Kennen Sie das Gefühl, wenn man eine Party vorbereitet, Einladungen verschickt, Häppchen bestellt und dann … kommt fast niemand? Genau das passiert gerade mit NIS2. Die Richtlinie ist seit Oktober 2024 in deutsches Recht umgesetzt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Registrierungspflicht ausgerufen, und die Resonanz der betroffenen Unternehmen ist, nun ja, überschaubar. Stand heute hat sich nur ein Bruchteil der schätzungsweise 30.000 betroffenen Unternehmen tatsächlich registriert. Man könnte fast meinen, der Rest hofft darauf, dass NIS2 irgendwann wieder von allein geht.
Das ist natürlich keine neue Geschichte. Wir kennen das Muster aus der Datenschutz-Grundverordnung, aus MaRisk-Novellen und aus jedem Compliance-Projekt, das ich in den letzten drei Jahrzehnten begleitet habe. Erst kommt das Gesetz, dann kommt die Verdrängung, dann kommt die Panik. Meistens in dieser Reihenfolge.