„NIS‑2? Das betrifft doch die Großen, nicht uns.“
Diesen Satz höre ich gerade oft. In der Praxis zeigt sich etwas anderes: Es trifft Zulieferer, verarbeitende Betriebe und IT‑Dienstleister – also genau den Mittelstand.

Die NIS‑2‑Richtlinie und das deutsche Umsetzungsgesetz (NIS2UmsuCG) weiten den Kreis deutlich aus. Mehr Sektoren, strengere Anforderungen und ein klarer Fokus auf die Lieferkette. Spürbar wird das nicht im Gesetzestext, sondern im Alltag: in neuen Verträgen, Security‑Fragebögen und Nachweispflichten.

Wenn du die Grundlagen und mögliche Umsetzungswege kompakt sehen möchtest, findest du auf der Seite NIS‑2 für Unternehmen einen Überblick über Ansatz, Leistungen und typische Projektformen.

Schwellen, Sektoren und was das für dein Unternehmen bedeutet

Formal unterscheidet NIS‑2 zwischen „wesentlichen“ und „wichtigen“ Einrichtungen.

• Wesentliche Einrichtungen: zum Beispiel Energie, Verkehr, Gesundheit, öffentliche Verwaltung.

• Wichtige Einrichtungen: unter anderem verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft, digitale Dienste.

Ab etwa 50 Mitarbeitenden oder 10 Mio. Euro Umsatz/Bilanzsumme solltest du genauer hinsehen. Je nach Branche kann es auch früher relevant werden. Entscheidender ist deine Rolle: Wenn deine Kunden NIS‑2‑pflichtig sind, nehmen sie dich automatisch in die Verantwortung.

Was ich bei mittelständischen Unternehmen häufig sehe:

• Maschinenbau und Zulieferer: landen schneller im NIS‑2‑Radar, als ihnen bewusst ist.

• IT‑Dienstleister und Systemhäuser: häufig nicht direkt reguliert, aber sicherheitskritischer Teil der Infrastruktur ihrer Kunden.

Nicht der Gesetzestext entscheidet, ob du liefern musst, sondern die Anforderungen deiner wichtigsten Kunden.

Wenn dir an dieser Stelle schon klar wird, dass IT‑Sicherheit mehr ist als „Firewall und Antivirus“, findest du in IT‑Security im Alltag einen kompakten Überblick, wie ein stabiles Sicherheitsfundament für KMU aussieht.

Die Zulieferer‑Falle: Zwei Szenen aus dem Alltag

Maschinenbau im Schatten kritischer Infrastruktur

Ein Maschinenbauer mit rund 150 Mitarbeitenden liefert seit Jahren Komponenten an Netzbetreiber. Lange war das Thema NIS‑2 dort kein Gespräch. Mit einem neuen Rahmenvertrag ändert sich das.

Plötzlich stehen dort Anforderungen wie:

• MFA für alle Remote‑Zugriffe

• ein dokumentiertes Backup‑ und Recovery‑Konzept

• definierte Reaktionszeiten und Meldewege bei Sicherheitsvorfällen

• regelmäßige Nachweise zur Informationssicherheit

Im Vertrag steht nicht „Du musst NIS‑2 erfüllen“. Faktisch ist aber klar: Ohne ein bestimmtes Sicherheitsniveau wird der Auftrag schwierig zu halten. Auf dem Papier mag der Betrieb „nur“ als wichtig oder indirekt betroffen gelten. In der Realität entscheidet die Sicherheit mit über die Lieferbeziehung.

IT‑Dienstleister als verlängerte Angriffsfläche

Ein IT‑Dienstleister mit 20 bis 30 Mitarbeitenden betreut unter anderem ein Unternehmen aus der Entsorgungsbranche und einen Lebensmittelhersteller. Beide bewegen sich klar im NIS‑2‑Umfeld.

Die Folge sind neue vertragliche Regelungen:

• verbindliche Patch‑Zyklen

• definierte Reaktionszeiten bei Incidents

• Protokollierung und Nachweis von Admin‑Zugriffen

• MFA als Standard für kritische Konten

Der Dienstleister steht nicht direkt im Fokus der Aufsicht, ist aber für Angreifer ein attraktiver Einstiegspunkt. Entsprechend verlangen die Kunden, dass seine eigenen Prozesse das geforderte Sicherheitsniveau abbilden. Nicht als Zusatz, sondern als Voraussetzung.

Warum das keine reine Technikfrage ist, sondern eine Führungsfrage, vertiefe ich im Beitrag IT‑Security ist Chefsache.

Die 10 Mindestanforderungen im Klartext

Du musst keine Norm im Detail kennen. Entscheidend ist, die zentralen Bausteine sauber zu bearbeiten.

1. Risikomanagement

Klarheit, welche Systeme und Prozesse kritisch sind, welche Ausfälle weh tun und wo du zuerst handeln musst.

2. Incident Response

Ein einfacher, nachvollziehbarer Ablaufplan für Sicherheitsvorfälle: wer informiert wird, wer entscheidet und wie dokumentiert wird.

3. Backups und Wiederherstellung

Getrennte, geschützte Backups und regelmäßige Wiederherstellungstests. Nicht nur sichern, sondern nachweislich zurückspielen können.

4. Sicherheit in der Lieferkette

Kriterien für Cloud‑Dienste, Hoster, Wartungsfirmen und IT‑Partner. Nicht jeder Dienstleister passt zu jeder Kritikalität.

5. Schulung und Sensibilisierung

Regelmäßige, pragmatische Schulungen zu Phishing, Passwörtern und Meldewegen. Einmal im Jahr ist ein realistischer Anfang.

6. Verschlüsselung

Schutz für mobile Geräte, Datenträger, Backups und Datenübertragungen. Ziel ist, dass verlorene Geräte nicht automatisch ein Vorfall sind.

7. Zugriffskontrolle

Rollen, Rechte und saubere Austrittsprozesse. Ehemalige Mitarbeitende sollten keine aktiven Zugänge haben.

8. Kryptografie‑Management

Schlüssel, Zertifikate und Passwörter werden zentral und strukturiert verwaltet, nicht verstreut über Dateien und Köpfe.

9. Multi‑Factor‑Authentication (MFA)

MFA für Admin‑Konten, Remote‑Zugriffe und kritische Anwendungen ist heute Standard. Ohne diesen Schritt wirkt Informationssicherheit schnell lückenhaft.

10. Sichere Kommunikation

Absicherung von Remote‑Zugängen, Admin‑Schnittstellen und sensibler Kommunikation, zum Beispiel über VPN und geeignete Protokolle.

Wer diese Punkte strukturiert angeht, liegt fachlich nah an gängigen Standards wie ISO 27001 und ist deutlich stabiler gegenüber Prüfungen und Anfragen.

IT‑Sicherheit im Alltag aufräumen
In IT‑Security im Alltag zeige ich dir, wie wir diese zehn Punkte Schritt für Schritt so aufsetzen, dass sie zum Betrieb passen – ohne Normen‑Overkill.

Geschäftsführerhaftung: Warum Wegschauen riskant ist

NIS‑2 macht Informationssicherheit ausdrücklich zur Aufgabe der Unternehmensleitung. Es reicht nicht, das Thema „bei der IT aufzuhängen“.

Für die Geschäftsführung bedeutet das:

• Sie muss ein angemessenes Sicherheitsniveau einführen und überwachen – und zwar nachvollziehbar.

• Sie braucht regelmäßige, verständliche Informationen zum Sicherheitsstand, nicht nur einzelne Projektberichte.

• Bleiben offensichtliche Mindeststandards wie Backups, MFA oder grundlegende Prozesse dauerhaft unberücksichtigt und es kommt zu einem Vorfall, kann das auch persönlich relevant werden.

Es geht nicht um Perfektion. Es geht um eine erkennbare, strukturierte Verantwortung.

Warum das keine Angstbotschaft ist, sondern eine Frage guter Führung, erkläre ich ausführlicher im Artikel IT‑Security ist Chefsache.

Drei Fragen für den Schnell‑Check

Diese drei Fragen geben dir in wenigen Minuten ein erstes Bild:

1. Sektor und Rolle

Arbeitest du in einem der NIS‑2‑Sektoren oder lieferst du dorthin, zum Beispiel in Energie, Verkehr, Gesundheit, Abfall, Lebensmittel, verarbeitende Industrie, öffentliche Hand oder digitale Dienste?

2. Größe und Bedeutung

Liegt dein Unternehmen über 50 Mitarbeitenden oder über 10 Mio. Euro Umsatz/Bilanzsumme – oder bist du in deiner Nische ein typischer „Hidden Champion“?

3. Kundendruck

Hast du in den letzten 12 Monaten Security‑Fragebögen, zusätzliche Sicherheitsklauseln oder explizite Nachfragen zu IT‑Sicherheit und Zertifikaten von Kunden erhalten?

Wenn du zwei dieser Fragen mit „Ja“ beantwortest, lohnt es sich, NIS‑2 nicht als Randthema zu behandeln.

Nächster Schritt: Klarheit statt Bauchgefühl

Für viele Unternehmen ist der sinnvollste erste Schritt ein strukturierter Selbstcheck.
Genau hier setzt der Kurzcheck „NIS‑2: Sind Sie betroffen?“ an: 15 Fragen, drei Seiten, etwa zehn Minuten Zeitaufwand. Danach ist klarer, ob du eher entspannt bleiben kannst, ob du indirekt liefern musst oder ob NIS‑2 dein Unternehmen direkt betrifft.

NIS‑2 Selbstcheck herunterladen
15 Fragen, 3 Seiten, 10 Minuten: Du siehst, ob und wie NIS‑2 dein Unternehmen betrifft – inklusive einer kurzen Empfehlung, was in den nächsten 90 Tagen sinnvoll ist.