltig. Ebenso großes Interesse besteht an Lösungen zur Netzwerksegmentierung und an der Implementierungsunterstützung von OT-Security-Frameworks. Identity & Access Management, Zero Trust-Architekturen, Managed Detection & Response (MDR) sowie Security-Schulungen für OT-Mitarbeiter boomen ebenfalls.

CRN: Wie das Beispiel der verpassten BSI-Registrierung zeigt, scheinen viele Unternehmen NIS2 noch immer vorwiegend als lästige Bürokratie zu empfinden. Können Sie ihren Partnern gute Argumente für die Verordnung und Beispiele für Vorteile mitgeben, um dem zu entgegnen?

Scholl: Fakt ist: NIS2 ist ein Katalysator für echte Resilienz. Zu den wichtigsten Vorteilen zählen verbindliche Security-Standards, die nicht nur kritische Infrastrukturen, sondern das gesamte Ökosystem einbeziehen. Zudem entsteht mehr Transparenz über Risiken, insbesondere durch verpflichtende Risikoanalysen und kontinuierliches Monitoring.

Auch die Supply-Chain-Security wird gestärkt, da Lieferanten und Dienstleister nachweislich festgelegte Sicherheitsstandards einhalten müssen. Darüber hinaus sorgt NIS2 für eine höhere Reaktionsfähigkeit durch Incident Detection und Reporting-Prozesse. Für die betroffenen Organisationen eröffnet sich damit die große Chance, erstmals ein ganzheitliches und dauerhaft verankertes Sicherheitsniveau zu etablieren, das über reine Compliance-Erfüllung hinausgeht.

CRN: Also könnte der NIS2-Effekt tatsächlich nachhaltig sein – sowohl für die Kunden als auch für ihre Dienstleister und MSPs?

Scholl: Absolut. Wir erwarten in diesem Jahr einen weiteren massiven Umsatzimpuls, da die neue Rechtslage bald vollends in den Chefetagen ankommen sein wird und parallel die Umsetzung des Cyber Resilience Acts (CRA) 2027 an Fahrt gewinnt. Das ist kein kurzes Strohfeuer, sondern ein langfristiger Schub für Consulting- und Enablement-Projekte.

Gerade bei Identity-Lösungen, der OT-Security und Managed Services erwarten wir einen deutlichen Anstieg der Anfragen. Gleichzeitig setzt eine Standardisierung ein, die es unseren Partnern erleichtert, wiederkehrende NIS2-Pakete effizient zu vermarkten. Auch Themen wie Automatisierung und Threat Detection entwickeln sich zum Pflichtprogramm, da sie schlicht die technologische Voraussetzung für die Erfüllung der Compliance sind. NIS2 bleibt zusammen mit dem CRA über die nächsten fünf Jahre der zentrale Markttreiber im Channel – sowohl für die IT als auch für die OT.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden