Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 für KMU und Handwerk

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu KMU und Handwerk.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Ihre IT ist nicht „zu klein“ für NIS2. Sie ist nur zu knapp besetzt.

Viele Mittelständler und Handwerksbetriebe arbeiten mit einem gefährlichen Irrtum: „Wir haben doch eine Firewall. Das reicht doch, oder?“ Nein. Eine Firewall ist kein Risikomanagement. Kein Nachweis. Keine belastbare Compliance.

Das eigentliche Problem ist nicht Technik. Es ist der Flickenteppich aus Legacy-Altlasten, fehlender Dokumentation, unklaren Zuständigkeiten und Ressourcenmangel. Genau dort setzt NIS2 an.

Was NIS2 für KMU und Handwerksbetriebe bedeutet

NIS2 verlangt keine Hochglanz-IT-Abteilung. Aber NIS2 verlangt nachweisbare Kontrolle.

Als Orientierungspunkt aus dem regulatorischen Kontext gilt sinngemäß: Die Umsetzung und Dokumentation von Risikomanagementmaßnahmen ist eine zentrale Anforderung. Ohne systematische Dokumentation können weder Nachweise gegenüber Aufsichtsbehörden geführt noch Verbesserungen im Sicherheitsniveau belastbar nachgewiesen werden.

Übersetzt aus dem Behördenjargon:

  • Sie müssen wissen, welche Risiken in Ihrer IT bestehen.
  • Sie müssen belegen können, welche Maßnahmen Sie dagegen umgesetzt haben.
  • Sie müssen dokumentieren, wer verantwortlich ist.
  • Sie müssen zeigen, dass Maßnahmen regelmäßig geprüft und verbessert werden.

Das betrifft nicht nur Konzerne. Auch KMUs können unter NIS2 fallen, wenn sie in relevanten Sektoren tätig sind, kritische Lieferketten bedienen oder bestimmte Größen- und Tätigkeitsmerkmale erfüllen.

Der gefährliche Punkt: Unwissen schützt die Geschäftsführung nicht. Wenn ein Vorfall eintritt und keine saubere Dokumentation existiert, wird aus einem IT-Problem sehr schnell ein Haftungsproblem.

Warum generische ISO-Pakete in KMUs oft nicht greifen

Viele Anbieter verkaufen Ihnen ISO-27001-Folien, 80-seitige Richtlinienpakete und abstrakte Managementsysteme.

Das klingt professionell. In vielen KMUs ist es ein Papier-Tiger.

Denn Ihr Problem ist nicht, dass Ihnen ein weiteres Template fehlt. Ihr Problem ist:

  • Niemand pflegt die Dokumente.
  • Niemand prüft die Backups wirklich.
  • Admin-Konten laufen ohne MFA.
  • Patch-Management passiert „wenn Zeit ist“.
  • Lieferantenzugänge sind historisch gewachsen.
  • Werden Verantwortlichkeiten nur mündlich geklärt, ist der Nachweis im Prüf- oder Incident-Fall regelmäßig schwierig.

Eine neue Firewall löst das nicht. Ein ISO-Handbuch im SharePoint löst das auch nicht.

In der Praxis zeigt sich: NIS2 scheitert in KMUs selten an fehlenden Konzepten. Es scheitert an Umsetzung, Nachweisfähigkeit und durchgehender Pflege.

Sie brauchen keinen Enterprise-Overhead. Sie brauchen ein belastbares Mindestprogramm, das funktioniert, auch wenn Ihr IT-Team klein ist.

Prüfpunkte für ein belastbares NIS2-Mindestprogramm

  1. Risikoinventar in 48 Stunden erstellen: Listen Sie die geschäftskritischen Systeme auf. Nicht alles. Nur das, was Ihr Unternehmen lahmlegt: ERP, E-Mail, Zeiterfassung, Produktionssysteme, Kundendaten, Backup-Systeme, VPN, Domäne, Cloud-Dienste. Ergänzen Sie pro System: Verantwortlicher, Dienstleister, Ausfallfolge, Schutzmaßnahme. Das ist Ihr erster NIS2-Nachweis.

  2. Die 5 Mindestmaßnahmen technisch durchsetzen: Starten Sie nicht mit Strategie-Workshops. Setzen Sie harte Kontrollen um:

    • MFA für alle Admins, VPN- und Cloud-Zugänge
    • 3-2-1-Backup mit regelmäßigem Restore-Test
    • Patch-Management mit fester Frist für kritische Updates
    • Admin-Konten trennen von normalen Benutzerkonten
    • Notfallkontaktliste und Incident-Ablaufplan für Sicherheitsvorfälle

    Diese fünf Punkte sind nicht optional. Sie sind die Basis, um gegenüber Geschäftsführung, Kunden und Behörden überhaupt argumentieren zu können.

  3. Nachweise statt Bauchgefühl schaffen: Legen Sie einen einfachen Compliance-Ordner an. Kein Monster-ISMS. Ein belastbarer Arbeitsnachweis. Enthalten sein müssen:

    • Risikoinventar
    • Backup-Protokolle und Restore-Tests
    • Patch-Reports
    • MFA-Status
    • Lieferantenliste mit IT-Zugriffen
    • Incident-Prozess
    • Verantwortlichkeiten der Geschäftsleitung und IT

Wenn Sie diese Nachweise nicht haben, existieren Ihre Maßnahmen im Ernstfall praktisch nicht. Dann bleibt nur Behauptung. Und Behauptung ist vor Aufsichtsbehörden, Versicherern und Kunden schwach.

Checkliste: NIS2-Mindestprogramm für KMU und Handwerk

Die Checkliste unterstützt dabei, relevante NIS2-Handlungsfelder für kleinere und mittlere Unternehmen zu strukturieren: welche technischen Mindestmaßnahmen sinnvoll sind, welche Nachweise intern aufzubauen sind und wie eine belastbare Grunddokumentation aussehen kann. Sie bietet eine erste Orientierung und ersetzt keine rechtliche oder IT-sicherheitsbezogene Einzelfallprüfung.

Verwandte Seiten

NIS2 für Lebensmittelindustrie und KMU

Einordnung für Lebensmittelproduzenten und KMU zu NIS2-Betroffenheit als wichtige Einrichtung und Anforderungen an die Produktionssicherheit.

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.