Hinweis: Dieser Artikel begleitet den fiktiven Geschäftsführer Thomas Brenner der „Brenner Präzisionstechnik GmbH", einem mittelständischen Maschinenbauunternehmen mit 180 Mitarbeitenden und 35 Millionen Euro Jahresumsatz in Baden-Württemberg. Seine Herausforderungen stehen exemplarisch für Tausende deutscher Mittelständler, die sich jetzt mit NIS2 auseinandersetzen müssen.

Ein Montagmorgen, der alles verändert

Als Thomas Brenner an einem Montagmorgen im Januar 2026 seinen Laptop öffnet, findet er eine E-Mail seines IT-Dienstleisters mit dem Betreff: „Dringend: NIS2 – Handlungsbedarf für Ihr Unternehmen". Er hat den Begriff NIS2 schon gehört, ihn aber immer als Thema für Großkonzerne und Energieversorger abgetan. Die E-Mail belehrt ihn eines Besseren: Als Zulieferer für die Automobilindustrie mit 180 Mitarbeitenden fällt die Brenner Präzisionstechnik GmbH mit hoher Wahrscheinlichkeit direkt unter die neue Richtlinie. Und die Registrierungsfrist beim BSI läuft am 6. März 2026 ab.

Was Thomas Brenner in den folgenden Wochen lernt, durchlebt und umsetzt, ist Gegenstand dieses Leitfadens. Er richtet sich an alle Geschäftsführerinnen und Geschäftsführer, die sich in einer ähnlichen Situation befinden – und das sind nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) rund 29.000 bis 30.000 Unternehmen allein in Deutschland.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2, EU-Richtlinie 2022/2555) ist das zentrale europäische Gesetzeswerk zur Stärkung der Cybersicherheit. Sie ersetzt die erste NIS-Richtlinie von 2016, die nur einen kleinen Kreis kritischer Infrastrukturen erfasste. NIS2 erweitert den Anwendungsbereich massiv und schafft erstmals einen einheitlichen, verbindlichen Cybersicherheitsrahmen für die gesamte EU.

In Deutschland wurde NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Am 13. November 2025 hat der Bundestag das Gesetz verabschiedet, am 21. November stimmte der Bundesrat zu, und am 6. Dezember 2025 trat das Gesetz in Kraft – ohne jegliche Übergangsfrist. Das bedeutet: Die Pflichten gelten sofort.

Das Kernziel von NIS2 ist eindeutig: Unternehmen, die für das Funktionieren von Wirtschaft und Gesellschaft relevant sind, müssen ein nachweisbares Mindestmaß an Cybersicherheit gewährleisten. Die zunehmende Vernetzung von Produktionsanlagen (Industrie 4.0), die Abhängigkeit von digitalen Lieferketten und die steigende Zahl von Ransomware-Angriffen machen diesen Schritt aus Sicht des Gesetzgebers zwingend notwendig.

Wer ist betroffen? Die Sektoren und Schwellenwerte

Thomas Brenner fragt sich als Erstes: „Betrifft mich das überhaupt?" Die Antwort hängt von zwei Faktoren ab: dem Sektor und der Unternehmensgröße.

Die 18 regulierten Sektoren

NIS2 unterscheidet zwei Kategorien von Einrichtungen:

Besonders wichtige Einrichtungen (Sektoren mit hoher Kritikalität – Anhang I):

  1. Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
  2. Transport und Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen (Krankenhäuser, Pharmahersteller, Medizinprodukte)
  6. Trinkwasserversorgung
  7. Abwasserwirtschaft
  8. Digitale Infrastruktur (DNS, Cloud, Rechenzentren, Telekommunikation)
  9. IKT-Dienstemanagement (B2B, Managed Services)
  10. Öffentliche Verwaltung
  11. Weltraum

Wichtige Einrichtungen (sonstige kritische Sektoren – Anhang II):

  1. Post- und Kurierdienste
  2. Abfallbewirtschaftung
  3. Herstellung und Handel chemischer Stoffe
  4. Lebensmittelproduktion, -verarbeitung und -vertrieb
  5. Verarbeitendes Gewerbe (Medizintechnik, Maschinenbau, Fahrzeugbau, Elektrotechnik)
  6. Anbieter digitaler Dienste
  7. Forschungseinrichtungen

Für Thomas Brenner ist Punkt 5 der zweiten Kategorie entscheidend: Verarbeitendes Gewerbe / Maschinenbau. Sein Unternehmen fällt damit grundsätzlich in den Anwendungsbereich von NIS2.

Die Größenschwellen

Nicht jeder kleine Handwerksbetrieb ist betroffen. NIS2 greift ab bestimmten Schwellenwerten:

  • Wichtige Einrichtungen: Ab 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz
  • Besonders wichtige Einrichtungen: Ab 250 Mitarbeitenden und 50 Millionen Euro Jahresumsatz

Mit 180 Mitarbeitenden und 35 Millionen Euro Umsatz fällt die Brenner Präzisionstechnik als „wichtige Einrichtung" unter NIS2. Und damit unter sämtliche Pflichten des neuen Gesetzes.

Die indirekte Betroffenheit: Lieferketten-Effekt

Selbst Unternehmen unterhalb der Schwellenwerte können betroffen sein. NIS2 verpflichtet regulierte Unternehmen, die Cybersicherheit ihrer gesamten Lieferkette zu gewährleisten. Das bedeutet: Wenn Ihr Kunde unter NIS2 fällt, wird er von Ihnen Nachweise über Ihre IT-Sicherheit verlangen – vertraglich und regelmäßig. Wer diese Nachweise nicht liefern kann, riskiert Aufträge zu verlieren. Das macht NIS2 faktisch zu einem Wettbewerbsfaktor weit über die direkt betroffenen 30.000 Unternehmen hinaus.

Die persönliche Haftung der Geschäftsführung

Der Punkt, der Thomas Brenner am meisten beunruhigt, ist § 38 des neuen BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik): Die persönliche Haftung der Geschäftsführung für die Cybersicherheit des Unternehmens.

Konkret bedeutet das:

  • Die Geschäftsführung muss die Maßnahmen zum Risikomanagement genehmigen und deren Umsetzung überwachen.
  • Diese Verantwortung ist nicht delegierbar. Thomas Brenner kann einen IT-Leiter einstellen und einen externen Dienstleister beauftragen – die Verantwortung bleibt trotzdem bei ihm als Geschäftsführer.
  • Die Geschäftsführung muss regelmäßig an Cybersicherheitsschulungen teilnehmen (mindestens alle drei Jahre).
  • Bei Pflichtverletzung drohen persönliche Schadensersatzansprüche – sowohl durch das Unternehmen selbst als auch durch geschädigte Dritte (Kunden, Partner, Investoren).
  • Bei grober Fahrlässigkeit kann sogar eine strafrechtliche Verantwortlichkeit entstehen.
  • Für besonders wichtige Einrichtungen kann bei wiederholten schweren Verstößen ein temporäres Berufsverbot als Geschäftsführer ausgesprochen werden.

Thomas Brenner lässt daraufhin als Erstes seine D&O-Versicherung (Directors-and-Officers-Versicherung) prüfen, ob cybersicherheitsbezogene Haftungsfälle abgedeckt sind. Eine Maßnahme, die jeder Geschäftsführer sofort ergreifen sollte.

Die Bußgelder: Was bei Verstößen droht

NIS2 bringt ein Sanktionsregime mit, das in seiner Schärfe an die DSGVO erinnert:

  • Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Aber auch für vermeintlich kleinere Versäumnisse fallen empfindliche Strafen an:

  • 100.000 Euro allein dafür, dass die vom BSI geforderte Kontaktperson nicht erreichbar ist
  • 500.000 Euro für fehlende Nachweise eines funktionierenden Informationssicherheits-Managementsystems (ISMS)
  • 500.000 Euro für Verstöße gegen die Registrierungspflicht
  • 500.000 Euro für die Nichtbefolgung von BSI-Anordnungen

Für die Brenner Präzisionstechnik mit 35 Millionen Euro Umsatz bedeutet das im Extremfall: bis zu 7 Millionen Euro Bußgeld. Eine existenzbedrohende Summe für einen Mittelständler.

Die zehn Pflichtmaßnahmen: Was NIS2 konkret verlangt

§ 30 des BSIG definiert zehn Mindestmaßnahmen, die jedes betroffene Unternehmen umsetzen muss. Für Thomas Brenner liest sich das zunächst wie ein undurchdringlicher Katalog. Wir übersetzen die Anforderungen in die Sprache eines Maschinenbauunternehmens:

1. Risikoanalyse und Sicherheitskonzepte

Sie müssen eine systematische Analyse aller IT-Risiken in Ihrem Unternehmen durchführen. Welche Systeme gibt es? Was passiert, wenn die CNC-Maschinensteuerung ausfällt? Was, wenn das ERP-System verschlüsselt wird? Die Ergebnisse münden in ein dokumentiertes Sicherheitskonzept – kein 200-Seiten-Dokument, sondern ein pragmatisches, lebendiges Papier.

2. Bewältigung von Sicherheitsvorfällen (Incident Response)

Sie brauchen einen klaren Plan: Was passiert, wenn es einen Cyberangriff gibt? Wer wird informiert? Wer zieht den Stecker? Wer kommuniziert mit Kunden? Diesen Plan müssen Sie nicht nur haben, sondern regelmäßig üben – wie eine Brandschutzübung für die IT.

3. Business Continuity und Krisenmanagement

Wie schnell können Sie den Betrieb wiederherstellen? Haben Sie getestete Backups? Können Ihre Mitarbeitenden auch ohne IT weiterarbeiten – zumindest rudimentär? Thomas Brenner erkennt: Seine letzte Backup-Wiederherstellung wurde nie getestet. Auf dem Papier existieren Backups – ob sie funktionieren, weiß niemand.

4. Sicherheit der Lieferkette

Sie müssen die Cybersicherheit Ihrer kritischen Zulieferer und Dienstleister bewerten. Das betrifft den Cloud-Anbieter für Ihre E-Mails genauso wie den Fernwartungszugang des Maschinenlieferanten. Verträge müssen Sicherheitsanforderungen, Meldepflichten und Auditrechte enthalten.

5. Sicherheit bei Beschaffung, Entwicklung und Wartung

Neue Software, neue Maschinen, neue Netzwerkkomponenten: Bei jeder Beschaffung müssen Sicherheitsaspekte berücksichtigt werden. Das gilt auch für Updates und Patches bestehender Systeme.

6. Bewertung der Wirksamkeit

Sicherheitsmaßnahmen, die nie überprüft werden, sind wertlos. Sie müssen regelmäßig testen, ob Ihre Maßnahmen wirken – durch interne Audits, Penetrationstests oder Schwachstellenscans.

7. Cyberhygiene und Schulungen

Jeder einzelne Mitarbeitende muss in grundlegender Cyberhygiene geschult werden: sichere Passwörter, Erkennung von Phishing-Mails, Umgang mit USB-Sticks, Verhalten bei verdächtigen Vorfällen. Und zwar regelmäßig – nicht einmalig bei der Einstellung.

8. Kryptografie und Verschlüsselung

Sensible Daten – Konstruktionszeichnungen, Kundendaten, Geschäftsgeheimnisse – müssen verschlüsselt gespeichert und übertragen werden. TLS für E-Mails, Festplattenverschlüsselung für Laptops, verschlüsselte VPN-Verbindungen für den Fernzugriff.

9. Personalsicherheit und Zugangskontrollen

Wer hat Zugriff auf welche Systeme? Das Prinzip der minimalen Rechte (Least Privilege) muss umgesetzt werden. Der Praktikant benötigt keinen Zugang zum Finanzserver. Beim Ausscheiden von Mitarbeitenden müssen Zugänge sofort gesperrt werden.

10. Multi-Faktor-Authentifizierung und sichere Kommunikation

Für alle kritischen Systeme und Fernzugriffe muss eine Multi-Faktor-Authentifizierung (MFA) eingerichtet werden. Außerdem müssen im Notfall sichere, verschlüsselte Kommunikationskanäle zur Verfügung stehen – falls die reguläre IT-Infrastruktur kompromittiert ist.

Die Meldepflichten: 24 Stunden, die über alles entscheiden

Einer der anspruchsvollsten Aspekte von NIS2 ist die dreistufige Meldepflicht bei erheblichen Sicherheitsvorfällen:

  1. Innerhalb von 24 Stunden: Frühwarnung an das BSI. Diese muss enthalten: Was ist passiert? Besteht der Verdacht, dass der Vorfall grenzüberschreitende Auswirkungen hat?
  2. Innerhalb von 72 Stunden: Detaillierte Meldung mit einer ersten Bewertung des Vorfalls, seiner Schwere, seiner Auswirkungen und – sofern verfügbar – der Kompromittierungsindikatoren (Indicators of Compromise).
  3. Innerhalb von einem Monat: Abschlussbericht mit Ursachenanalyse (Root Cause Analysis), ergriffenen Gegenmaßnahmen und Bewertung der grenzüberschreitenden Auswirkungen.

Ein Vorfall gilt als „erheblich", wenn er tatsächliche oder potenzielle finanzielle Schäden von mindestens 100.000 Euro oder 5 % des Jahresumsatzes verursachen kann. Bei der Brenner Präzisionstechnik wäre das: bereits ab 100.000 Euro.

Thomas Brenner wird klar: Die 24-Stunden-Frist bedeutet, dass sein Unternehmen eine 24/7-Erreichbarkeit für IT-Sicherheitsvorfälle sicherstellen muss. An einem Freitagabend, an Weihnachten, im Urlaub. Für ein Unternehmen ohne eigenes Security Operations Center (SOC) ist das eine massive Herausforderung.

Der Zeitplan: Wo stehen wir jetzt?

DatumEreignis
17. Oktober 2024Ursprüngliche EU-Frist für nationale Umsetzung (Deutschland verfehlte sie)
Mai 2025EU-Kommission leitet Vertragsverletzungsverfahren gegen Deutschland ein
13. November 2025Bundestag verabschiedet das NIS2UmsuCG
6. Dezember 2025Gesetz tritt in Kraft – keine Übergangsfrist
6. Januar 2026BSI-Registrierungsportal geht online
6. März 2026Registrierungsfrist abgelaufen
April 2026Mitgliedstaaten müssen Listen der betroffenen Einrichtungen erstellen
Ende 2029Erste verpflichtende Nachweise und Audits (4 Jahre nach Inkrafttreten)

Stand März 2026: Die Registrierungsfrist ist am 6. März 2026 abgelaufen. Das BSI hat signalisiert, dass es bei verspäteten Registrierungen zunächst keine Sanktionen verhängen wird – allerdings ist diese Kulanz informell und zeitlich begrenzt. Parallel ist am 6. März 2026 auch das KRITIS-Dachgesetz in Kraft getreten, das die physische Resilienz kritischer Infrastrukturen regelt und NIS2 ergänzt.

NIS2 vs. NIS1: Die wesentlichen Unterschiede

Für Unternehmen, die bereits unter der ersten NIS-Richtlinie reguliert waren, hier die wichtigsten Änderungen im Überblick:

  • Anwendungsbereich: Von wenigen KRITIS-Sektoren auf 18 Sektoren erweitert – darunter erstmals das verarbeitende Gewerbe, Post- und Kurierdienste sowie Lebensmittelproduktion.
  • Einheitliche Schwellenwerte: NIS1 überließ den Mitgliedstaaten die Definition. NIS2 harmonisiert EU-weit: ab 50 Mitarbeitende / 10 Mio. Euro.
  • Meldepflichten: NIS1 hatte vage Fristen. NIS2 definiert die 24h/72h/1-Monat-Kaskade verbindlich.
  • Geschäftsführerhaftung: Unter NIS1 nicht explizit adressiert. NIS2 macht sie zum Kernbestandteil.
  • Lieferkettensicherheit: Unter NIS1 nicht geregelt. NIS2 macht sie zur Pflichtmaßnahme.
  • Bußgelder: Harmonisiert auf DSGVO-Niveau statt nationaler Einzelregelungen.
  • Aufsicht: Besonders wichtige Einrichtungen werden proaktiv (ex ante) überwacht, wichtige Einrichtungen reaktiv (ex post).

Praxis: Thomas Brenners 8-Schritte-Plan zur NIS2-Umsetzung

Nach der anfänglichen Schockstarre entwickelt Thomas Brenner gemeinsam mit seinem IT-Leiter und einem externen Berater einen strukturierten Umsetzungsplan. Die Erfahrung zeigt: Vollständige Compliance dauert realistisch 12 bis 18 Monate. Aber die ersten Schritte müssen sofort erfolgen.

Schritt 1: Betroffenheitsprüfung und Registrierung (Woche 1–2)

Zunächst wird formal geprüft, ob das Unternehmen unter NIS2 fällt. Die Prüfung wird schriftlich dokumentiert – auch ein negatives Ergebnis. Für die Registrierung beim BSI benötigt Thomas Brenner ein ELSTER-Organisationszertifikat. Bei der Registrierung müssen unter anderem folgende Daten angegeben werden: Unternehmensname und -adresse, Sektor und Teilsektor, Kontaktdaten inklusive einer 24/7-erreichbaren Kontaktperson für Sicherheitsvorfälle und die IP-Adressbereiche des Unternehmens.

Schritt 2: Ist-Analyse und Gap-Assessment (Woche 3–6)

Wo steht das Unternehmen heute in Bezug auf die zehn Pflichtmaßnahmen? Thomas Brenner beauftragt eine Gap-Analyse, die den aktuellen Stand der IT-Sicherheit mit den NIS2-Anforderungen abgleicht. Als Referenzrahmen dient ISO 27001 oder der BSI IT-Grundschutz. Die Erfahrung: ISO 27001 deckt etwa 70–80 % der NIS2-Anforderungen ab. Die Lücken liegen typischerweise bei den Meldepflichten, der expliziten Geschäftsführerhaftung und den sektorspezifischen Anforderungen.

Schritt 3: ISMS aufbauen oder erweitern (Monat 2–6)

Das Informationssicherheits-Managementsystem (ISMS) ist das operative Rückgrat der NIS2-Compliance. Es ist kein einmaliges Projekt, sondern ein permanenter Managementprozess. Für Mittelständler muss das ISMS nicht die Komplexität eines DAX-Konzerns haben – aber es muss existieren, dokumentiert und gelebt werden. Thomas Brenner entscheidet sich, sein ISMS an ISO 27001 auszurichten, ohne zunächst eine formale Zertifizierung anzustreben. Die Zertifizierung plant er für Jahr zwei.

Schritt 4: Technische Maßnahmen implementieren (Monat 3–9)

Basierend auf der Gap-Analyse werden die technischen Lücken geschlossen:

  • Netzwerksegmentierung: Das Büro-IT-Netz wird vom Produktions-OT-Netz getrennt. Ein kompromittierter E-Mail-Arbeitsplatz darf nicht die CNC-Maschinen erreichen können.
  • Multi-Faktor-Authentifizierung: Für VPN, E-Mail, ERP-System und alle Fernzugriffe wird MFA eingeführt.
  • Patch-Management: Ein automatisiertes System stellt sicher, dass Sicherheitsupdates innerhalb definierter Fristen eingespielt werden.
  • Backup und Recovery: Backups werden nach der 3-2-1-Regel implementiert (3 Kopien, 2 verschiedene Medien, 1 extern). Regelmäßige Wiederherstellungstests werden eingeplant.
  • Monitoring und Erkennung: Ein SIEM-System (Security Information and Event Management) oder zumindest ein Managed Detection and Response (MDR) Service wird eingeführt, um Angriffe frühzeitig zu erkennen.
  • Verschlüsselung: Festplattenverschlüsselung auf allen mobilen Geräten, TLS für E-Mail-Transport, verschlüsselte VPN-Tunnel.

Schritt 5: Organisatorische Maßnahmen (Monat 3–8)

  • Rollen und Verantwortlichkeiten: Ein IT-Sicherheitsbeauftragter wird benannt (intern oder extern). Die Geschäftsführung nimmt ihre Überwachungspflicht formal wahr – dokumentiert durch regelmäßige Security-Briefings.
  • Schulungsprogramm: Alle 180 Mitarbeitenden durchlaufen eine Basis-Schulung zur Cyberhygiene. Für die IT-Abteilung gibt es vertiefte technische Schulungen. Die Geschäftsführung nimmt an einem spezifischen NIS2-Management-Training teil.
  • Richtlinien: Passwort-Richtlinie, Clean-Desk-Policy, Richtlinie zum Umgang mit mobilen Datenträgern, Richtlinie für den Fernzugriff – all das wird verschriftlicht und kommuniziert.

Schritt 6: Incident-Response-Plan erstellen und üben (Monat 4–7)

Thomas Brenner erstellt mit seinem Team einen Incident-Response-Plan, der folgende Fragen beantwortet:

  • Wer wird bei einem Sicherheitsvorfall alarmiert? (Alarmierungskette mit Telefonnummern)
  • Wer entscheidet über die Abschaltung von Systemen?
  • Wer meldet an das BSI? (Hauptverantwortlicher + Stellvertretung)
  • Wie sieht die Kommunikation an Kunden und Öffentlichkeit aus?
  • Welche externen Dienstleister werden im Ernstfall hinzugezogen? (Incident-Response-Retainer vereinbaren)

Der Plan wird mindestens einmal jährlich in einer Tabletop-Übung durchgespielt: Ein fiktives Szenario (z. B. Ransomware-Angriff am Freitagabend) wird mit allen Beteiligten durchgesprochen, ohne tatsächlich Systeme abzuschalten.

Schritt 7: Lieferketten-Sicherheit adressieren (Monat 5–10)

Thomas Brenner erstellt eine Liste aller kritischen Zulieferer und IT-Dienstleister. Für jeden wird eine Risikobewertung durchgeführt:

  • Welchen Zugriff hat der Dienstleister auf unsere Systeme?
  • Welche Sicherheitszertifizierungen hat er?
  • Gibt es vertragliche Sicherheitsanforderungen?

Bestehende Verträge werden um Klauseln ergänzt: Sicherheitsstandards, Meldepflichten bei Vorfällen, Auditrechte und Notfall-Kooperationsvereinbarungen. Für neue Dienstleister wird ein standardisierter Onboarding-Prozess mit verpflichtenden Sicherheitsanforderungen eingeführt.

Schritt 8: Kontinuierliche Verbesserung (ab Monat 6, dauerhaft)

NIS2-Compliance ist kein Projekt mit einem Enddatum. Es ist ein kontinuierlicher Prozess:

  • Vierteljährliche Management-Reviews der IT-Sicherheitslage
  • Jährliche Penetrationstests durch externe Dienstleister
  • Regelmäßige Aktualisierung der Risikoanalyse
  • Halbjährliche Schulungsauffrischungen für alle Mitarbeitenden
  • Jährliche Incident-Response-Übung

NIS2 und bestehende Frameworks: ISO 27001 und BSI IT-Grundschutz

Eine der häufigsten Fragen, die Thomas Brenner stellt: „Reicht eine ISO 27001-Zertifizierung für NIS2?"

Die kurze Antwort: Nein, aber sie hilft enorm.

ISO 27001 deckt den größten Teil der NIS2-Anforderungen ab – insbesondere Risikomanagement, Zugangskontrollen, Incident Management und Lieferkettensicherheit. Die wesentlichen Lücken sind:

  • Die 24h/72h-Meldepflichten sind in ISO 27001 nicht in dieser Granularität definiert
  • Die persönliche Geschäftsführerhaftung ist kein ISO-Thema
  • Die sektorspezifischen Anforderungen gehen über ISO hinaus
  • Die BSI-Registrierung und die damit verbundenen Informationspflichten

Der BSI IT-Grundschutz wird durch das NIS2UmsuCG explizit gestärkt. Das Gesetz sieht vor, dass das BSI den IT-Grundschutz modernisiert und als Referenzrahmen für die Nachweispflichten weiterentwickelt. Eine Zertifizierung nach BSI IT-Grundschutz kann die Nachweisführung erheblich erleichtern.

Thomas Brenners Empfehlung an andere Geschäftsführer: Starten Sie mit ISO 27001 als Basisrahmen und ergänzen Sie gezielt die NIS2-spezifischen Anforderungen. Das vermeidet Doppelarbeit und schafft gleichzeitig eine international anerkannte Zertifizierungsgrundlage.

Kostenlose Hilfe für den Mittelstand

Das BSI und verschiedene Initiativen bieten Unterstützung speziell für kleine und mittlere Unternehmen:

  • FitNIS2-Navigator: Ein kostenloser Online-Assistent, entwickelt von „Deutschland sicher im Netz e.V." und der Universität Paderborn, der speziell auf die Herausforderungen von KMU zugeschnitten ist.
  • BSI-Website: Umfangreiche FAQ-Sammlung und Handreichungen zu NIS2
  • Transferstelle Cybersicherheit: Bietet kostenlose Informationsveranstaltungen und Erstberatungen für den Mittelstand
  • IHK-Veranstaltungen: Die Industrie- und Handelskammern bieten regelmäßig NIS2-Informationsveranstaltungen an

Fazit: Thomas Brenners Erkenntnisse nach drei Monaten

Drei Monate nach dem ersten Schock zieht Thomas Brenner Bilanz. Die Registrierung beim BSI ist erfolgt. Die Gap-Analyse ist abgeschlossen. Die ersten technischen Maßnahmen werden umgesetzt. Das Budget für IT-Sicherheit wurde verdoppelt. Seine wichtigsten Erkenntnisse:

  1. NIS2 ist kein reines IT-Thema. Es ist Chefsache. Die Geschäftsführung muss verstehen, entscheiden und überwachen – nicht nur unterschreiben.
  2. Die Haftung ist real. Wer als Geschäftsführer NIS2 ignoriert, haftet persönlich. D&O-Versicherung prüfen, Schulungen absolvieren, Dokumentation ernst nehmen.
  3. Der Lieferketten-Effekt macht NIS2 zum Standard für alle. Selbst nicht direkt betroffene Unternehmen werden von ihren Kunden Sicherheitsnachweise verlangen müssen.
  4. Perfekt ist der Feind von gut. Lieber heute mit 70 % starten als in sechs Monaten mit dem perfekten ISMS. Das BSI erwartet Fortschritt, keinen sofortigen Idealzustand.
  5. Cybersicherheit ist ein Wettbewerbsvorteil. Kunden fragen zunehmend nach Zertifizierungen und Sicherheitskonzepten. Wer NIS2-compliant ist, gewinnt Vertrauen – und Aufträge.

Die NIS2-Richtlinie markiert einen Paradigmenwechsel: Cybersicherheit ist für deutsche Unternehmen kein freiwilliges IT-Ziel mehr, sondern ein gesetzlicher Auftrag mit persönlicher Haftung. Die gute Nachricht: Der Weg zur Compliance ist klar definiert, die Werkzeuge sind verfügbar, und die Investition zahlt sich auch jenseits der reinen Pflichterfüllung aus.

Handeln Sie jetzt. Nicht morgen, nicht nächstes Quartal. Jetzt.