Die NIS-2-Richtlinie ist seit Oktober 2024 in deutsches Recht überführt. Schätzungen zufolge sind damit erstmals über 30.000 Unternehmen in Deutschland von verbindlichen Cybersecurity-Anforderungen betroffen — deutlich mehr als unter der Vorgängerregelung.
Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in kritischen und wichtigen Sektoren. In der Beratungspraxis zeigt sich dabei eine Herausforderung, die in der öffentlichen Diskussion oft untergeht:
Die regulatorischen Anforderungen sind bekannt. Aber wer setzt sie operativ um?
Was NIS-2 konkret von Unternehmen verlangt
NIS-2 ist keine reine IT-Frage. Die Richtlinie verpflichtet Unternehmen zu einem ganzheitlichen Ansatz, der Technik, Organisation und Führung gleichermaßen einbezieht:
- Risikomanagement und Sicherheitsrichtlinien einführen und dokumentieren
- Meldepflichten bei Sicherheitsvorfällen einhalten (24h Erstmeldung, 72h Folgemeldung)
- Lieferketten und Drittanbieter sicherheitstechnisch bewerten
- Governance-Strukturen und interne Verantwortlichkeiten klar definieren
- Geschäftsleitungen persönlich in die Verantwortung nehmen — mit Haftungsrisiken bei Verstößen
Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Besonders stark betroffen sind Unternehmen aus: Energie, Gesundheit, Logistik & Transport, Industrie & Produktion, IT & digitale Infrastruktur sowie Kritischer Infrastruktur (KRITIS).
Die eigentliche Herausforderung: Qualifiziertes Personal
Viele Unternehmen haben die regulatorischen Anforderungen verstanden — aber unterschätzen den personellen Aufwand der Umsetzung. NIS-2-Compliance ist kein einmaliges Projekt, das eine Abteilung nebenher abarbeitet. Es braucht dedizierte Rollen mit spezifischer Expertise.
Der Markt zeigt das deutlich: Cybersecurity und Informationssicherheit gehören laut Bitkom und weiteren Branchenberichten zu den am stärksten nachgefragten IT-Spezialisierungen in Deutschland — bei gleichzeitig sehr geringem Angebot.
Konkret gesucht werden:
IT Security Engineering — Technische Umsetzung von Sicherheitsarchitekturen, Netzwerksicherheit, Vulnerability Management
Information Security / ISB — Informationssicherheitsbeauftragte, die Richtlinien entwickeln, Audits begleiten und als Schnittstelle zur Geschäftsleitung fungieren
GRC & Compliance — Spezialist:innen für Governance, Risk & Compliance, die regulatorische Anforderungen in operative Prozesse übersetzen
SOC & Incident Response — Teams, die Sicherheitsvorfälle erkennen, melden und beheben — eine direkte NIS-2-Anforderung
Cybersecurity Consulting — Externe Expert:innen, die Unternehmen bei Aufbau und Implementierung begleiten, insbesondere wenn intern keine Kapazitäten vorhanden sind
Warum der richtige Zeitpunkt jetzt ist
Der Fachkräftemangel im Cybersecurity-Bereich wird sich in den nächsten Jahren weiter verschärfen. Unternehmen, die jetzt in den Markt gehen, finden noch bessere Kandidat:innen — und haben mehr Zeit für eine strukturierte Einarbeitung, bevor Behörden aktiv prüfen.
Wer wartet, konkurriert später mit deutlich mehr Unternehmen um dieselben Profile.
Eine realistische Einschätzung: Rollen wie ISB oder GRC-Spezialist:in sind aktuell mit Suchzeiten von drei bis sechs Monaten zu rechnen. Wer NIS-2-Compliance bis Ende 2025 sicherstellen will, sollte die Personalplanung heute starten.
Wenn der Markt leer ist, braucht es ein anderes Netzwerk
Wir begleiten Unternehmen im DACH-Raum bei der gezielten Besetzung von Cybersecurity- und Compliance-Rollen — von der ersten Einschätzung des Bedarfs bis zur erfolgreichen Vermittlung. Dabei arbeiten wir flexibel: Freelancer und Interim-Lösungen für kurzfristigen Bedarf, Permanent Recruitment für den langfristigen Aufbau interner Expertise.
Was uns in diesem Segment unterscheidet: Wir kennen die Profile, die für NIS-2 tatsächlich relevant sind — und wissen, wo sie im Markt zu finden sind.
Sie möchten einschätzen, welche Rollen für Ihr Unternehmen im Rahmen von NIS-2 konkret relevant werden?
Sprechen Sie mit unserer Sales-Kollegin, Linda.
Weitere Beiträge in unserem Karriere Blog
- NIS-2 in Deutschland: Welche Fachkräfte Unternehmen jetzt wirklich brauchen
NIS-2 ist in Kraft. Aber wer hat die Fachkräfte, um es wirklich umzusetzen? - SAP Clean Core wird zum Skill-Shift
SAP Clean Core verändert nicht nur Systeme, sondern auch Rollen und Skills. Unternehmen brauchen neue Profile – schneller als erwartet. - Frontend-Architektur in DACH: Warum datenintensive B2B-Plattformen neue Profile brauchenDie Nachfrage nach Frontend-Architekten wächst in Deutschland und DACH strukturell. Gleichzeitig bleibt das Angebot begrenzt.