NIS2: unterschätzte Pflicht für Mittelstand und Zulieferer

Veröffentlicht am·Lesezeit: 37 Minuten
Julian Köhn

Abstract:

Die EU-Richtlinie 2022/2555 („NIS 2“) markiert einen Meilenstein für die Cybersicherheit in Europa. Sie fordert ein hohes, einheitliches Schutzniveau in 18 kritischen Sektoren und weitet die Pflichten erstmals massiv auf mittelständische Unternehmen und Zulieferer aus. Anders als ihr Vorgänger NIS 1 basiert NIS 2 auf verpflichtenden Vorgaben statt bloßen Empfehlungen und führt strenge Governance-, Risiko- und Meldepflichten ein (Europäische Kommission, 2022). Dieser Beitrag erläutert den akademischen Hintergrund der NIS-2-Richtlinie und ihren rechtlichen Rahmen, analysiert detailliert die neuen Anforderungen, von Governance und ISMS-Integration über technisch-organisatorische Maßnahmen bis zu Lieferkettensicherheit, und vergleicht NIS 2 kritisch mit ISO 27001, TISAX sowie DORA. Anhand eines Praxisbeispiels aus dem Maschinenbau werden Herausforderungen und Lösungsansätze bei der Umsetzung skizziert. In der Diskussion wird beleuchtet, weshalb die „NIS 2 Compliance im Mittelstand“ vielfach unterschätzt wird und welche ökonomischen wie organisatorischen Auswirkungen damit einhergehen. Abschließend werden Handlungsempfehlungen gegeben, einschließlich der Nutzung integrierter GRC-Plattformen wie Kopexa, um NIS 2 effizient umzusetzen und Synergien mit bestehenden Standards zu heben.


1. Einleitung: Kontext der EU-Richtlinie NIS 2 und gesellschaftliche Relevanz#

Die Netzwerk- und Informationssicherheitsrichtlinie (NIS 2), offiziell Richtlinie (EU) 2022/2555, ist die aktualisierte EU-Cybersicherheitsrichtlinie und trat im Januar 2023 in Kraft (Europäische Kommission, 2022). Sie löst die NIS 1 von 2016 ab, deren Geltungsbereich und Sicherheitsanforderungen angesichts der Bedrohungslage als überholt galten. Ziel der NIS 2 ist es, ein einheitlich hohes Niveau der Cybersicherheit in Europa zu erreichen. Dazu erweitert sie den Anwendungsbereich erheblich und vereinheitlicht die Regeln für Risiko-Management, Vorfallmeldung und Aufsicht. Erstmals werden auch viele mittelständische Unternehmen und Zulieferer rechtlich verpflichtet, adäquate Cybersecurity-Maßnahmen umzusetzen, ein Aspekt, der in der Praxis bislang oft unterschätzt wird.

Die gesellschaftliche Relevanz der NIS 2 ergibt sich aus der zunehmenden Digitalisierung kritischer Dienste und der wachsenden Verwundbarkeit moderner Lieferketten. Europa sieht sich mit immer raffinierteren Cyber-Bedrohungen konfrontiert, von Ransomware-Angriffen auf Krankenhäuser bis zu Sabotageakten auf Energie- und Wasserversorgung. Die Richtlinie reagiert hierauf, indem sie nicht nur klassische KRITIS-Betreiber einbezieht, sondern u.a. öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, digitale Dienste (z.B. soziale Netzwerke) sowie Hersteller kritischer Produkte unter Regulierung stellt. Damit adressiert NIS 2 direkt lebenswichtige gesellschaftliche Funktionen und indirekt das gesamte Ökosystem von Zulieferern dieser Sektoren. Die Risiken von Versorgungsunterbrechungen durch Cyberangriffe, mit potenziell gravierenden wirtschaftlichen und sozialen Schäden, sollen durch präventive Sicherheitsstandards und Meldewege minimiert werden (ENISA, 2022).

Politisch spiegelt NIS 2 den Paradigmenwechsel hin zu einer aktiven Cyber-Resilienzstrategie wider. Wie bei der Datenschutz-Grundverordnung (GDPR) setzt die EU nun auch in der Cybersicherheit auf verbindliche Vorgaben und empfindliche Sanktionen, um einheitliche Mindeststandards durchzusetzen (Lemnitzer & Prockl, 2023). Die Richtlinie wird als „Quantensprung“ betrachtet, da sie, im Vergleich zur Vorgängerregelung, schätzungsweise zehnmal mehr Unternehmen in die Pflicht nimmt. Jedes EU-Mitgliedsland musste die Vorgaben bis Oktober 2024 in nationales Recht überführen. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das bestehende BSI-Gesetz novelliert und häufig als Informationssicherheitsgesetz 2.0 bezeichnet wird. Die Umsetzung verzögerte sich zwar, doch wird mit Inkrafttreten des Gesetzes im Jahr 2025 gerechnet. Die gesellschaftliche Erwartung an NIS 2 ist klar: Erhöhte Cybersicherheit als öffentliches Gut, das durch regulative „Pflicht zum Handeln“ für Unternehmen jeder Größe, gerade auch im Mittelstand, erreicht werden soll.

2. Theoretischer Rahmen: Begriffe, rechtlicher Rahmen und ISMS-Bezug#

Kritische und wesentliche Einrichtungen: Die NIS-2-Richtlinie unterscheidet zwischen Essential Entities („wesentlichen Einrichtungen“) und Important Entities („wichtigen Einrichtungen“). Wesentliche Einrichtungen umfassen große Unternehmen in kritischen Sektoren (i.d.R. >250 Mitarbeiter und >50 Mio. € Umsatz/Bilanzsumme) sowie bestimmte Akteure unabhängig von der Größe (z.B. qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registry).

Wichtige Einrichtungen sind dagegen mittlere Unternehmen (>50 Mitarbeiter oder >10 Mio. € Umsatz/Bilanz) in weiteren, als wichtig erachteten Sektoren. Diese sektorale Abgrenzung ist im Anhang der Richtlinie festgelegt und wird in Deutschland im NIS2UmsuCG über die Kategorien „besonders wichtige Einrichtungen“ (entspricht grob den Essential Entities) und „wichtige Einrichtungen“ (Important Entities) umgesetzt. Zusätzlich gibt es den Begriff der „kritischen Anlagen“, der klassische Kritische Infrastrukturen (KRITIS) bezeichnet, z.B. Energie, Gesundheit, Wasser, für die teils besondere Regeln gelten. Insgesamt verfolgt NIS 2 einen risikobasierten Ansatz: Die Pflichten knüpfen an die Kritikalität des Sektors und die Größe des Unternehmens an. Dadurch werden im Vergleich zur früheren KRITIS-Regulierung die Schwellenwerte abgesenkt, was den Kreis der betroffenen Unternehmen deutlich vergrößert.

Rechtlicher Rahmen (NIS2UmsG und IT-Sicherheitsgesetz 2.0): In Deutschland werden die NIS-2-Vorgaben durch das NIS2UmsuCG in nationales Recht gegossen. Dieses Gesetz modernisiert das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) und ergänzt bestehende Regelungen aus dem IT-Sicherheitsgesetz 2.0 von 2021. Das IT-Sicherheitsgesetz 2.0, auch „Zweites Gesetz zur Erhöhung der IT-Sicherheit“, hatte bereits zusätzliche Branchen (z.B. Kommunale Entsorgung, Rüstungs- und Großunternehmen als „Unternehmen im besonderen öffentlichen Interesse“) unter Aufsicht gestellt und neue Pflichten wie den Einsatz von Angrifferkennungssystemen in KRITIS eingeführt. NIS 2 geht nun darüber hinaus: weitere Sektoren werden reguliert, Meldepflichten und Sanktionsrahmen werden EU-weit harmonisiert und insbesondere die Verantwortung der Geschäftsleitung wird betont. National müssen zuständige Behörden (in Deutschland v.a. das BSI) die Einhaltung überwachen und können Verstöße sanktionieren. Für wichtige Einrichtungen im Mittelstand gilt typischerweise eine Obergrenze von 7 Mio. € bzw. 1,4 % vom Umsatz als Bußgeld, für wesentliche Einrichtungen bis 10 Mio. € bzw. 2 %. Diese Harmonisierung orientiert sich an der harten Linie der DSGVO und soll die Durchsetzung wirksamer machen (Europäische Kommission, 2022).

Definition Cybersicherheitsanforderungen: Unter den Cybersicherheitsanforderungen der NIS 2 versteht man die Gesamtheit der technischen, organisatorischen und prozessualen Maßnahmen, die ein betroffenes Unternehmen implementieren muss, um Risiken für seine Informationssysteme zu beherrschen. NIS 2 gibt hier einen Mindestkatalog von Sicherheitsmaßnahmen vor (siehe Abschnitt 3), der von Risikomanagement-Policies bis zu Incident Response und Supply-Chain-Security reicht. Wichtig ist, dass diese Anforderungen verhältnismäßig und risikoangemessen umzusetzen sind: Was als ausreichend gilt, hängt von Größe, Risikoprofil und der möglichen gesellschaftlichen Wirkung eines Ausfalls ab. Die Richtlinie verlangt insofern kein starres Schema, sondern einen dynamischen Managementansatz, der sich an bewährten Standards orientiert. So verweist Recital 79 ausdrücklich auf internationale Normen wie die ISO/IEC 27000-Serie als Orientierung. Entsprechend sind Überschneidungen zur ISO 27001 (Information Security Management Systems) und branchenspezifischen Standards wie dem TISAX-Katalog (für die Automobilzulieferindustrie) vorhanden, diese können als „Framework“ dienen, ersetzen NIS 2 jedoch nicht (DQS, 2023) . Vielmehr muss das unternehmensspezifische Informationssicherheits-Managementsystem (ISMS) so weiterentwickelt werden, dass es die neuen gesetzlichen Pflichten (inkl. Meldungen an Behörden) erfüllt. Der Bezug zu ISMS ist somit zentral: Ein systematisches ISMS gemäß ISO 27001 bildet das Fundament, auf dem NIS-2-Compliance aufsetzt (ISO, 2022) . Studien zeigen, dass eine ISO 27001-Zertifizierung bereits einen Großteil (etwa 70 %) der NIS 2-Anforderungen abdeckt, insbesondere was Risikoanalysen und organisatorische Kontrollen betrifft . Allerdings müssen ergänzende Punkte wie behördliche Meldewege oder spezifische Governance-Auflagen zusätzlich etabliert werden . NIS 2 bettet sich damit konsistent in die bestehende Governance, Risk & Compliance (GRC)-Landschaft ein und erhöht insbesondere für mittelständische Unternehmen den Druck, ein formalisiertes ISMS zu betreiben, idealerweise integriert mit Datenschutz (DSGVO) und anderen Compliance-Themen, um Synergien zu heben.

3. Anforderungen im Detail: Governance, Maßnahmen, Risikomanagement, Meldepflichten, Lieferkettensicherheit#

In diesem Abschnitt werden die konkreten Pflichten nach NIS 2 erläutert. Die Richtlinie definiert einen umfassenden Katalog an technischen und organisatorischen Maßnahmen sowie Prozessen, der von der Unternehmensführung bis zu operativen IT-Kontrollen reicht. Im Folgenden werden die wichtigsten Anforderungen systematisch dargestellt.

3.1 Governance und Management-Verantwortung: NIS 2 verankert Cybersicherheit explizit als Vorstands- bzw. Geschäftsführungsaufgabe. Geschäftsleitungen wesentlicher und wichtiger Einrichtungen sind verpflichtet, die Einhaltung der Cybersicherheitsmaßnahmen zu überwachen und zu steuern . Ursprünglich sah der EU-Gesetzgeber sogar eine persönliche Haftung der Geschäftsführenden vor; im deutschen Entwurf wurde dies abgeschwächt, doch bleiben zivil- und gesellschaftsrechtliche Innenhaftungsansprüche (z.B. § 93 AktG bei Aktiengesellschaften) bestehen . Praktisch bedeutet dies: Das Top-Management muss sich regelmäßig fortbilden und ausreichende Kenntnisse zu Cyber-Risiken und -Kontrollen erwerben . NIS 2 schreibt Schulungen für die Leitungsebene vor und verlangt, dass Sicherheitsverantwortung nicht einfach delegiert wird . Damit holt die Richtlinie das Thema „IT-Risiko“ endgültig in den Aufsichtsrat und die Geschäftsführung (European Commission, 2023) . Diese Governance-Vorgaben sollen einer „Compliance-Lücke“ vorbeugen: In der Vergangenheit wurden Sicherheitsstandards oft als rein technische IT-Projekte betrachtet, wohingegen NIS 2 nun einen Top-Down-Ansatz fordert. Die Kultur im Unternehmen muss Cybersecurity als Chefsache verankern, inklusive klarer Verantwortlichkeiten (z.B. CISO-Rolle) und regelmäßiger Board-Reports zum Cyber-Risiko (BSI, 2023). Organisatorisch müssen mindestens zwei Sicherheitsbeauftragte benannt werden, ausreichende Ressourcen bereitgestellt und Cybersecurity ins Enterprise Risk Management integriert werden (vgl. DataGuard, 2023) . Diese strengere Governance korrespondiert mit den empfindlichen Bußgeldern: Ignoriert das Management die NIS 2-Pflichten, drohen Strafen bis zu 10 Mio. € bzw. 2 % Umsatz (für wesentliche Einrichtungen) bzw. 7 Mio. €/1,4 % (wichtige Einrichtungen) . Dies schafft einen ähnlichen Druck wie bei Verstößen gegen die DSGVO und macht deutlich, dass Cybersicherheit kein „Kann“, sondern ein klares „Muss“ auf Leitungsebene ist.

3.2 Technische und organisatorische Maßnahmen: Artikel 21 der Richtlinie listet zehn grundlegende Sicherheitsbereiche auf, die alle betroffenen Unternehmen abdecken müssen (NIS 2, 2022) . Diese lassen sich wie folgt zusammenfassen :

  • (a) Risikomanagement-Policy: Einführung von Richtlinien zur regelmäßigen Risikoanalyse und Absicherung der Informationssysteme. Unternehmen müssen ihre spezifischen Bedrohungen identifizieren und ein schriftliches Informationssicherheitskonzept („IS-Richtlinie“) verabschieden.
  • (b) Vorfallsmanagement: Etablierung von Prozessen zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen. Dazu gehören Incident-Response-Pläne, Forensik-Fähigkeiten und ein internes Meldesystem.
  • (c) Geschäftskontinuität: Umsetzung von Business Continuity und Desaster-Recovery-Maßnahmen, etwa regelmäßige Backups, Notfallpläne und Krisenübungen, um die Betriebsfähigkeit auch bei Cyberattacken zu erhalten . Ein formales Notfallmanagement ist vorgeschrieben, inkl. Planung für Worst-Case-Szenarien.
  • (d) Lieferkettensicherheit: Einführung eines Security Supplier Managements. Unternehmen müssen Sicherheitsanforderungen entlang ihrer Lieferkette adressieren . Das betrifft die Beziehung zu Dienstleistern und Zulieferern: Verträge sollten Mindeststandards (z.B. ISO 27001-Zertifizierung oder Prüfberichte) vorsehen, und kritische Lieferanten sind auf Schwachstellen zu überprüfen. Die Richtlinie verlangt explizit, die Qualität der Sicherheitspraktiken jedes direkten Lieferanten zu bewerten und Ergebnisse koordinierter Risikoanalysen (etwa branchenweite „supply chain risk assessments“) zu berücksichtigen .
  • (e) Sicherheit bei Entwicklung/Beschaffung: Gewährleistung von Security-by-Design bei IT-Systemen über deren gesamten Lebenszyklus . Dazu zählen sichere Softwareentwicklung, gründliche Prüfungen vor dem Einsatz neuer Systeme und das Patch- und Vulnerability-Management. Entdeckte Schwachstellen müssen proaktiv gemeldet und behoben werden (siehe auch 3.4).
  • (f) Effektivitätsprüfung: Etablierung von Prozessen zur regelmäßigen Evaluierung der implementierten Sicherheitsmaßnahmen . Dies impliziert interne oder externe Audits, Penetrationstests (sofern angebracht) und Management-Reviews des ISMS. NIS 2 fordert quasi einen kontinuierlichen PDCA-Zyklus: Maßnahmen sind auf Wirksamkeit zu prüfen und bei Bedarf anzupassen.
  • (g) Basale Cyberhygiene & Training: Umsetzung von grundlegenden IT-Sicherheitspraktiken (z.B. regelmäßige Updates, Härtung von Systemkonfigurationen) und umfassende Sensibilisierungsschulungen für Mitarbeiter . Menschliches Fehlverhalten (Phishing, schwache Passwörter) gehört zu den Hauptursachen für Sicherheitsvorfälle; entsprechend schreibt NIS 2 vor, dass alle Beschäftigten regelmäßig geschult werden.
  • (h) Einsatz von Kryptografie: Entwicklung und Umsetzung von Richtlinien zur Nutzung kryptografischer Verfahren . Wo angemessen, sind starke Verschlüsselung und moderne Kryptographie einzusetzen, um Vertraulichkeit und Integrität von Daten sicherzustellen (z.B. Verschlüsselung sensibler Datenbanken, Einsatz von TLS für Kommunikation).
  • (i) Personal- und Zugangssicherheit: Maßnahmen zur personellen Sicherheit (z.B. Hintergrundüberprüfungen bei kritischen Admin-Rollen), strikte Access-Control-Policies (rollenbasierte Rechtevergabe, Need-to-know-Prinzip) sowie Inventarisierung und Schutz von Assets . Praktisch umfasst dies u.a. Multi-Faktor-Authentifizierung (MFA) für wichtige Zugänge, konsequentes Berechtigungsmanagement und Endpoint-Security.
  • (j) Sichere Kommunikation & Notfallkommunikation: Gewährleistung der Sicherheit von Sprach-, Video- und Textkommunikationssystemen im Unternehmen sowie von Notfall-Kommunikationswegen . Dies beinhaltet z.B. verschlüsselte E-Mail/VoIP, abgesicherte Videokonferenzsysteme und redundante Kommunikationskanäle für Krisenfälle.

Der obige Maßnahmenkatalog macht deutlich, dass NIS 2 einen ganzheitlichen Sicherheitsansatz verlangt – von technischen Kontrollen bis zu organisatorischer Verankerung. Unternehmen sollten diese Felder idealerweise in einem integrierten ISMS-Programm bündeln. Es ist bemerkenswert, dass viele der genannten Punkte in Normen wie ISO 27001 schon vorgesehen sind (z.B. Zugangskontrolle, Kryptokonzept, Lieferantenmanagement). Allerdings schreibt NIS 2 diese Punkte verbindlich und teils detaillierter fest (etwa explizite Lieferkettenrisiken oder MFA-Pflicht), sodass bestehende ISMS gegebenenfalls erweitert werden müssen (ENISA, 2023). In Deutschland sind die obigen Anforderungen im Regierungsentwurf § 30 NIS2UmsuCG verankert . Für Betreiber kritischer Anlagen (z.B. große Energieerzeuger) kommen zudem Spezialauflagen wie der Einsatz von Systemen zur Angriffserkennung (Intrusion Detection) hinzu .

3.3 Risikomanagement und Dokumentation: Zentrales Element ist ein lebendiges Risikomanagement. NIS 2 fordert Unternehmen auf, kontinuierlich Risiken zu identifizieren, zu bewerten und zu behandeln. Die Umsetzung erfolgt typischerweise über ein Risiko-Assessment-Prozess als Teil des ISMS. Wichtig ist die Dokumentation: Unternehmen müssen ihre Risikobeurteilungen und die abgeleiteten Maßnahmen angemessen aufzeichnen, um gegenüber der Aufsichtsbehörde nachweisen zu können, dass sie die Risiken verstanden und adressiert haben (vgl. Art. 21(4) NIS 2) . Die Risikoanalyse hat alle Gefahrenquellen zu berücksichtigen („All-Hazard-Ansatz“), also sowohl Cyberattacken als auch physische Risiken wie Feuer oder Stromausfall . Die Richtlinie verlangt außerdem, den menschlichen Faktor systematisch einzubeziehen – beispielsweise durch Betrachtung von Insider-Risiken und Schulungsbedarfen (ENISA, 2022) . Unternehmen sind angehalten, bei ihrem Risk Assessment anerkannte Standards und Methoden zu nutzen. Die Förderung zertifizierter Produkte und Prozesse (z.B. nach EU-Cybersicherheitszertifikaten gemäß Cybersecurity Act) wird ebenfalls erwähnt . Insgesamt liegt der Schwerpunkt auf Proportionalität: Kleine wichtige Einrichtungen sollen nicht überfordert werden, während große kritische Unternehmen umfangreichere Maßnahmen ergreifen müssen . Dieser risikobasierte Zuschnitt erfordert freilich, dass jedes betroffene Unternehmen intern genügend Kompetenz aufbaut, um Cyberrisiken einzuschätzen – ein Prozess, der besonders Mittelständler vor Herausforderungen stellt (siehe Diskussion).

3.4 Meldepflichten (Incident Reporting): Ein markanter Aspekt von NIS 2 sind die verpflichtenden Meldungen von Sicherheitsvorfällen an die Behörden. Artikel 23 NIS 2 definiert ein gestaffeltes Verfahren: Zunächst ist binnen 24 Stunden nach Bekanntwerden eines Vorfalls eine Frühwarnung (Initialmeldung) an das nationale Computer-Sicherheitsnotfallteam (CSIRT) oder die zuständige Behörde abzusetzen . Innerhalb von weiteren 72 Stunden muss dann eine ausführlichere Folgemeldung erfolgen, die die bisher bekannten Details, die Einschätzung des Schweregrads und ggf. technische Indikatoren der Kompromittierung enthält . Spätestens einen Monat nach der ersten Meldung ist ein Abschlussbericht einzureichen, der die Ursache, den Verlauf und die ergriffenen Gegenmaßnahmen dokumentiert . Diese strengen Fristen – deutlich rigider als z.B. die 72-Stunden-Frist der DSGVO für Datenschutzvorfälle – sollen eine frühzeitige Warnung und Informationsweitergabe sicherstellen . Zusätzlich kann das BSI Zwischenberichte einfordern . Auch müssen betroffene Kunden oder die Öffentlichkeit informiert werden, falls dies im Einzelfall angebracht ist . NIS 2 harmonisiert damit EU-weit das Incident Handling und verpflichtet Unternehmen zu einer proaktiven Kommunikation bei erheblichen Cybervorfällen.

In Deutschland konkretisiert § 32 NIS2UmsuCG diese Pflichten und sieht vor, dass Meldungen an das BSI erfolgen . Interessant ist, dass die Umsetzung hier auch vorsieht, dass Vorfälle nicht nur der Behörde, sondern ggf. auch den „betroffenen Dienstempfängern“ (also Kunden/Nutzern) mitgeteilt werden müssen – eine Transparenzpflicht, die über rein regulatorische Belange hinausgeht. Das BSI plant, ein Online-Portal als Meldestelle bereitzustellen . Jedes betroffene Unternehmen muss sich zudem registerieren, d.h. binnen drei Monaten nach Inkrafttreten des Gesetzes seine Stammdaten beim BSI hinterlegen . Eine unterlassene oder verspätete Registrierung stellt bereits eine Ordnungswidrigkeit dar . Insgesamt schaffen diese Melde- und Registrierungspflichten ein engmaschiges Netzwerk an Informationen, das Behörden einen besseren Überblick über die Sicherheitslage ermöglichen soll. Für Unternehmen bedeuten sie aber auch erheblichen Aufwand, da Notfallprozesse und Meldewege intern vorbereitet, ständig aktualisiert und im Ernstfall binnen Stunden aktiviert werden müssen. Ohne entsprechende Incident-Response-Pläne und -Teams ist die Einhaltung kaum möglich – was wiederum den Bedarf unterstreicht, dass auch Mittelständler professionelle Sicherheitsreaktions-Fähigkeiten aufbauen (oder zukaufen) müssen.

3.5 Lieferketten-Sicherheit: Wie oben bei den Maßnahmen (Punkt d) erwähnt, ist die Cybersecurity in der Lieferkette ein zentrales neues Element von NIS 2. Die Richtlinie erkennt an, dass Unternehmen zunehmend von Drittparteien abhängen (Cloud-Anbieter, Software-Zulieferer, Wartungsfirmen etc.) und dass Schwachstellen in dieser Wertschöpfungskette große Auswirkungen haben können. Daher müssen Unternehmen Nachweise und Sicherheitsinformationen von ihren Lieferanten einfordern und diese in das eigene Risikomanagement einbeziehen . Konkret bedeutet dies: z.B. vertragliche Sicherheitsauflagen für IT-Dienstleister, regelmäßige Security-Assessments von Zulieferern (etwa in Form von Fragebögen oder Audits) und Berücksichtigung von Supply-Chain-Risiken in Business-Impact-Analysen. Ein Unternehmen, das unter NIS 2 fällt, soll also nicht nur seine eigene Cyberabwehr stärken, sondern auch die Verlässlichkeit seiner Partner sicherstellen. Dieser „Flow-down“-Effekt bedeutet in der Praxis, dass auch viele nicht direkt regulatorisch erfasste Zulieferer faktisch zur NIS 2-Compliance gedrängt werden . Großunternehmen werden von ihren kleineren Lieferanten Sicherheitszertifikate oder Auditberichte verlangen, um selbst compliant zu bleiben. Eine Studie aus Dänemark etwa prognostiziert, dass mittelbare Anforderungen an Zulieferer – wie neue Fragebögen und Dokumentationspflichten – drastisch zunehmen werden (Lemnitzer & Prockl, 2023) . Für Lieferanten kann dies zu einem Mehrfachaufwand führen: Ein IT-Zulieferer mit zehn Großkunden könnte zehn unterschiedliche Self-Assessment-Fragebögen pro Jahr ausfüllen müssen, was in Summe enorme Ressourcen bindet (Lemnitzer & Prockl, 2023) . Einheitliche Standards für Lieferketten-Security sind noch in Entwicklung, sodass vorerst jedes größere Unternehmen eigene Maßstäbe anlegen dürfte . In Deutschland enthält § 22 NIS2UmsuCG die Möglichkeit, koordinierte Sicherheitsbewertungen kritischer Lieferketten branchenübergreifend durchzuführen – z.B. könnten Behörden für alle Betreiber einer bestimmten Anlage gemeinsame Anforderungen an deren Zulieferer definieren. Insgesamt ist die Message klar: Die Vertrauenswürdigkeit in der Wertschöpfungskette wird zum entscheidenden Kriterium. Für Mittelständler als Zulieferer heißt das, sie müssen ihre Cybersecurity nachweisbar machen, um attraktive Partner zu bleiben. Gleichzeitig eröffnet dies eine Chance: Wer frühzeitig robuste Sicherheitsmaßnahmen implementiert (z.B. eine ISO 27001- oder TISAX-Zertifizierung erwirbt), kann dies als Wettbewerbsvorteil nutzen, da große Auftraggeber diese Reife honorieren (Lemnitzer & Prockl, 2023) .

Zusammenfassend verlangt NIS 2 von betroffenen Unternehmen ein integriertes Sicherheitskonzept: Angefangen bei klarer Zuständigkeit im Management, über ein risikobasiertes Set an technischen und organisatorischen Maßnahmen, bis hin zu transparenter Kommunikation bei Vorfällen und in der Lieferkette. Dieser „Pflichtenkatalog“ ist umfassend und übersteigt oft die bisherigen Praktiken in mittelständischen Firmen. Wie ein typisches Unternehmen damit umgehen kann, zeigt das folgende Praxisbeispiel.

4. Vergleichende Analyse: NIS 2 versus ISO 27001, TISAX und DORA#

Die NIS 2-Richtlinie steht nicht isoliert, sondern reiht sich in ein Gefüge existierender Standards und Regulierungen ein. Im Folgenden wird NIS 2 vergleichend gegenübergestellt mit der ISO/IEC 27001 (dem international führenden ISMS-Standard), dem branchenspezifischen TISAX-Standard der Automobilindustrie und der neuen EU-Regulierung DORA (Digital Operational Resilience Act) für den Finanzsektor. Ziel ist es, Überschneidungen, Unterschiede und die jeweilige regulatorische Logik herauszuarbeiten.

NIS 2 vs. ISO 27001: Die ISO 27001 definiert ein freiwilliges Zertifizierungsframework für Informationssicherheits-Managementsysteme, das branchenübergreifend angewandt wird. Viele Anforderungen überschneiden sich konzeptuell mit NIS 2: Beide verfolgen einen risikobasierten Ansatz, fordern die Umsetzung von Sicherheitskontrollen in Bereichen wie Zugangsverwaltung, Backups, Schulung etc., und verlangen kontinuierliche Verbesserung. Überschneidungen: Studien belegen, dass Unternehmen mit einem etablierten ISO 27001-ISMS bereits einen Großteil der NIS 2-Kontrollen abdecken . Beispielsweise decken ISO 27001/27002-Kontrollen viele der in NIS 2 Artikel 21 genannten Elemente ab (z.B. entspricht ISO-Kontrollbereich A.16 dem Incident Management, A.15 der Lieferantenbeziehungssicherheit usw.). Unterschiede: NIS 2 geht jedoch in einigen Punkten über ISO hinaus. Erstens ist NIS 2 obligatorisch für bestimmte Firmen („Compliance“ statt Freiwilligkeit) und wird von Behörden überprüft – ISO hingegen ist freiwillig und wird durch externe Auditoren geprüft, primär zur Marktanerkennung. Zweitens enthält NIS 2 rechtliche Meldepflichten bei Sicherheitsvorfällen , die in ISO 27001 so nicht vorgesehen sind – ein ISO-27001-konformes ISMS muss interne Vorfallbehandlung haben, aber keine Meldung an Behörden; NIS 2 fordert diese jedoch strikt ein . Drittens adressiert NIS 2 Governance-Aspekte wie Managementhaftung und staatliche Aufsicht, während ISO eher ein Managementprozess ohne externe Sanktionen ist. Auch inhaltlich setzt NIS 2 einige Schwerpunkte, die ISO nur implizit kennt, z.B. die explizite Lieferkettenbetrachtung oder MFA-Pflicht. Die regulatorische Logik unterscheidet sich also: ISO 27001 will flexibel ein angemessenes Schutzniveau durch unternehmensindividuelle Risikoanalyse erreichen, NIS 2 will ein Mindestschutzniveau in der Breite verankern und Scheitern durch Enforcement sanktionieren. Trotzdem ergänzen sich beide: Ein ISO 27001-Zertifikat gilt als geeignetes Mittel, die Erfüllung vieler NIS 2-Pflichten nachzuweisen (European Union Agency for Cybersecurity, 2023) – es ist aber nicht automatisch gleichbedeutend mit NIS 2-Compliance . Unternehmen sollten ISO 27001 als Werkzeug nutzen, um strukturiert die NIS 2-Anforderungen umzusetzen. Nicht umsonst empfehlen Behörden und Beratungen oft, die NIS 2-Umsetzung im Rahmen eines ISMS-Projekts anzugehen (Simpliant, 2024) . Zusammengefasst: ISO 27001 ist die „Baseline“ und kann ~70 % der NIS 2 erfüllen, aber Bereiche wie behördliches Reporting und spezifische regulatorische Vorgaben müssen ergänzend behandelt werden .

NIS 2 vs. TISAX: TISAX (Trusted Information Security Assessment Exchange) ist kein Gesetz, sondern ein Prüf- und Austauschstandard für Informationssicherheit in der Automobilindustrie, entwickelt vom Verband der Automobilindustrie (VDA). Er basiert auf dem VDA-ISA-Anforderungskatalog, der wiederum viele Elemente von ISO 27001 enthält, jedoch zugeschnitten auf Schutz von Prototypen, Datenschutz und Lieferantenaudit im Automotive-Bereich. Überschneidungen: Für ein Automobil-Zulieferunternehmen, das TISAX-zertifiziert ist, sind wesentliche Sicherheitskontrollen (Policy, Zugriff, Laptop-Sicherheit, Lieferantenbewertung etc.) bereits implementiert – somit besteht eine hohe Deckung mit dem, was NIS 2 verlangt . Tatsächlich kommen viele Automotive-Zulieferer durch NIS 2 erstmals unter gesetzliche Pflicht: So zählt z.B. der Maschinenbau/Herstellung von Fahrzeugen explizit zu den erfassten Sektoren (Annex II NIS 2) , wodurch mittelgroße Zulieferbetriebe (ab 50 Mitarbeitern) nun „wichtige Einrichtungen“ werden . In solchen Fällen fungiert TISAX als wertvolle Vorarbeit, um die Compliance zu erreichen. Unterschiede: NIS 2 ist jedoch breiter und sektorunabhängig, während TISAX spezifische Automotive-Themen (z.B. Geheimhaltungsstufen für Prototypen) beinhaltet, die über NIS 2 hinausgehen. Außerdem ist TISAX – analog ISO – freiwillig und von den OEMs als brancheninterne Anforderung etabliert, ohne unmittelbaren staatlichen Zwang. Die regulatorische Logik differiert: NIS 2 will gesellschaftliche Resilienz sicherstellen, TISAX primär Vertrauen zwischen Geschäftspartnern. Dennoch betonen Experten, dass eine TISAX-Zertifizierung ein Unternehmen sehr gut auf NIS 2 vorbereitet, weil alle relevanten Prozesse (Risikoanalysen, regelmäßige Audits, technische Controls) bereits existieren . Nach aktuellen Analysen deckt TISAX praktisch alle NIS 2-Kernanforderungen ab, inkl. Risikomanagement und Lieferantensicherheit (ENX, 2023) . Ergänzt werden müsste in TISAX-orientierten Unternehmen vor allem das Incident-Reporting nach außen sowie ggf. die Formalismen der Behördenkommunikation. Insgesamt lässt sich sagen: NIS 2 und TISAX sind komplementär – Automotive-Zulieferer mit TISAX erfüllen den Geist der NIS 2 bereits zu großen Teilen, müssen aber die formale Gesetzes-Compliance sicherstellen. Unternehmen ohne TISAX in NIS-2-Sektoren sollten erwägen, eine solche Zertifizierung (oder ISO 27001) als Mittel zur Erfüllung der NIS 2-Pflichten einzusetzen. Nicht zufällig empfehlen GRC-Experten, branchenübergreifende und branchenspezifische Standards kombiniert zu nutzen, um den wachsenden Compliance-Anforderungen effizient zu begegnen (Kopexa, 2025).

NIS 2 vs. DORA: Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung von 2022, die speziell den Finanzsektor (Banken, Versicherer, Wertpapierfirmen etc.) betrifft. Während NIS 2 eine Richtlinie ist (d.h. von Mitgliedstaaten in nationales Recht umzusetzen), ist DORA eine unmittelbar gültige Verordnung, die ab Januar 2025 in Kraft tritt. Überschneidungen: Beide Regime zielen darauf ab, die Cyber- und Betriebsresilienz zu stärken und schreiben Risk-Management-Prozesse, Sicherheitsmaßnahmen und Vorfallmeldepflichten vor. Für Finanzunternehmen (die oft sowohl unter NIS 2 als „wesentliche Einrichtungen“ fallen als auch unter DORA) gibt es daher Überschneidungen. Tatsächlich bestimmt NIS 2, dass ihre Pflichten nicht gelten, soweit ein spezialgesetzliches Regime wie DORA „gleichwertige Anforderungen“ stellt . In der Praxis werden Banken primär DORA befolgen, das z.B. Incident Reports an die Finanzaufsicht regelt, und von NIS 2 insoweit freigestellt sein (um Doppelregulierung zu vermeiden) . Unterschiede in Fokus: NIS 2 ist horizontal für viele Branchen gedacht, DORA vertikal für die Finanzindustrie. DORA legt starkes Gewicht auf operative Resilienz, d.h. die Fähigkeit, auch unter Cyberangriffen weiter zu funktionieren. Daher fordert DORA z.B. regelmäßige Resilienz-Tests (z.B. Penetrationstests) für bedeutende Institute, einschließlich Szenarioübungen mit angenommenen Cyberkrisen (Threat-Led Pen Testing) . NIS 2 schreibt solche Tests nicht explizit vor, sondern belässt es bei allgemeinen Wirksamkeitsprüfungen und Governance-Anforderungen . DORA adressiert zudem dediziert die Abhängigkeit von IKT-Drittanbietern im Finanzwesen: Es etabliert ein Überwachungsregime, wo kritische IT-Dienstleister (z.B. Cloud-Anbieter für Banken) einer EU-Aufsicht unterstehen. NIS 2 hingegen verpflichtet zwar Unternehmen, Lieferkettenrisiken zu managen, aber es gibt keine vergleichbare zentrale Überwachung der Lieferanten – hier bleibt die Verantwortung bei den einzelnen Unternehmen. Unterschiede in Reporting: NIS 2 hat – wie beschrieben – sehr enge Fristen (24h/72h/1 Monat) und eine mehrstufige Berichtspflicht an die Cyber-Behörden . DORA verlangt ebenfalls Meldungen von signifikanten ICT-Vorfällen, allerdings sind die genauen Schwellen und Fristen etwas anders gelagert (in der Regel innerhalb von 24 Stunden eine erste Meldung an die Finanzaufsicht, gefolgt von Updates innerhalb weiterer Tage – Details sind durch die ESA-Leitlinien präzisiert). Regulatorische Logik: Man könnte sagen, NIS 2 adressiert die breite kritische Infrastruktur, während DORA „hineinzoomt“ auf den Finanzsektor und dort strengere resilienzorientierte Pflichten implementiert (Nachmany, 2024) . DORA berücksichtigt die Systemrelevanz von Finanzdienstleistungen und das Vertrauen in den Finanzmarkt, weshalb es Aspekte wie Ausfalltests, Backup-Zeiten, Kommunikationspläne mit Kunden bei Störungen etc. detailliert behandelt – all das könnte zwar unter NIS 2 implizit als Teil des Risikomanagements gesehen werden, ist dort aber nicht spezifiziert. Interessant ist, dass Banken und Versicherer im deutschen NIS2UmsuCG weitgehend vom Geltungsbereich wichtiger/besonders wichtiger Einrichtungen ausgenommen wurden und nur unter „kritische Anlagen“ (sofern z.B. als Börseninfrastruktur definiert) fallen . Damit wird klar: In der Finanzbranche hat DORA als Spezialgesetz Vorrang, und NIS 2 dient höchstens als Auffangnetz für Randbereiche. Summarisch: NIS 2 und DORA teilen das Ziel erhöhter Cyberresilienz, NIS 2 jedoch breit und sektorenübergreifend, DORA tiefgehend sektorspezifisch. Unternehmen im Finanzbereich müssen primär DORA-Compliance sicherstellen, sollten aber auch prüfen, ob ergänzend NIS 2-Aspekte relevant bleiben (z.B. für Teile des Unternehmens in anderen Sektoren). Für alle anderen Branchen kann DORA als ein Beispiel gelten, wie sektorielle Regulierungen NIS 2 ergänzen oder übertreffen – ähnliches gilt etwa für die EU-Gesundheitsdatenverordnung in Bezug auf Krankenhäuser.

Zusammengefasst zeigt die vergleichende Analyse, dass NIS 2 kein isoliertes Phänomen ist, sondern Teil eines größeren Geflechts aus Standards und Gesetzen: Unternehmen können dies nutzen, indem sie ihre Compliance-Bemühungen integriert angehen. Ein Unternehmen, das bereits ISO 27001 oder TISAX implementiert hat, verfügt über einen strukturierten Rahmen, um NIS 2-Anforderungen einzubetten . Umgekehrt zielt NIS 2 darauf ab, branchenweit ein Mindestniveau zu verankern – wodurch Standards wie ISO oder TISAX an Bedeutung gewinnen, da sie bei der konkreten Umsetzung helfen. Im Ergebnis entsteht eine Mehrebenen-Governance der Cybersicherheit: freiwillige Best Practices (ISO), branchenspezifische Vorgaben (TISAX, DORA) und horizontale Gesetzespflichten (NIS 2) greifen ineinander. Für Mittelständler ist es entscheidend, hierin Synergien zu finden, statt alles isoliert zu betrachten (Information & Management, 2024).

5. Praxisbeispiel: NIS 2 Umsetzung in einem mittelständischen Maschinenbau-Unternehmen#

Um die Herausforderungen und Lösungsansätze greifbar zu machen, betrachten wir exemplarisch ein mittelständisches Unternehmen aus dem Maschinenbau (ca. 150 Mitarbeiter, 30 Mio. € Umsatz) – ein typischer Zulieferer in der Industrietechnik, der Komponenten an Energieversorger und Automobilhersteller liefert. Dieses Unternehmen war bisher nicht als KRITIS klassifiziert und verfügte zwar über grundlegende IT-Sicherheitsmaßnahmen (Antivirus, Firewall, regelmäßige Backups), aber kein formales ISMS. Mit NIS 2 fällt es nun als „wichtige Einrichtung“ unter die Regulierung, da der Sektor Maschinen- und Anlagenbau in Anlage 2 der Richtlinie aufgeführt ist und die Schwellenwerte (≥50 Mitarbeiter oder ≥10 Mio. € Umsatz) überschritten sind .

Ausgangslage: Die Geschäftsführung ist initial überrascht, dass ihr Betrieb überhaupt betroffen ist – wie vielen anderen Mittelständlern war ihr die Tragweite von NIS 2 nicht bewusst. (Tatsächlich zeigte eine VDMA-Umfrage 2024, dass 24 % der befragten Maschinenbauer annahmen, NIS 2 treffe sie nicht – und lagen damit in 71 % der Fälle falsch .) Nach erster Kontaktaufnahme mit dem BSI und Branchenverband wird klar: Das Unternehmen hat bis spätestens Q1 2025 Zeit, um NIS 2-Compliance herzustellen. Die Führung erkennt das Risiko von Untätigkeit: Neben möglichen Bußgeldern bis 7 Mio. € droht auch der Verlust von Kundenaufträgen, wenn man als unsicherer Partner gilt .

Maßnahmenplanung: Zunächst wird ein internes NIS 2-Projektteam gegründet, geleitet vom IT-Leiter und eingebettet unter Vorstandsschirmherrschaft (CFO übernimmt Sponsor-Rolle). Externe Beratung wird hinzugezogen, um den Reifegrad zu beurteilen (vgl. Empfehlung VDMA) . Eine Gap-Analyse zeigt: Viele technische Grundfunktionen sind vorhanden (z.B. Datensicherungen, Zugriffsrechte), aber es fehlen formale Policies, ein strukturiertes Risikomanagement, geschweige denn ein Vorfall-Meldesystem. Das Projektteam entscheidet, ein ISMS nach ISO 27001 aufzubauen, um einen Rahmen zu haben – mit Unterstützung einer Compliance-Software (z.B. Kopexa), die Vorlagen für Policies und ein zentrales Maßnahmen-Tracking bereitstellt. Damit sollen Redundanzen vermieden werden: dieselben Dokumente und Kontrollen sollen sowohl ISO- als auch NIS 2-Anforderungen bedienen, um den Aufwand gering zu halten (Kopexa Docs, 2025).

Umsetzung der Kernanforderungen: Über 12 Monate werden parallel mehrere Arbeitspakete umgesetzt:

  • Governance: Der Vorstand verabschiedet eine Informationssicherheitsleitlinie, die NIS 2-Pflichten explizit erwähnt. Ein Informationssicherheitsbeauftragter (CISO) wird formal benannt – hier entscheidet man sich, den IT-Leiter in Doppelfunktion einzusetzen, flankiert von einem externen Sicherheitsexperten als Berater. Die Geschäftsführung lässt sich in einem Workshop die Grundlagen von Cyber-Risiken erläutern (Bedrohungslandschaft, Worst-Case-Szenarien). Einem Geschäftsführer wird das Thema Sicherheit als persönliches Ziel in den Bonusplan aufgenommen, um Commitment sicherzustellen.
  • Risikomanagement: Es wird ein Risk Assessment Workshop mit den Fachabteilungen (Produktion, Entwicklung, Verwaltung) durchgeführt. Dabei identifiziert das Team gemeinsam die wichtigsten Geschäftsprozesse (z.B. Steuerungssoftware-Entwicklung, Lieferlogistik) und erhebt die IT-Assets dahinter. Dann werden Gefährdungen und Schwachstellen brainstormt: Vom Szenario „Malware legt Produktionsanlage lahm“ über „Datenleck von Konstruktionszeichnungen“ bis „Zulieferer-Cloud fällt aus“. Für jede Risikokonstellation wird die Eintrittswahrscheinlichkeit und potenzielle Schadensauswirkung bewertet. Das Ergebnis ist ein Risikoregister mit Priorisierung. Anhand dessen leitet man konkrete Maßnahmen ab – z.B. Netzwerksegmentierung und bessere Zugangskontrollen in der Produktions-IT, verstärkte Backup-Offsites, zusätzliche Endpoint-Security für Entwicklerlaptops, und Vereinbarungen mit dem Cloud-Dienstleister über schnelleren Disaster-Recovery. All dies wird in einem dokumentierten Risikobehandlungsplan festgehalten und vom Management freigegeben.
  • Technische Maßnahmen: Die IT-Abteilung implementiert oder verbessert zahlreiche Kontrollen: Einführung von Multi-Faktor-Authentifizierung für Remote-Zugänge und administrative Accounts (eine direkte NIS 2-Forderung) , Rollout einer zentral gemanagten Patch-Management-Software zur Gewährleistung zeitnaher Updates (Cyberhygiene), Härtung der Firewall-Regeln und Implementierung eines Intrusion Detection Systems an kritischen Netzwerkknoten. Zudem werden Notfallübungen abgehalten – man simuliert z.B. einen Ransomware-Angriff, um die Reaktionsfähigkeit zu testen. Schwachstellen in der Kommunikation werden aufgedeckt (wer informiert wen, wo liegen aktuelle Netzpläne etc.) und entsprechende Verbesserungen (Notfallkontakte-Liste, definierter Kommunikationskanal via Notfalltelefon) umgesetzt.
  • Lieferkettenmanagement: Das Unternehmen identifiziert seine kritischen Lieferanten: u.a. einen Cloud-Infrastrukturdienst, einen externen IT-Dienstleister für ERP-Software und zwei Zulieferer für elektronische Komponenten. Es erarbeitet für jeden Key-Lieferanten Mindestanforderungen: Die Dienstleister müssen z.B. jährlich einen Security-Bericht vorlegen oder einen anerkannten Standard (wie ISO 27001 oder TISAX) nachweisen. Neue Verträge werden dahingehend ergänzt. Außerdem integriert man die Lieferanten in das Incident-Response-Konzept: Sollte der Cloud-Provider einen Sicherheitsvorfall haben, muss er das Unternehmen unverzüglich informieren (Vertragsklausel für wechselseitige Meldung). Der Einkauf richtet ein Zulieferer-Assessment ein: einmal pro Jahr werden definierte Fragen zur IT-Sicherheit an wichtige Lieferanten verschickt und ausgewertet. Hier zeigt sich praktische Unterstützung durch die GRC-Plattform: Der gesamte Prozess kann digital abgebildet werden, inkl. Nachverfolgung der Antworten und automatischer Risiko-Scores.
  • Meldewege und CSIRT-Einbindung: Das Unternehmen richtet eine interne 24/7-Rufbereitschaft in der IT ein, damit potenzielle Vorfälle sofort bewertet werden können. Es wird definiert, was als „erheblicher Sicherheitsvorfall“ gilt (Anhaltspunkt: Ausfall zeitkritischer Prozesse > xx Stunden, Datenverlust > xxx Datensätze etc.). Bei Eintreten eines solchen Falles muss der IT-Leiter innerhalb von 24 Stunden das BSI informieren. Man übt dieses Procedere in der Theorie. Das BSI stellt zum Glück mittlerweile ein Online-Formular bereit, das im Testlauf genutzt wird. Ebenso wird festgelegt, wer die 72-Stunden-Berichte schreibt (die IT-Abteilung in Abstimmung mit PR und Recht). Die Template-Berichte werden vorbereitet, um im Ernstfall Zeit zu sparen. Parallel meldet sich das Unternehmen fristgerecht im neuen BSI-Portal als betroffene Einrichtung an und hinterlegt die Ansprechpartner .
  • Dokumentation und Nachweisführung: Alle oben genannten Maßnahmen und Policies werden dokumentiert: Das ISMS-Handbuch wird gepflegt, und man erstellt ein NIS 2-Compliance-Dossier mit Querverweisen, welche internen Controls welche NIS 2-Forderung erfüllen. Die GRC-Software unterstützt hierbei durch eine Mapping-Funktion (z.B. wird angezeigt, dass die eingeführte Zugangsrichtlinie die Anforderung aus § 30 NIS2UmsuCG „Zugangskontrolle, MFA“ abdeckt). Somit ist das Unternehmen für einen möglichen Audit durch das BSI gerüstet. Nach deutschem Recht müssen zwar wichtige Einrichtungen zunächst keine regelmäßigen Nachweisaudits einreichen , doch kann das BSI im Anlassfall Prüfungen verlangen . Das Unternehmen plant perspektivisch, eine ISO 27001-Zertifizierung anzustreben – teils um Kundenvertrauen zu stärken, teils um für NIS 2 gerüstet zu sein, falls ein externer Audit gefordert wird.

Herausforderungen: Während der Umsetzung zeigen sich einige Schwierigkeiten. Zum einen erfordert die Etablierung der Prozesse eine Kulturänderung: Anfangs besteht Widerstand im Entwicklungs-Team gegen restriktivere Zugriffsrechte und zusätzliche Sicherheitschecks („bremst die Produktivität“). Durch Workshops und klare Unterstützung der Geschäftsleitung kann jedoch Akzeptanz geschaffen werden – die Vorteile werden betont (z.B. Schutz des geistigen Eigentums, Vermeidung von Produktionsausfällen). Zum anderen sind Ressourcen knapp: Das Unternehmen musste einen Informationssicherheits-Manager einstellen, da die Aufgaben das bisherige Personal überfordern. Fachkräfte sind allerdings rar; als Übergangslösung greift man auf einen externen Dienstleister zurück, der auch als externer CISO fungiert. Die Kosten der Umsetzung (Beratung, Tools, personeller Aufwand) summieren sich auf einen niedrigen sechsstelligen Euro-Betrag. Dies ist für einen Mittelständler signifikant und erfordert Umwidmung im Budget. Allerdings wird erkannt, dass viele Aufwendungen einmalig sind (z.B. Initialschulung aller Mitarbeiter, Einrichtung der Systeme) und künftig geringere laufende Kosten anfallen. Eine weitere Herausforderung ist die Komplexität der Lieferkettenanforderungen: Viele Zulieferer, an die man Anforderungen stellt, sind selbst kleine Mittelständler und reagieren unterschiedlich – einige zeigen proaktiv Zertifikate, andere sind unsicher, was gefordert wird. Hier agiert das Unternehmen auch als Multiplikator und unterstützt seine Lieferanten mit Info-Material (vom Verband bereitgestellt), um das gemeinsame Ziel zu erreichen.

Erste Erfolge und Lessons Learned: Nach etwa einem Jahr intensiver Arbeit berichtet das Unternehmen intern bereits von positiven Nebeneffekten. Die IT-Ausfallzeiten haben sich reduziert, da präventive Maßnahmen (Patchen, Monitoring) greifen. Die Versicherungskosten für Cyber-Versicherung konnten gesenkt werden, weil der Versicherer die verbesserten Sicherheitsmaßnahmen honoriert. Ein wichtiger Großkunde lobte explizit die proaktive Herangehensweise und verzichtete auf ein eigenes Sicherheitsaudit, da er die vorhandene ISO 27001-Nachweisdokumentation akzeptierte. Dies unterstreicht: NIS 2-Compliance kann Wettbewerbsvorteile bringen. Zudem fühlt sich die Geschäftsführung deutlich sicherer in ihrer Verantwortung – man hat das vage Risiko „Cyber“ in konkrete Pläne überführt, was auch haftungspräventiv beruhigend wirkt.

Dieses Praxisbeispiel demonstriert, dass NIS 2 im Mittelstand umsetzbar ist, aber systematisches Vorgehen erfordert. Ein integriertes GRC-System – in diesem Fall unterstützt durch die Plattform Kopexa – hat geholfen, den Überblick zu behalten und den Aufwand zu reduzieren, indem Dokumentation, Aufgabenmanagement und Compliance-Mapping in einem Tool zusammenliefen. Gerade für Mittelständler ohne große Rechtsabteilung sind solche Plattformen ein Game Changer, um 80 % manuellen Aufwand zu sparen (Kopexa, 2025) . Das Beispielunternehmen steht nun gut da, plant aber bereits die nächsten Schritte (z.B. jährliche Notfallübungen und Feinjustierung des ISMS). Es hat verstanden, dass Cybersicherheit kein einmaliges Projekt, sondern ein kontinuierlicher Prozess ist – ganz im Sinne sowohl der NIS 2 als auch der ISO 27001.

6. Diskussion: Gründe für die Unterschätzung von NIS 2, Auswirkungen und Synergien#

Obwohl NIS 2 umfassende Pflichten mit sich bringt, zeigt sich in Umfragen und der betrieblichen Praxis, dass viele Unternehmen die eigene Betroffenheit unterschätzen . Woran liegt das? Ein zentraler Grund ist sicherlich die fehlende Wahrnehmung, Teil der „kritischen Infrastruktur“ zu sein. Im allgemeinen Sprachgebrauch wurden bisher nur Sektoren wie Strom, Wasser, Gesundheit etc. als kritisch angesehen. Ein mittelständischer Maschinenbauer oder ein Chemieunternehmen mit 100 Mitarbeitern sah sich selbst nicht in dieser Rolle – und ist nun überrascht, durch NIS 2 doch erfasst zu sein (BVMW, 2024). Die Erweiterung auf „wichtige Einrichtungen“ ab 50 Mitarbeitern hat zur Folge, dass tausende Mittelständler erstmals unter Cyberaufsicht fallen . Diese Änderung wurde zwar öffentlich kommuniziert, ging aber in der breiten Wahrnehmung teils unter, zumal viele Firmen mit anderen Krisen (Pandemie, Energiepreise) beschäftigt waren. Hinzu kommt, dass NIS 2 eine Richtlinie ist: Solange das nationale Umsetzungsgesetz nicht in Kraft war, herrschte Unsicherheit („Kommt das wirklich? Ab wann genau?“). Einige Unternehmen haben wohl auf Klarheit gewartet – und die Dringlichkeit dadurch unterschätzt, bis die Umsetzungsfrist 2024 verstrich (vgl. Simpliant, 2024) .

Ein weiterer Grund ist das Komplexitäts- und Kostenargument. Mittelständische Geschäftsführer fürchten umfangreiche Bürokratie und hohe Investitionen. NIS 2 wird manchmal als „IT-Grundrecht für Mittelstand“ mit großem Aufwand angesehen, was zu einer Abwehrhaltung führen kann. Gerade Unternehmen ohne dedizierte IT-Security-Abteilung neigen dazu, das Thema zu verdrängen, da ihnen Know-how und personelle Ressourcen fehlen (Lemnitzer & Prockl, 2023) . Es besteht die Gefahr einer „Box-Ticking“-Mentalität: Einige Firmen könnten versucht sein, nur formal Dokumente zu produzieren, ohne echten Sicherheitsgewinn, um den Pflichten scheinbar zu genügen . Dies wäre allerdings kurzsichtig, da im Ernstfall mangelhaft implementierte Maßnahmen auffliegen und Strafen nach sich ziehen würden.

Ökonomische und organisatorische Auswirkungen: Die Umsetzung von NIS 2 erfordert zunächst Investitionen – in Technik (z.B. Security-Lösungen, Monitoring-Systeme), in Personal (Schulung, evtl. neue Stellen) und in externe Beratung. Gerade für KMU kann dies spürbar sein. Allerdings sind diese Ausgaben auch eine Investition in die Resilienz: Ein größerer Cybervorfall (Produktionsstillstand, Datendiebstahl) könnte weit höhere Kosten verursachen. Studien und Erfahrungen zeigen, dass die Kosten-Nutzen-Bilanz mittelfristig positiv ist, da Effizienzgewinne und Risikoreduktion greifen (vgl. Kopexa ESG-Studie, 2025) . Organisatorisch zwingt NIS 2 Unternehmen dazu, Silos aufzubrechen: IT, Recht, Management und Fachabteilungen müssen enger zusammenarbeiten, um Sicherheitsprozesse zu etablieren. Dies kann interne Reibungsverluste anfangs erhöhen, führt langfristig aber zu einer professionalisierteren Organisation, in der Security by Design Teil der Unternehmenskultur wird. Positiv ist auch der Aspekt der Reputation: Ein Unternehmen, das nachweislich NIS 2-konform ist, signalisiert Zuverlässigkeit. In Lieferbeziehungen kann dies zum entscheidenden Kriterium werden – man spricht von einem „Cybersecurity Trust Label“ im B2B-Kontext. Eine Unterschreitung dieser Norm kann umgekehrt geschäftsschädigend sein, wenn Kunden abwandern, weil sie Sicherheitssorgen haben (Mustaca, 2025).

Warum wird NIS 2 dennoch unterschätzt? Neben Unwissenheit spielt möglicherweise auch eine Überschneidung mit existierenden Programmen eine Rolle: Viele Mittelständler haben bereits ISO 9001 (Qualitätsmanagement) oder ISO 27001 eingeführt. Deren Verantwortliche könnten irrtümlich annehmen, dass damit alles Erforderliche getan sei. Doch wie gezeigt, deckt ISO 27001 nur ~70 % der NIS 2-Pflichten , insbesondere Behördenmeldungen, Registrierungen oder spezifische Governance-Aspekte müssen zusätzlich bedacht werden. Die Komplexität verschiedener Regimes (DSGVO, IT-SiG 2.0, branchenspezifische Standards) führt leicht zu Verwirrung, was genau für wen gilt. Ohne gezielte Informationskampagnen – die inzwischen etwa vom BSI, Branchenverbänden (VDMA, Bitkom) und Initiativen wie Mittelstand-Digital laufen – bleibt die Dringlichkeit diffus. Erst wenn erste aufsichtsrechtliche Maßnahmen greifen (z.B. Anhörungsschreiben vom BSI oder Bußgelder gegen prominente Unternehmen), dürfte die breite Masse die Bedeutung erkennen. Diese „Lernphase“ war bei der DSGVO ähnlich zu beobachten.

Synergien mit anderen Frameworks: Trotz anfänglicher Überforderung bietet NIS 2 auch Chancen zur Konsolidierung von Compliance-Bemühungen. Unternehmen können NIS 2 nutzen, um bestehende Managementsysteme auszubauen: Wer z.B. schon ISO 9001 (Qualität) und ISO 27001 (Security) verfolgt, kann die NIS 2-Umsetzung in diesen Rahmen integrieren und somit Mehrwert generieren, der über bloße Compliance hinausgeht. Viele Maßnahmen (Riskomanagement, Lieferantenaudits, interne Audits) helfen ja nicht nur für NIS 2, sondern stärken auch Datenschutz (DSGVO fordert „Stand der Technik“-Sicherheit), Qualitätsziele (reduzierte Ausfallrisiken) und IT-Governance insgesamt. Besonders die Verzahnung mit Business Continuity Management (z.B. ISO 22301) ist sinnvoll: NIS 2 verlangt Notfallvorsorge – Unternehmen können direkt ein BCM-Projekt anstoßen und so zwei Fliegen mit einer Klappe schlagen. Ebenso lässt sich TISAX in der Automobilindustrie als NIS 2-Erfüllungsgehilfe nutzen, wie oben beschrieben. Die Aufwände für Audits und Dokumentation lassen sich senken, wenn man integrierte GRC-Tools einsetzt, die Mehrfachanforderungen simultan abbilden. So berichtet etwa die Kopexa GmbH, dass Nutzer ihrer Plattform Anforderungen aus ISO 27001, DSGVO und NIS 2 parallel managen und dadurch Fragmentierung vermeiden (Kopexa, 2025) . Die Diskussion mit Auditoren zeigt, dass bei Vorliegen einer ISO 27001-Zertifizierung die Prüfer geneigt sind, NIS 2-Compliance anzuerkennen – d.h. es entsteht ein Compliance-Paket, das Unternehmen effizienter bearbeiten können.

Nicht zuletzt hat NIS 2 einen kulturellen Wandel im Mittelstand angestoßen: Cybersicherheit wird immer weniger als lästige IT-Aufgabe und immer mehr als Chefthema und integraler Teil der Unternehmensführung begriffen. Dieser Wandel hin zu „Cyber GRC“ (Governance, Risk & Compliance in der IT) schafft langfristig robustere, resiliente Unternehmen, was auch volkswirtschaftlich wünschenswert ist. Die Kosten gemeinsamer Standards tragen letztlich zur Stärkung des Wirtschaftsstandorts bei, indem systemische Risiken reduziert werden. In der Finanzbranche etwa argumentiert man, dass DORA/NIS 2 das Vertrauen in digitale Dienste erhöht und so sogar Innovation begünstigt, weil ein sicheres Umfeld geschaffen wird (EU-Kommission, 2023) . Übertragen auf den Mittelstand kann die NIS 2-Konformität ein Qualitätssiegel werden, das deutsche und europäische Zulieferer von weniger regulierten Wettbewerbern (z.B. aus Drittstaaten) positiv abhebt.

7. Fazit: Zusammenfassung, Handlungsempfehlungen und Ausblick#

NIS 2„die unterschätzte Pflicht für Mittelstand und Zulieferer“ – entpuppt sich bei genauer Betrachtung als wichtiger Impulsgeber für die Cyber-Resilienz unserer Wirtschaft. Die Richtlinie 2022/2555 zwingt eine weitaus größere Anzahl von Unternehmen als früher, sich systematisch mit IT-Risiken auseinanderzusetzen und Mindeststandards einzuhalten. Im Zuge dieses Artikels haben wir den wissenschaftlich-regulatorischen Hintergrund beleuchtet, die Pflichten im Detail aufgefächert und im Vergleich zu bestehenden Standards verortet. Es zeigte sich, dass NIS 2 in neutral-akademischer Betrachtung stringent und logisch aufgebaut ist: Ein risikobasierter, ganzheitlicher Sicherheitsansatz mit staatlichem Durchsetzungsmechanismus. Die Pflichten reichen von Governance (Schulungen, Haftung der Leitung) über technische Controls (MFA, Kryptografie) bis hin zu prozessorientierten Aufgaben (Meldungen, Lieferantenmanagement) – ein breites Programm, das jedoch in sich konsistent und an internationalen Best Practices orientiert ist.

Die Analyse verdeutlichte auch, warum diese Pflicht vielfach unterschätzt wurde: Psychologisch, weil viele Mittelständler sich nicht als „kritisch“ wahrnahmen; organisatorisch, weil der Dschungel an Vorschriften unübersichtlich ist; und ökonomisch, weil Aufwände gefürchtet wurden. Allerdings liegen in der NIS 2-Umsetzung große Chancen. Unternehmen, die proaktiv handeln, profitieren von höherer IT-Stabilität, Vertrauen ihrer Kunden und Vermeidung von Schadenskosten. Die Synergien mit ISO 27001, TISAX, IT-Sicherheitsgesetz 2.0 und Co. können genutzt werden, um keinen doppelten Aufwand zu treiben, sondern mit einem integrierten GRC-Ansatz mehrere Compliance-Ziele gleichzeitig zu erreichen.

Handlungsempfehlungen: Für IT- und Compliance-Verantwortliche in mittelständischen Unternehmen ergibt sich ein klarer Fahrplan:

  1. Scope und Relevanz klären: Prüfen Sie umgehend, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gemäß NIS 2 einzustufen ist (Sektor und Schwellenwerte). Im Zweifel bei Branchenverbänden oder Behörden nachfragen. Unterschätzen Sie Ihre Betroffenheit nicht – die Erfahrung zeigt, dass viele vermeintlich „Unbetroffene“ doch unter die Richtlinie fallen .
  2. Management Buy-In sichern: Stellen Sie das Thema auf Führungsebene vor. Nutzen Sie Fakten (Anwendungsbereich, Bußgelder , Vergleich mit DSGVO-Wirkung) um Dringlichkeit zu untermauern. Klären Sie Verantwortlichkeiten (z.B. Bestimmung eines NIS 2-Projektleiters) und sensibilisieren Sie die Geschäftsleitung für ihre Pflichten (ggf. mittels kurzer Schulung zu NIS 2).
  3. Gap-Analyse durchführen: Vergleichen Sie den aktuellen Stand Ihres Informationssicherheits-Managements mit den NIS 2-Anforderungen (Abschnitt 3 oben). Identifizieren Sie Lücken bei Policies, technischen Maßnahmen, Incident-Response, Lieferantenverträgen etc. Hierbei helfen die Unterlagen des BSI (Checklisten ) oder der Rückgriff auf ISO 27001 Controls als Benchmark.
  4. Ressourcen planen: Erstellen Sie einen Umsetzungsplan mit Zeitschiene bis 2024/25. Berücksichtigen Sie, welche externen Ressourcen nötig sind (Beratung, Audits) und intern (evtl. Einstellung eines ISMS-Managers). Budgetieren Sie die erforderlichen Investments in Technologie (z.B. Security-Tools, Monitoring) – bedenken Sie dabei, dass manche Ausgaben förderfähig sein könnten (es gibt staatl. Förderprogramme für IT-Sicherheit im Mittelstand).
  5. ISMS aufbauen oder ausweiten: Setzen Sie auf anerkannte Standards, um strukturiert vorzugehen. Wenn noch nicht vorhanden, etablieren Sie ein ISMS – dies kann pragmatisch mit ISO 27001 begonnen werden, auch ohne sofortige Zertifizierung. Wichtig ist, dass alle relevanten Prozesse definiert und dokumentiert werden (Policy-Entwicklung, Risk Assessment, Schulungen, Auditplan, kontinuierliche Verbesserung). Nutzen Sie wo möglich Automatisierung: Eine integrierte GRC-Plattform wie Kopexa kann viel manuellen Aufwand abnehmen, indem sie z.B. Risiko-Tools, Dokumentation und Reporting in einem System vereint . Dies reduziert Fehler und beschleunigt die Umsetzung.
  6. Quick Wins identifizieren: Einige NIS 2-Maßnahmen lassen sich relativ schnell umsetzen und zeigen Wirkung. Beispielsweise Multi-Faktor-Authentifizierung für kritische Zugänge einführen, regelmäßige Backup-Tests durchführen, Incident Response Team benennen und Notfallkontakte definieren. Solche Quick Wins erhöhen sofort die Sicherheit und schaffen intern Momentum für das Projekt.
  7. Lieferanten einbinden: Beginnen Sie früh, Ihre wichtigsten Dienstleister und Zulieferer über die kommenden Anforderungen zu informieren. Passen Sie Verträge bei nächster Gelegenheit an (Sicherheitsklauseln). Vielleicht können Sie gemeinsam mit anderen Firmen Ihrer Branche Anforderungen abstimmen, um den Lieferanten nicht widersprüchliche Vorgaben zu machen. Transparenz und Kooperation in der Lieferkette zahlen sich hier aus – denken Sie daran, dass auch Ihre Kunden ähnliches von Ihnen erwarten werden.
  8. Schulungen & Awareness: Schaffen Sie ein Bewusstsein bei Ihren Mitarbeitern. Starten Sie obligatorische Security-Awareness-Trainings (ggf. e-Learning-Angebote nutzen). Machen Sie klar, dass Cybersicherheit Teil der Verantwortung jedes Einzelnen ist. Nur mit einer informierten Belegschaft können Prozesse wie Incident-Meldungen oder Hygienevorgaben funktionieren.
  9. Kontinuierlich überwachen und verbessern: Setzen Sie Indikatoren (KPIs) für Ihre Cybersecurity (z.B. Zeit bis zur Schließung einer Schwachstelle, Phishing-Klickrate in Tests, Anzahl erkannter Angriffsversuche) und berichten Sie diese regelmäßig ans Management. NIS 2-Compliance ist kein einmaliger Zustand, sondern erfordert laufende Pflege. Richten Sie einen Zyklus ein (z.B. quartalsweise ISMS-Review), um neue Risiken oder Änderungen (etwa Updates der Gesetzeslage) zu berücksichtigen.

Durch diese Schritte wird NIS 2 vom abstrakten Regulierungsthema zu einem konkreten Fahrplan für bessere Sicherheit in Ihrem Unternehmen. Gerade Mittelständler sollten NIS 2 nicht als Bürde, sondern als Chance zur Modernisierung begreifen: Wer jetzt handelt, verbessert nicht nur die Compliance, sondern auch die eigene Robustheit gegen die sehr realen Cybergefahren unserer Zeit.

Ausblick: Die Umsetzung von NIS 2 wird in den kommenden Jahren in allen EU-Staaten weiter Gestalt annehmen. Man kann erwarten, dass die Aufsichtsbehörden ab 2025 verstärkt Kontrollen durchführen und erste Präzedenzfälle (Strafzahlungen, Verwarnungen) auftreten. Dies wird weitere Unternehmen aus ihrer möglichen Lethargie wecken. Gleichzeitig arbeitet die EU an ergänzenden Regelwerken (z.B. der Cyber Resilience Act für Produktsicherheit von IT-Geräten), welche das Ökosystem noch umfassender regeln. Für Wissenschaft und Praxis ergeben sich interessante Fragen: Wie effektiv wird NIS 2 tatsächlich die Sicherheitslage verbessern? Welche best practices entstehen bei der Umsetzung in KMU? Und wie lässt sich die Harmonisierung in Europa vorantreiben, damit Unternehmen nicht 27 unterschiedliche Auslegungen bedienen müssen? Initiativen wie der NIS Cooperation Group und ENISA-Leitfäden sind hier vielversprechend (ENISA, 2025) .

Für mittelständische Unternehmen und Zulieferer heißt das Fazit: NIS 2 ist eine Pflicht, aber eine machbare und sinnvolle. Wer sie unterschätzt, riskiert Compliance-Verstöße und gefährdet seine Geschäftsbeziehungen. Wer sie jedoch ernst nimmt und strategisch umsetzt, kann sich als Vorreiter in Sachen Cybersicherheit positionieren – ein Status, der in einer digital vernetzten Wirtschaft zunehmend zur Kernanforderung wird. Kopexa als Compliance-Plattform begleitet bereits viele dieser Unternehmen auf dem Weg und trägt dazu bei, dass der deutsche Mittelstand nicht nur „pflichtgemäß“ reagiert, sondern im Bereich Governance, Risk & Compliance zum Thought Leader avanciert. Die unterschätzte Pflicht von heute kann so zum Wettbewerbsvorteil von morgen werden.

NIS2: unterschätzte Pflicht für Mittelstand und Zulieferer | Kopexa