IT-Strategie

NIS2: Was die EU-Richtlinie für mittelständische Unternehmen konkret bedeutet

Michael Scharf Michael ScharfGründer & Geschäftsführer, Prometheus Consulting GmbH 23. September 2025 3 Min. Lesezeit
NIS2: Was die EU-Richtlinie für mittelständische Unternehmen konkret bedeutet

Cybersicherheit war lange eine freiwillige Disziplin — mit der NIS2-Richtlinie macht die EU sie für einen großen Teil der Wirtschaft zur Pflicht. Betroffen sind nicht mehr nur Kraftwerke und Banken, sondern auch Maschinenbauer, Lebensmittelproduzenten, Logistiker, Entsorger und viele Zulieferer ab 50 Mitarbeitenden oder zehn Millionen Euro Umsatz. Wer bisher dachte, das Thema betreffe nur kritische Infrastruktur, sollte jetzt genauer hinsehen.

Was NIS2 verlangt

Der Kern der Richtlinie ist ein Katalog von Mindestmaßnahmen für das Risikomanagement: Konzepte zur Risikoanalyse, Vorfallsbehandlung und Business Continuity, Sicherheit der Lieferkette, Verschlüsselung, Zugriffskontrolle und Multi-Faktor-Authentifizierung sowie regelmäßige Schulungen — ausdrücklich auch für die Führungsebene. Dazu kommen Meldepflichten mit sportlichen Fristen: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden erstgemeldet und binnen 72 Stunden detailliert berichtet werden.

Die Geschäftsführung haftet persönlich

Die vielleicht wichtigste Neuerung steht nicht im Maßnahmenkatalog: NIS2 verpflichtet die Leitungsorgane, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen — und sieht bei Verstößen eine persönliche Verantwortlichkeit vor. Cybersicherheit lässt sich damit nicht mehr vollständig an die IT-Abteilung oder einen Dienstleister delegieren. Sie wird zur Governance-Aufgabe, vergleichbar mit Arbeitssicherheit oder Datenschutz.

Pragmatisch starten: drei Prioritäten

Erstens Betroffenheit klären: Fällt das Unternehmen unter die Richtlinie — direkt oder als Teil der Lieferkette eines betroffenen Kunden? Zweitens eine Gap-Analyse: Welche der geforderten Maßnahmen existieren bereits, welche nur auf dem Papier, welche gar nicht? Ein etabliertes Rahmenwerk wie ISO 27001 oder der BSI-Grundschutz liefert dafür die Struktur. Drittens einen Umsetzungsplan mit Reihenfolge nach Risiko: Multi-Faktor-Authentifizierung, Backup-Härtung und ein geübter Incident-Response-Prozess bringen mehr reale Sicherheit als jedes Zertifikat an der Wand.

Compliance als Nebenprodukt guter Sicherheit

Unsere Erfahrung aus Projekten: Wer NIS2 als reine Dokumentationsübung angeht, zahlt doppelt — einmal für Papier, einmal beim ersten echten Vorfall. Sinnvoller ist der umgekehrte Weg: ein funktionierendes Sicherheitsniveau aufbauen und die geforderten Nachweise daraus ableiten. So entsteht Compliance als Nebenprodukt, nicht als Selbstzweck.

Fazit

NIS2 verschiebt Cybersicherheit vom Kann zum Muss — mit klaren Pflichten und persönlicher Verantwortung der Führung. Der richtige Zeitpunkt für die Standortbestimmung ist jetzt. Wir begleiten Sie von der Betroffenheitsanalyse bis zur Umsetzung: Sprechen Sie uns an.

Teilen
Weiterlesen

Verwandte Artikel

Nächster Schritt

Sprechen wir über Ihr Vorhaben.

Ob Digitalisierung, Individualsoftware oder Prozessoptimierung: In einem unverbindlichen Erstgespräch klären wir, wo Ihr größter Hebel liegt — konkret und ohne Verkaufsfolien.

Kanalstr. 47-51, 12357 Berlin Mo–Fr 09:00 – 18:00 Uhr ISO 9001 orientiert · Seit 2018