Im Oktober 2024 hätte die NIS2-Richtlinie in deutsches Recht umgesetzt sein sollen. Das ist nicht passiert. Stattdessen gibt es Entwürfe, Ressortabstimmungen, Verschiebungen — und bei vielen mittelständischen Unternehmen die stille Hoffnung, dass das Thema sie vielleicht doch nicht betrifft. Diese Hoffnung ist in den meisten Fällen unbegründet. Die Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich: Wer mehr als 50 Mitarbeitende beschäftigt und in einem der 18 definierten Sektoren tätig ist, fällt mit hoher Wahrscheinlichkeit unter die neuen Pflichten. Und die betreffen nicht nur IT-Abteilungen, sondern die Geschäftsführung persönlich.
Stellen Sie sich vor, ein Unternehmen hat eine Feuerversicherung, aber keinen Feuerlöscher. Die Versicherung ist vorhanden, die Police liegt im Schrank, der Haken auf der Checkliste ist gesetzt. Nur: Wenn es brennt, hilft das alles nichts. Genau so verhält sich ein großer Teil dessen, was in deutschen Unternehmen als Informationssicherheit gilt — es ist Dokumentation ohne operative Substanz. NIS2 zielt darauf ab, diesen Zustand zu beenden. Die Frage ist, ob Unternehmen das als Anlass nehmen, tatsächlich sicherer zu werden, oder ob sie lediglich eine neue Schicht Dokumentation über die bestehende legen.
Was in DAX-Konzernen passiert — und was nicht
In über sechs Jahren Arbeit mit DAX-40-Unternehmen im Bereich Cybersecurity habe ich ein Muster gesehen, das sich mit bemerkenswerter Zuverlässigkeit wiederholt. Große Konzerne investieren erhebliche Summen in Sicherheitsarchitekturen, ISMS-Zertifizierungen, Penetrationstests und Awareness-Kampagnen. Vieles davon ist substanziell und wirksam. Aber ein nicht unerheblicher Teil dient primär einem Zweck: der Nachweisbarkeit gegenüber Auditoren, Aufsichtsbehörden und Versicherern.
Das ist kein böser Wille. Es ist die logische Konsequenz eines Systems, in dem Compliance-Anforderungen schneller wachsen als die operativen Kapazitäten, sie umzusetzen. Wenn ein Unternehmen zwischen einer tatsächlichen Verbesserung der Netzwerksegmentierung und einem dokumentierten Nachweis über die geplante Verbesserung der Netzwerksegmentierung wählen muss, gewinnt in der Praxis oft das Dokument. Es ist schneller fertig, es befriedigt den Auditor, und es bindet weniger Ressourcen.
Compliance-Theater entsteht nicht aus Nachlässigkeit, sondern aus rationalem Ressourcenmanagement unter Druck — und genau deshalb ist es so schwer zu durchbrechen.
Für den Mittelstand ist diese Beobachtung aus zwei Gründen relevant. Erstens: Wenn selbst Konzerne mit spezialisierten Security-Teams und siebenstelligen Budgets dazu neigen, Dokumentation über Umsetzung zu priorisieren, wird ein mittelständisches Unternehmen mit einer IT-Abteilung von drei bis fünf Personen dieselbe Falle erst recht nicht umgehen, wenn es den Compliance-Katalog mechanisch abarbeitet. Zweitens: Der Mittelstand hat einen strukturellen Vorteil. Kürzere Entscheidungswege, weniger Legacy-Systeme, direkterer Zugang zwischen IT und Geschäftsführung. Wer diesen Vorteil nutzt, kann mit deutlich weniger Aufwand eine tatsächlich wirksame Sicherheitsarchitektur aufbauen, statt nur eine dokumentierte.
Fünf Schritte, die jetzt Substanz schaffen
Die folgenden fünf Maßnahmen richten sich an mittelständische Unternehmen, die unter NIS2 fallen oder fallen werden. Sie sind bewusst nicht als Checkliste formuliert, sondern als Reihenfolge — jeder Schritt baut auf dem vorherigen auf.
1. Betroffenheit verbindlich klären — nicht schätzen
Die erste und erstaunlich oft übersprungene Maßnahme ist eine verbindliche Klärung der eigenen Betroffenheit. NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen, und die Abgrenzung hängt von Sektor, Unternehmensgröße und der Art der erbrachten Dienstleistung ab. Ein Maschinenbauunternehmen mit 120 Mitarbeitenden, das Komponenten für die Wasserversorgung liefert, fällt möglicherweise in den Anwendungsbereich, auch wenn es sich selbst nie als Teil kritischer Infrastruktur betrachtet hat.
Die Klärung erfordert eine juristische und technische Bewertung — keine Selbsteinschätzung auf Basis einer FAQ-Seite. Wer hier spart, riskiert entweder unnötigen Aufwand für Pflichten, die gar nicht gelten, oder eine böse Überraschung, wenn die Aufsichtsbehörde anklopft. Beides ist vermeidbar. Viele Unternehmen, die eine systematische Compliance-Bewertung durchführen lassen, stellen fest, dass ihre tatsächliche Risikolage sich erheblich von ihrer angenommenen unterscheidet.
2. Risikomanagement als operativen Prozess etablieren, nicht als Dokument
NIS2 verlangt ein Risikomanagement für Netz- und Informationssysteme. Die Versuchung besteht darin, eine Risikomatrix in Excel zu erstellen, die gängigen Risiken einzutragen und das Ergebnis als PDF abzulegen. Das erfüllt formal die Anforderung. Operativ ist es wertlos.
Ein wirksames Risikomanagement im Mittelstand braucht drei Dinge: eine realistische Inventarisierung der kritischen Systeme und Datenflüsse, eine ehrliche Bewertung der Bedrohungslage — nicht auf Basis allgemeiner Statistiken, sondern bezogen auf das eigene Geschäftsmodell — und einen definierten Prozess, der diese Bewertung regelmäßig aktualisiert. Regelmäßig bedeutet nicht jährlich. Es bedeutet bei jeder wesentlichen Änderung der IT-Landschaft, bei jedem neuen Dienstleister, bei jeder relevanten Bedrohungsentwicklung.
Der Unterschied zwischen einem lebenden Risikomanagement-Prozess und einem toten Dokument zeigt sich beim ersten Sicherheitsvorfall. Im ersten Fall weiß das Unternehmen, welche Systeme betroffen sein könnten und welche Abhängigkeiten bestehen. Im zweiten Fall beginnt die Bestandsaufnahme erst dann, wenn die Systeme bereits kompromittiert sind.
3. Lieferketten-Sicherheit ernst nehmen
Artikel 21 der NIS2-Richtlinie fordert explizit die Berücksichtigung der Sicherheit in der Lieferkette. Für den Mittelstand ist das ein heikler Punkt, denn viele Unternehmen sind selbst Teil einer Lieferkette und gleichzeitig abhängig von Zulieferern und IT-Dienstleistern, auf deren Sicherheitsniveau sie nur begrenzten Einfluss haben.
Praktisch bedeutet das: Jeder externe Dienstleister, der Zugang zu kritischen Systemen oder Daten hat, muss einer Sicherheitsbewertung unterzogen werden. Das klingt aufwändiger als es ist, wenn es systematisch erfolgt. Ein standardisierter Fragebogen, eine vertragliche Vereinbarung über Sicherheitsanforderungen und Meldepflichten, eine jährliche Überprüfung — das lässt sich mit überschaubarem Aufwand implementieren. Was sich nicht implementieren lässt, ist Vertrauen als Sicherheitskonzept. Die Aussage „Die machen das schon" ist kein Risikomanagement.
4. Incident Response vorbereiten, bevor der Incident eintritt
NIS2 schreibt eine Meldepflicht bei Sicherheitsvorfällen vor: 24 Stunden für die Erstmeldung, 72 Stunden für eine detaillierte Bewertung. Wer jemals einen realen Sicherheitsvorfall in einem mittelständischen Unternehmen erlebt hat, weiß, dass 24 Stunden für die Erstmeldung extrem ambitioniert sind, wenn vorher nie geübt wurde, wer in einem solchen Fall wen anruft, welche Informationen gesammelt werden müssen und wer die Meldung an die Aufsichtsbehörde formuliert.
Ein Incident-Response-Plan muss nicht 40 Seiten lang sein. Er muss vier Fragen beantworten: Wer entscheidet? Wer kommuniziert intern und extern? Welche technischen Sofortmaßnahmen werden eingeleitet? Und wie wird dokumentiert, was passiert ist? Diese vier Fragen sollten so beantwortet sein, dass sie auch um drei Uhr morgens funktionieren, wenn der Geschäftsführer im Urlaub ist und der IT-Leiter noch nicht weiß, ob es sich um einen Fehlalarm oder einen Ransomware-Angriff handelt.
Mindestens einmal jährlich sollte dieses Szenario durchgespielt werden. Nicht als Tabletop-Übung mit PowerPoint-Folien, sondern als realitätsnahe Simulation, bei der tatsächlich Telefonate geführt, Entscheidungen getroffen und Meldungen formuliert werden.
5. Geschäftsführerhaftung verstehen und adressieren
Die vielleicht folgenreichste Neuerung von NIS2 ist die persönliche Haftung der Geschäftsführung. Leitungsorgane müssen die Maßnahmen zum Risikomanagement billigen, ihre Umsetzung überwachen und können bei Pflichtverletzungen persönlich haftbar gemacht werden. Das ist keine abstrakte Formulierung — es bedeutet, dass ein Geschäftsführer, der sich nie mit dem Sicherheitsniveau seines Unternehmens befasst hat, im Ernstfall nicht auf Unkenntnis verweisen kann.
Daraus ergibt sich eine praktische Konsequenz: Die Geschäftsführung braucht regelmäßige, verständliche Berichte über den Stand der Informationssicherheit. Nicht in der Sprache der IT, sondern in der Sprache des Geschäftsrisikos. Ein Satz wie „Die Firewall ist aktuell" sagt einem Geschäftsführer nichts. Ein Satz wie „Unser wichtigstes Produktionssystem hat eine bekannte Schwachstelle, deren Behebung vier Tage dauert und 15.000 Euro kostet — ohne Behebung ist ein Produktionsausfall von bis zu drei Tagen realistisch" ermöglicht eine informierte Entscheidung.
Die eigentliche Chance hinter der Regulierung
Es gibt eine Lesart von NIS2, die rein defensiv ist: neue Pflichten, neue Bußgelder, neuer Aufwand. Diese Lesart ist nicht falsch, aber sie ist unvollständig. Die interessantere Perspektive betrifft den Wettbewerbsvorteil, der aus tatsächlicher — nicht dokumentierter — Sicherheit entsteht.
In einer Wirtschaft, in der Lieferketten-Sicherheit zunehmend zum Vergabekriterium wird, in der Cyberversicherungen ihre Prämien an das nachweisbare Sicherheitsniveau koppeln und in der die Integration von KI-Systemen neue Angriffsflächen schafft, wird die Fähigkeit, ein belastbares Sicherheitsniveau vorzuweisen, zum geschäftlichen Differenzierungsmerkmal. Mittelständische Zulieferer, die gegenüber ihren Großkunden glaubhaft nachweisen können, dass ihre Systeme nicht das schwächste Glied in der Kette sind, werden Aufträge gewinnen, die andere verlieren.
Die Unternehmen, die NIS2 als Gelegenheit begreifen, Informationssicherheit vom Kostenfaktor zum Geschäftsfaktor umzudeuten, werden in drei Jahren besser dastehen als diejenigen, die gerade versuchen, mit möglichst wenig Aufwand die Mindestanforderungen zu erfüllen. Der Unterschied zwischen beiden Gruppen liegt selten in der Technik und fast immer in der Haltung der Geschäftsführung — und genau diese Haltung ist es, die NIS2 erstmals auch rechtlich einfordert.