NIS-2 ist seit Mitte Oktober 2024 EU-weit in Kraft. Die deutsche Umsetzung im NIS2-Umsetzungsgesetz verspätet sich, der Druck auf Ihr Unternehmen nicht. Wer betroffen ist, muss handeln, unabhängig davon, ob das deutsche Gesetz bis morgen oder erst nächstes Jahr final verabschiedet wird.
In den letzten Monaten haben wir mit über zwanzig Mittelständlern aus OWL und NRW über NIS-2 gesprochen. Drei Muster wiederholen sich, und sie haben wenig mit den Folien zu tun, die in Webinaren gezeigt werden.
Wer ist betroffen, wirklich?
Die Schwellen klingen klar: ab 50 Mitarbeiter oder 10 Millionen Euro Umsatz in einem der definierten Sektoren. In der Praxis ist die Frage komplexer. NIS-2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen, der Sektor entscheidet mit, nicht nur die Größe.
Ein Anlagenbauer in Bielefeld mit 180 Mitarbeitern fällt unter Sektor I.5 (Herstellung) und ist damit eine wichtige Einrichtung. Eine Steuerkanzlei mit 80 Mitarbeitern fällt nicht unter den NIS-2-Sektorenkatalog, also nicht direkt betroffen, aber sehr wohl unter die DSGVO und (falls Mandanten betroffen sind) indirekt über die Lieferkette.
Der erste praktische Schritt ist also nicht der Kauf einer Lösung, sondern die saubere Klärung der Frage: Sind wir betroffen, und falls ja, als wesentliche oder wichtige Einrichtung?
Drei Bereiche, die jetzt zählen
Wenn Sie betroffen sind, gibt es nach unserer Erfahrung drei Bereiche, die im Mittelstand am meisten unterschätzt werden.
Erstens, das Risikomanagement-Konzept
NIS-2 verlangt ein nachweisbares, dokumentiertes Risikomanagement. Nicht "wir haben ja eine Firewall", sondern: Welche Vermögenswerte habe ich, welche Risiken bestehen, welche Maßnahmen treffe ich, wie überprüfe ich das?
Viele Mittelständler haben sehr wohl Sicherheitsmaßnahmen, aber keine schriftliche Risikoanalyse. Das wird im Audit-Fall zum Problem. Wir starten bei Kunden meist mit einem zweitägigen Workshop, der genau dieses Dokument als Output liefert, nicht perfekt, aber existent und verbesserbar.
Zweitens, Reporting-Pflichten
Bei einem signifikanten Sicherheitsvorfall müssen wesentliche Einrichtungen innerhalb von 24 Stunden eine Frühwarnung an das BSI abgeben, innerhalb von 72 Stunden eine ausführliche Meldung, und nach einem Monat einen Abschlussbericht. Wichtige Einrichtungen haben ähnliche Pflichten.
Das klingt bürokratisch und ist es auch, hat aber einen praktischen Hintergrund: Wer im Vorfall keinen Plan hat, wer was wann meldet, eskaliert intern, statt zu reagieren. Wir empfehlen ein einseitiges Incident-Response-Playbook, das die Reporting-Pflichten Schritt für Schritt durchgeht. Das hängt entweder an der Wand im SOC oder ist in Ihrem Ticketsystem hinterlegt.
Drittens, die Lieferkette
Hier liegt der Sprengstoff. NIS-2 verlangt, dass Sie auch Risiken aus Ihrer Lieferkette betrachten und steuern. Konkret: Sie müssen wissen, welche Dienstleister Zugriff auf welche Systeme haben, und Sie müssen das vertraglich absichern.
Im Mittelstand ist das oft historisch gewachsen. Der Steuerberater hat seit Jahren VPN-Zugang ins Buchhaltungssystem, das Systemhaus hat einen Wartungsuser auf den Servern, die Reinigungsfirma hat... naja, hoffentlich keinen Datenzugriff. Eine saubere Lieferanten-Inventarisierung ist meist das erste konkrete NIS-2-Projekt.
Was wir empfehlen
Wenn Sie betroffen sind und noch nicht angefangen haben, ist der wichtigste Schritt jetzt nicht der Kauf einer Lösung, sondern eine Bestandsaufnahme. Was haben wir, was fehlt uns, wo sind die größten Lücken? Daraus ergibt sich ein realistischer Maßnahmenplan, der über die nächsten zwölf Monate abgearbeitet werden kann.
Wir bieten dafür einen halbtägigen Compliance-Workshop an, der mit einem konkreten Maßnahmenkatalog endet. Anschließend setzen wir die Punkte um, die nach Security-Expertise verlangen (24/7 Monitoring, Incident-Response, technisches ISMS), Sie behalten oder vergeben die organisatorischen Themen.
Wer NIS-2 ernst nimmt, baut auf Jahre hinaus eine bessere Security-Position auf. Wer wartet, bis der Aufsichtsbehörde aufgefallen ist, dass nichts läuft, hat einen schlechteren Start.
Nächste Schritte
Wenn Sie unsicher sind, ob Ihr Unternehmen betroffen ist, oder wo Sie im Reifegrad stehen, melden Sie sich. Ein 30-minütiges Erstgespräch reicht, um die wichtigsten Fragen zu klären. Wir machen das ohne Verkaufsdruck, und wenn wir nicht passen, sagen wir das auch.