Für viele Unternehmen ist IT-Sicherheit längst kein Spezialthema mehr – mit NIS2 wird sie nun auch rechtlich verbindlich. Die neuen Vorgaben betreffen deutlich mehr Organisationen als bisher. Was früher vor allem kritische Infrastrukturen betraf, gilt nun auch für zahlreiche mittelständische Unternehmen. Damit wird IT-Sicherheit endgültig zur unternehmerischen Aufgabe – nicht nur zur Frage der IT-Abteilung.
Bin ich als mittelständisches Unternehmen betroffen?
Grundsätzlich gilt:
Unternehmen können unter NIS2 fallen, wenn sie:
• mindestens 50 Mitarbeitende beschäftigen
• oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mehr als 10 Mio.€ erreichen
• und in bestimmten definierten Branchen tätig sind.
Dazu zählen unter anderem Energie, Transport, Gesundheitswesen, IT- Dienstleistungen, digitale Infrastruktur, Abfallwirtschaft oder Teile der produzierenden Industrie.
Doch auch Unternehmen, die formal nicht direkt unter NIS2 fallen, sind häufig indirekt betroffen – etwa als Zulieferer größerer Organisationen, die zunehmend belastbare Sicherheitsnachweise von ihren Partnern und Lieferanten verlangen.
Welche Anforderungen NIS2 konkret stellt
NIS2 schreibt keine einzelnen Technologien oder Produkte vor. Gefordert wird vielmehr ein strukturiertes Sicherheitsniveau auf organisatorischer und technischer Ebene.
Dazu gehören insbesondere:
• ein systematisches Risikomanagement für IT-Systeme und Prozesse
• angemessene technische und organisatorische Sicherheitsmaßnahmen
• klare Meldeprozesse bei erheblichen Sicherheitsvorfällen
• Notfall- und Wiederanlaufpläne zur Sicherstellung des Geschäftsbetriebs
• die Berücksichtigung von Sicherheitsrisiken bei Dienstleistern und Partnern
• eine nachvollziehbare Dokumentation aller MaßnahmenSchritte zur Umsetzung von NIS2 im Mittelstand
Die Frage ist weniger, ob Handlungsbedarf besteht, sondern wie der Einstieg sinnvoll gestaltet werden kann. Einzelne Maßnahmen greifen oft zu kurz, wenn sie nicht auf einer klaren Priorisierung aufbauen.
Für mittelständische Unternehmen kann ein strukturiertes Vorgehen wie folgt aussehen:
1. Betroffenheit verbindlich klären
Am Anfang steht die Einordnung: Fällt das Unternehmen formal unter NIS2 oder ergeben sich Anforderungen aus bestehenden Kunden- und Lieferbeziehungen?
Diese Einordnung bildet die Grundlage für alle weiteren Schritte.
2. Bestehende Sicherheitsmaßnahmen bewerten
Im nächsten Schritt sollte der aktuelle Stand der IT-Sicherheitsorganisation systematisch erfasst werden. Dazu gehören sowohl technische Schutzmaßnahmen als auch dokumentierte Prozesse für den Umgang mit Sicherheitsvorfällen sowie eine belastbare Backup- und Notfallstrategie.
Erst eine strukturierte Bestandsaufnahme zeigt, wo bereits tragfähige Strukturen vorhanden sind und wo konkreter Handlungsbedarf besteht.
3. Risiken priorisieren und Maßnahmen planen
Nicht jede identifizierte Lücke hat die gleiche Bedeutung. Entscheidend ist, welche Systeme und Prozesse für den Geschäftsbetrieb kritisch sind und wo ein Ausfall die größten Auswirkungen hätte.
4. Verantwortlichkeiten definieren
IT-Sicherheit darf nicht ausschließlich in der IT-Abteilung verbleiben.
Zuständigkeiten, Entscheidungswege und Meldeprozesse müssen klar geregelt sein, auch auf Geschäftsführungsebene.
5. Dokumentation und Nachweisfähigkeit sicherstellen
Maßnahmen sollten nicht nur umgesetzt, sondern nachvollziehbar festgehalten werden. Im Fall einer Prüfung zählt, dass Entscheidungen und Vorgehen klar dokumentiert sind.
Warum NIS2 kein reines IT-Thema ist
Die Anforderungen aus NIS2 betreffen nicht ausschließlich technische Maßnahmen. Neben IT-Schutzmechanismen spielen auch organisatorische Regelungen eine Rolle – etwa klare Zuständigkeiten, geregelte Meldewege und dokumentierte Abläufe.
IT-Sicherheit wird damit zu einer Querschnittsaufgabe, die neben der IT-Abteilung auch Geschäftsführung und Fachbereiche einbezieht.
Fazit
NIS2 bringt zusätzliche Anforderungen mit sich – vor allem macht sie sichtbar, wie IT-Sicherheit im eigenen Unternehmen bislang organisiert ist. In vielen Fällen sind Zuständigkeiten, Prozesse und Dokumentation über Jahre gewachsen und nicht klar strukturiert.
Genau hier setzt die Richtlinie an. Entscheidend ist, Risiken realistisch einzuschätzen, Verantwortlichkeiten zu klären und Abläufe im Ernstfall festzulegen. Wer seine Ausgangssituation ehrlich bewertet und Maßnahmen nachvollziehbar priorisiert, schafft eine solide Grundlage – sowohl für regulatorische Vorgaben als auch für den eigenen Umgang mit IT-Sicherheitsrisiken.
