Praxis
NIS2 für den Mittelstand: was wirklich gefordert wird
Was NIS2 von mittelständischen Unternehmen konkret verlangt. Die zehn Mindestmaßnahmen aus § 30 BSIG in praktischer Übersetzung, ohne Berater-Jargon.
Die NIS2-Richtlinie ist in deutsches Recht umgesetzt, das BSI-Gesetz enthält die zehn Mindestmaßnahmen nach § 30 BSIG. So weit die formale Lage. Für mittelständische Unternehmen stellt sich die Frage: Was bedeutet das konkret für unseren Betrieb?
Dieser Artikel übersetzt die zehn Mindestmaßnahmen aus § 30 BSIG in praktische Schritte für Unternehmen mit 50 bis 1.000 Mitarbeitern. Wer einen Überblick zu NIS2 als Ganzem sucht, findet das im Artikel Was ist NIS2?.
Die zehn Maßnahmen aus § 30 BSIG in der Praxis
1. Risikoanalyse und Sicherheitskonzepte
Im Gesetz: Konzepte zur Bewältigung von Risiken für die Sicherheit von Informationssystemen.
In der Praxis: Ein dokumentiertes Risiko-Register, in dem die für Ihr Unternehmen relevanten Risiken aufgeführt, bewertet (Eintrittswahrscheinlichkeit, Schadensschwere) und mit Gegenmaßnahmen verknüpft sind. Aktualisierung mindestens jährlich, anlassbezogen bei wesentlichen Änderungen.
2. Bewältigung von Sicherheitsvorfällen
Im Gesetz: Behandlung von Sicherheitsvorfällen einschließlich Erkennung, Analyse, Eindämmung und Reaktion.
In der Praxis: Ein schriftlicher Vorfallsprozess mit folgenden Inhalten: Definition was ein Sicherheitsvorfall ist, Meldewege (intern und gegenüber BSI), Verantwortlichkeiten, Eskalationsstufen, Dokumentation. Plus mindestens eine Tabletop-Übung pro Jahr.
3. Aufrechterhaltung des Betriebs
Im Gesetz: Backup-Management, Notfallwiederherstellung, Krisenmanagement.
In der Praxis: Eine Backup-Strategie, die regelmäßig getestet wird (nicht nur eingerichtet ist), plus ein Business-Continuity-Plan für die kritischen Geschäftsprozesse. Das BCP sollte nach ISO 22301 strukturiert sein, auch wenn keine Zertifizierung angestrebt wird.
4. Sicherheit der Lieferkette
Im Gesetz: Sicherheitsrelevante Aspekte der Beziehung zu Lieferanten und Dienstleistern.
In der Praxis: Eine Liste der kritischen Lieferanten (IT-Dienstleister, Cloud-Anbieter, externe Entwickler) mit Sicherheitsbewertung. Standardklauseln zur Informationssicherheit in den Verträgen. Audit-Recht bei kritischen Lieferanten. Diese Anforderung ist neu für viele Mittelständler und unterschätzt.
5. Sicherheit in Entwicklung, Beschaffung und Wartung
Im Gesetz: Sicherheit in der Entwicklung, Beschaffung und Wartung von Netz- und Informationssystemen.
In der Praxis: Sicherheitsanforderungen werden bei IT-Beschaffung definiert (Vergabe-Checklisten). Bei eigener Software-Entwicklung gelten Standards wie Secure Coding, Code-Review, Schwachstellen-Scan. Auch Patch-Management gehört hierhin.
6. Bewertung der Wirksamkeit
Im Gesetz: Konzepte zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen.
In der Praxis: Kennzahlen, die zeigen, ob die Maßnahmen wirken. Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Patch-Quote, Phishing-Klickraten, Backup-Wiederherstellungs-Erfolg. Mindestens vierteljährliche Berichterstattung an die Geschäftsleitung.
7. Cyberhygiene und Schulungen
Im Gesetz: Grundlegende Verfahren der Cyberhygiene und Schulungen im Bereich Cybersicherheit.
In der Praxis: Regelmäßige Schulungen für alle Mitarbeiter (mindestens jährlich), spezialisierte Schulungen für Administratoren und Entwickler, Schulung der Geschäftsleitung (Pflicht nach § 38 BSIG, persönliche Verantwortung). Phishing-Simulationen sind eine etablierte Methode zur Wirksamkeitsmessung.
8. Kryptografie und Verschlüsselung
Im Gesetz: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.
In der Praxis: Eine Kryptografie-Richtlinie, die festlegt: welche Daten verschlüsselt werden (in Transit, at Rest), welche Algorithmen und Schlüssellängen, wie Schlüssel verwaltet werden. Verschlüsselung von Mobilgeräten, E-Mail-Verschlüsselung für sensible Kommunikation, Festplattenverschlüsselung.
9. Personalsicherheit und Zugangskontrolle
Im Gesetz: Personalsicherheit, Konzepte für die Zugriffskontrolle und Asset-Management.
In der Praxis: Onboarding (Hintergrund-Check bei sensitiven Rollen, Vertraulichkeitsvereinbarungen, Berechtigungs-Provisionierung). Berechtigungs-Konzept mit Need-to-know-Prinzip. Offboarding (sofortige Entzug der Berechtigungen, Rückgabe von Geräten). Asset-Inventar (welche Hardware, welche Software, welcher Owner).
10. Mehrfaktor-Authentifizierung
Im Gesetz: Einsatz von Lösungen zur Multi-Faktor-Authentifizierung und sichere Kommunikation.
In der Praxis: MFA für alle administrativen Zugänge (zwingend), MFA für externe Zugriffe (VPN, Cloud-Dienste, Webmail), MFA für privilegierte Konten in Anwendungen. Vorzug für Hardware-Token oder Authenticator-Apps gegenüber SMS-OTP.
Drei häufige Missverständnisse im Mittelstand
”Wir sind zu klein für NIS2”
Wenn Sie 50 bis 249 Mitarbeiter haben und mehr als zehn Millionen Euro Umsatz, sind Sie wahrscheinlich betroffen, sofern Sie in einem der achtzehn Sektoren tätig sind. Die Sektoren-Liste ist breit und umfasst neben offensichtlichen Branchen (Energie, Wasser, IT) auch Lebensmittel, verarbeitendes Gewerbe, Maschinenbau, Chemie, Forschung und mehr.
”Wir haben ISO 27001, das reicht”
ISO 27001 ist ein guter Backbone, aber nicht NIS2-äquivalent. Die Lieferketten-Sicherheit (§ 30 Nr. 4 BSIG), die Schulung der Geschäftsleitung (§ 38 BSIG) und die spezifischen Meldefristen sind in ISO 27001 nicht vorgegeben. Sinnvoll ist die Kombination, nicht der Ersatz.
”Das macht alles die IT”
NIS2 ist eine Pflicht der Geschäftsleitung, nicht der IT-Abteilung. § 38 BSIG verlangt persönliche Schulung und persönliche Haftung der Geschäftsleitung. Wer die Verantwortung an die IT delegiert und sich nicht selbst auseinandersetzt, kann sich im Schadensfall nicht entlasten.
Was Sie in 90 Tagen erreichen können
Drei realistische Ziele für die ersten drei Monate:
- Bestandsaufnahme. Welche der zehn Maßnahmen sind bereits umgesetzt, dokumentiert und auditierbar? Welche Lücken bestehen?
- Quick-Wins. MFA für Administratoren einführen (Tage), Vorfallsprozess schriftlich festlegen (eine Woche), Geschäftsleitung-Schulung organisieren (zwei Wochen).
- Roadmap. Welche der verbleibenden Lücken werden in den nächsten sechs, zwölf, vierundzwanzig Monaten geschlossen, mit welchen Ressourcen?
Unser NIS2-Quick-Check liefert Schritt 1 und Schritt 3 in fünf Werktagen.
Quellen
- BSI-Gesetz, insbesondere §§ 30, 31, 32, 33, 38
- NIS2-Richtlinie (EU 2022/2555)
- BSI, Handreichungen zu NIS2 (
www.bsi.bund.de) - ISO 27001:2022 als kompatible Norm für ISMS-Backbone
- ISO 22301 für Business Continuity
Häufige Fragen
Was Sie noch wissen wollen
Reicht für NIS2 ein ISMS nach ISO 27001?
Ein ISMS nach ISO 27001 deckt einen großen Teil der NIS2-Anforderungen ab, aber nicht alle. Insbesondere die Lieferketten-Sicherheit nach § 30 Nr. 4 BSIG, die persönliche Schulung der Geschäftsleitung nach § 38 BSIG und die spezifischen Meldepflichten gehen über ISO 27001 hinaus. Sinnvoll ist die Kombination: ISO 27001 als Backbone, NIS2-spezifische Ergänzungen darüber.
Brauchen wir einen Chief Information Security Officer (CISO)?
NIS2 verlangt keinen CISO mit dieser Bezeichnung. Sie verlangt aber eine verantwortliche Rolle für Informationssicherheit, klar benannt, mit ausreichenden Ressourcen und mit direktem Zugang zur Geschäftsführung. Im Mittelstand kann das eine ergänzende Aufgabe einer bestehenden Rolle sein, sofern Zeit und Kompetenz reichen.
Wie umgeht man Doppelarbeit mit DSGVO und ISO 27001?
Indem die Themen integriert behandelt werden. Ein Risiko-Register kann gleichzeitig DSGVO, NIS2 und ISO 27001 dienen. Ein Vorfallsprozess kann DSGVO-Meldepflichten und NIS2-Meldepflichten parallel abdecken. Lieferantenklauseln können DSGVO Art. 28 (Auftragsverarbeitung) und NIS2 § 30 Nr. 4 (Lieferketten-Sicherheit) verbinden.
Welche Maßnahmen sollten zuerst greifen?
Drei Quick-Wins für die ersten dreißig Tage: Erstens eine Rolle für Informationssicherheit benennen und der Geschäftsleitung als Berichtsgegenstand zuweisen. Zweitens den Vorfallsprozess schriftlich festlegen und die 24/72-Stunden-Meldefristen einarbeiten. Drittens die mehrfaktorielle Anmeldung für alle administrativen Zugänge einführen.
Über den Autor
Patrick Devosse
Co-CEO, SecureStay Solutions UG
Über zehn Jahre Felderfahrung in Sicherheits-Auditierung und Compliance-Beratung. Co-Entwickler der S3-Methode und der zugehörigen Software-Werkzeuge Gemba Walk und S3:Analytics.
LinkedIn-Profil →