Cyberbedrohungen entwickeln sich ständig weiter, und auch die mittelständisch geprägten Unternehmen sind vor Attacken nicht gefeit. Der Aufbau von Informationssicherheit und der Abbau von Sicherheitslücken rückt in den Fokus – nun fordern auch die Regulierungsbehörden von Unternehmen, die Cybersicherheit auszubauen: Für KMUs gilt es, sich mit den Folgen der NIS2-Richtlinie zu beschäftigen.
Folgendes Szenario: Sie leiten ein mittelständisches Medizintechnikunternehmen mit 70 Mitarbeitenden. Die deutsche Regulierungswut bindet bereits viele Ressourcen – und nun rückt auch die Cybersecurity in den Fokus: Am 13. November hat der Bundestag das Umsetzungsgesetz zur EU-Richtlinie NIS2 verabschiedet. Mittelständler müssen nun Sicherheitsprozesse und Verantwortlichkeiten umgehend neu denken, um Pflichten und Haftungsrisiken zu reduzieren, denn eine Übergangsfrist gibt es keine. Eine Herausforderung? Ja, aber auch eine Chance für mehr Innovation, Resilienz und Wachstum.
Mittelstand erstmals unter Aufsicht
Die NIS2-Richtlinie soll die Cybersicherheit in wichtigen Sektoren innerhalb der EU nachhaltig stärken. Waren bislang hauptsächlich große Betreiber kritischer Infrastrukturen betroffen, gilt sie künftig auch für mittlere Unternehmen in 18 wirtschaftlich und gesellschaftlich relevanten Branchen. Entscheidend sind dabei Unternehmensgröße (ab 50 Mitarbeitende) oder der Umsatz (ab zehn Millionen Euro).
Viele Mittelständler operieren ohne formalisierte Informationssicherheits-Managementsysteme (ISMS) und dokumentierte Vorfallmanagementprozesse. Die
NIS2-Umsetzung ist daher für betroffene Unternehmen ein klarer Auftrag, die IT-Organisation zu professionalisieren, Prozesse zu dokumentieren und nachweisbar umzusetzen.
Cybersicherheit wird Strategiethema – Fahrplan erleichtert NIS2-Compliance
Ein zentraler Punkt der Richtlinie ist die Verlagerung der Verantwortung auf Führungsebene. Geschäftsführer und Vorstände können künftig persönlich für Verstöße gegen Sicherheits- und Meldepflichten haftbar gemacht werden, wenn angemessene Schutzmaßnahmen nicht umgesetzt werden. Damit wird Cybersicherheit zu einem strategischen Managementthema. Ein strukturierter Sechs-Punkte-Fahrplan hilft, die Anforderungen rechtzeitig und effizient umzusetzen.
1. Status Check: Wo stehen wir
Führen Sie einen internen Reifegrad-Check durch, um Lücken in Prozessen, Technologien und Organisation zu erkennen. Eine Gap-Analyse bewertet den aktuellen Sicherheitsstand und zeigt, welche Maßnahmen zur Compliance fehlen.
2. Rollen und Zuständigkeiten fixieren
NIS2 verlangt klare Verantwortlichkeiten für Informationssicherheit auf der Geschäftsführungsebene. Bestimmen Sie daher frühzeitig einen verantwortlichen Security Officer und dokumentieren Sie Rollen und Zuständigkeiten schriftlich, um Informationssicherheit als Führungsaufgabe zu verankern.
Parallel dazu sollten IT-Leitung und Management gemeinsam eine klare Security-Roadmap entwickeln, sodass die Umsetzung der NIS2-Anforderungen strukturiert und effizient erfolgt. Wichtig: Positionieren Sie NIS2 dabei nicht als reine Regulierungslast, sondern als strategische Chance und Business Enabler. Wer frühzeitig Standards umsetzt, verbessert nicht nur die Resilienz gegenüber Cyberbedrohungen, sondern stärkt auch das Vertrauen von Kunden und verschafft sich einen Wettbewerbsvorteil.
3. Risikomanagement aufbauen oder schärfen
Ein wirksames Risikomanagement ist zentral. Unternehmen sollten Bedrohungen systematisch erkennen, bewerten und behandeln. Grundlage ist ein umfassendes Risiko-Register. Zur strukturierten Umsetzung können etablierte Frameworks wie die ISO/IEC 27001 und 27005, das BSI IT-Grundschutz-Kompendium, die NIST SP 800-37 oder die NIST SP 800-53 genutzt werden.
4. Technische und organisatorische Maßnahmen (TOMs) umsetzen
Für ihre NIS2-Compliance müssen Unternehmen im Sinne eines ganzheitlichen Sicherheitsansatzes konkrete Schutzmaßnahmen vorweisen können. Technische Schutzvorkehrungen wie Firewalls, Virenschutz oder Zugriffsbeschränkungen und Authentifizierungsverfahren werden dabei direkt in der IT-Infrastruktur umgesetzt.
Auf der organisatorischen Seite geht es um Regeln, Prozesse und Verantwortlichkeiten, die sicherstellen, dass Cybersicherheit im Betrieb gelebt wird. Neben der Schulung und Sensibilisierung der Mitarbeitenden und Unternehmen und Entwicklung von Business-Continuity- und Disaster-Recovery-Plänen gehört dazu auch ein Schwachstellenmanagement einschließlich regelmäßiger Penetrationstests, um Sicherheitslücken proaktiv zu erkennen und zu beheben.
5. Incident Response etablieren
Da schwerwiegende IT-Vorfälle laut NIS2 unverzüglich gemeldet werden müssen, ist ein strukturierter Incident-Response-Plan unverzichtbar. Er sollte alle Phasen eines Vorfalls abdecken und regelmäßig getestet werden.
6. Lieferanten und Partner absichern
NIS2 verlangt auch Sicherheitsvorkehrungen in der Liefer- und Dienstleistungskette. Integrieren Sie daher Sicherheitsklauseln in Verträge, um Mindestanforderungen an
IT-Sicherheit und Meldepflichten bei Vorfällen zu fixieren. Parallel sollten ein regelmäßiges Lieferanten-Risiko-Assessment etabliert und Sicherheitsnachweise wie Audits, Zertifizierungen, z. B. ISO 27001, oder Compliance-Berichte angefordert werden.
Cyberresilienz als Wettbewerbsvorteil und Innovationsbasis
Die NIS2-Umsetzung bedeutet für mittelständischen Unternehmen zwar Aufwand, eröffnet in erster Linie aber Chancen für eine nachhaltige Informationssicherheit und damit eine zukunftssichere Organisation. Cyberresilienz ist zu einem zentralen strategischen Asset geworden, das nicht nur bei Kunden und Partnern das Vertrauen stärkt und Wettbewerbsvorteile verschafft. Ein stabiles Informationssicherheits-Fundament ist auch unerlässlich, um das Innovationspotenzial neuer Technologien ausnutzen zu können. Der Sechs-Punkte-Fahrplan bietet dafür eine praxisnahe und strukturierte Lösung mit Fokus auf schnellen Erfolgen und nachhaltiger Sicherheit.
Fazit:
Wer sich bislang noch nicht systematisch mit Cybersicherheit in seinem Unternehmen auseinandergesetzt hat, sollte NIS2 zum Anlass nehmen, Schutzmaßnahmen zu ergreifen. Das Aufsetzen eines strukturierten Fahrplans hilft hier – in der Pflicht ist die Führungsebene, auch um Haftungsrisiken zu vermeiden.
Jan-Sebastian Schönbrunn
Jan-Sebastian Schönbrunn ist Mitgründer und Geschäftsführer der Schönbrunn TASC. Als Consultant für IT-Security entwickelt er maßgeschneiderte Sicherheitskonzepte und berät Unternehmen zu Fragen der Cybersicherheit, Informationssicherheit sowie zu entsprechenden Zertifizierungen.
