NIS-2 umsetzen (Teil 2): der pragmatische Fahrplan für den Mittelstand

NIS-2-Serie · Teil 2 · Umsetzung

NIS-2 umsetzen (Teil 2): der pragmatische Fahrplan für den Mittelstand

Sie wissen, dass Sie betroffen sind. Jetzt zählt nur eine Frage: Wie fange ich an — ohne mich in Katalogen und Tools zu verlieren?

Die Zeit der Ausreden ist vorbei. „Bei uns ist doch nie etwas passiert“ trägt nicht mehr — die Schadenssummen sprechen eine andere Sprache, und NIS-2 macht Handeln zur Pflicht. Die gute Nachricht: Der Einstieg ist weniger Raketenphysik als Hausaufgabe. Er beginnt nicht mit Technik, sondern mit einer Entscheidung.

Warum jetzt: 289 Milliarden Gründe

Laut dem Bitkom-Wirtschaftsschutzbericht entsteht der deutschen Wirtschaft jährlich ein Schaden von rund 289 Milliarden Euro — über 70 % davon durch Cyberangriffe. Diese Zahl ist das Ergebnis bisherigen Risikomanagements. Sie zeigt: Cybersicherheit kostet zunächst Geld und bringt scheinbar keines — bis ein Vorfall die Rechnung präsentiert, der das Unternehmen im schlimmsten Fall nicht überlebt.

Schritt für Schritt: der Fahrplan

01  Chefsache-Entscheidung treffen — „Wir machen das jetzt.“ Dieser Satz der Geschäftsleitung ist der eigentliche Enabler. Ohne ihn scheitern die meisten Projekte.

02  Das richtige Team an den Tisch holen — Fachabteilungen, Compliance, bei Bedarf Recht. NIS-2 ist kein reines IT-Thema — es ist organisatorisch, vertraglich und technisch.

03  Das eigene Unternehmen kennenlernen — Welche Geschäftsprozesse gibt es? Mit welchen Assets werden sie betrieben, welche Abhängigkeiten bestehen? Daraus entsteht ein dokumentiertes Lagebild der Ist-Situation.

04  Gefährdungen identifizieren — Die elementaren Gefährdungen des BSI (vom Feuer bis zum Entwenden von Informationen) gegen das eigene Lagebild halten — und prüfen, wie man jeder begegnet.

05  Maßnahmen ableiten und ein ISMS aufbauen — Aus den Lücken werden konkrete, angemessene Maßnahmen — strukturiert in einem Informationssicherheits-Managementsystem.

Das eigene Unternehmen kennen — die eigentliche Hürde

Eine Risikobetrachtung setzt voraus, dass man sein Unternehmen kennt — und genau daran scheitern die meisten Organisationen. Sie kennen ihre Prozesse nicht, ihre Abhängigkeiten nicht und wissen nicht, was passiert, wenn ein System ausfällt, verfälscht oder nicht mehr verfügbar ist. Das BSI hilft mit einem Katalog elementarer Gefährdungen. Man prüft, welche davon auf die eigene Organisation zutreffen, und überlegt konkret, wie man ihnen begegnet. So entsteht Schritt für Schritt ein belastbares Gefühl für die eigene Gefährdungslage.

Das ISMS: Methodik vor Werkzeug

Ein Informationssicherheits-Managementsystem (ISMS) klingt nach großem Apparat, ist aber zunächst eine Methodik. Man kann es mit Papier und Bleistift beginnen, mit Tabellen oder Textverarbeitung. Es gibt unzählige Anbieter von ISMS-Software — doch die Frage nach dem Werkzeug kommt zuletzt. Erst braucht es ein Gefühl für den eigenen Betrieb, denn nicht jede Anwendung passt zu jeder Größe und jedem Bedürfnis. Wer aus der Welt der ISO 27001 oder ISO 37301 kommt, ist hier im Vorteil — wer nicht, findet beim BSI einen vollständig ausgestatteten Werkzeugkasten.

Budget: die 20-Prozent-Faustregel

BSI und Bitkom empfehlen, rund 20 % des IT-Budgets für IT-Sicherheit bereitzuhalten. In der Praxis folgt darauf oft ein ernüchterndes Eingeständnis: „Wir haben gar kein IT-Budget.“ Dann lautet die erste Aufgabe schlicht — budgetieren. Erst mit einem Budget lässt sich am Markt gezielt fragen: Was brauche ich, was mache ich selbst, was kaufe ich ein? Ohne Budget bleibt Sicherheit Zufall.

Cyber- und D&O-Versicherung: Kompass und Falle zugleich

Eine Cyber- oder D&O-Versicherung ersetzt kein Risikomanagement — im Gegenteil: Die Risikomanagement-Maßnahmen aus NIS-2 werden zur neuen Checkliste der Versicherer. Wer den Antrag leichtfertig ausfüllt, erlebt im Schadenfall eine böse Überraschung, denn dann prüfen Gutachter sehr genau, ob die Realität dem Angekreuzten entspricht. Zugleich sind genau diese Fragebögen ein wertvoller Kompass für die eigene Standortbestimmung:

✓  „Führen Sie regelmäßig Schwachstellentests durch?“ — Tun wir das? Und was genau heißt das?

✓  „Halten Sie Ihre Infrastruktur durch regelmäßige Updates aktuell?“ — Wo stehen wir konkret?

✓  Jede Antragsfrage ist eine Mindestanforderung — und damit eine Lücke, die Sie schließen sollten.

Wichtig: D&O-Versicherungen decken nicht alles — Ausschlüsse sind die Regel. Die Versicherung ist eine flankierende Komponente, kein Ersatz dafür, sich auf den Weg zu machen.

Der Keller-Effekt: Aufräumen lohnt sich doppelt

Wie bei der DSGVO gilt: Unternehmen lernen, ihren Keller aufzuräumen. Wer Licht anmacht, sieht Dinge. In den Audits zeigt sich das drastisch — in drei von fünf Unternehmen laufen Systeme, die niemand mehr kennt und deren Zweck keiner benennen kann. Das Aufräumen schafft Transparenz, deckt tote Lizenzen auf, spart Kosten und macht die Organisation schlanker und zukunftsfähiger. Sicherheit ist hier nicht nur Kostentreiber, sondern Effizienzgewinn.

„IT-Sicherheit ist das unsexyste Produkt der Welt: Wenn man den Job richtig macht, passiert genau nichts. Deshalb braucht es Kennzahlen, die den Wert sichtbar machen — und Führungskräfte, die das Warum verstehen.“

— Torben Bues, Informationssicherheits-Auditor

Risikoappetit: Sicherheit heißt nicht null Risiko

Ein oft missverstandener Punkt zum Schluss: Es geht nicht darum, jedes Risiko auf null zu reduzieren — das verlangt auch die DSGVO nicht. Gefragt sind angemessene Maßnahmen. Entscheidend ist, dass die Geschäftsleitung ihren Risikoappetit kennt und klare Risikoakzeptanzkriterien definiert: In welchen Bereichen ist ein Restrisiko für uns in Ordnung? Diese Frage zu beantworten, gehört zur Schulung der Geschäftsführung dazu.


In Zusammenarbeit mit

KSB Intax · Verträge sind das Fundament

Bevor Sie einen IT- oder datenbezogenen Vertrag abschließen, sollte er geprüft werden: Welche Sicherheits- und Schulungsleistungen liefert Ihr Dienstleister, und ist das vertraglich fixiert? Die Fachanwältin für IT-Recht Isabel Bulender und das Team der Kanzlei KSB Intax begleiten genau diese Lieferketten- und Vertragsfragen, die NIS-2 in den Mittelpunkt rückt.

Zur Kanzlei →
BSI Bundesamt für Sicherheit in der Informationstechnik

Weiterführende Informationen

IT-Grundschutz & elementare Gefährdungen

Der IT-Grundschutz des BSI liefert die Methodik, die elementaren Gefährdungen und konkrete Bausteine, mit denen Sie Ihr ISMS strukturiert aufbauen — vom Lagebild bis zur Maßnahme.

Zum BSI-Artikel →

Kostenloser Selbsttest

NIS-2-Betroffenheits-Check (PDF)

Prüfen Sie in vier Schritten selbst, ob und in welchem Umfang NIS-2 Ihr Unternehmen erfasst — mit Auswertungsmatrix, Pflichtenüberblick und den wichtigsten Fristen auf einen Blick.

Betroffenheits-Check herunterladen (PDF) ↓

Das ganze Gespräch ansehen

 

Video laden

Mit dem Laden bauen Sie eine Verbindung zu YouTube (Google, USA) auf; dabei werden Daten übertragen. Erst nach Ihrem Klick wird das Video geladen.

Wissen Kompakt mit KSB Intax: NIS-2 in der Praxis — der technische Teil mit Torben Bues, Teil 2.

Zum Hintergrund: Warum NIS-2 die Geschäftsführung persönlich in die Pflicht nimmt und welche Haftung droht, lesen Sie im ersten Teil: NIS-2 (Teil 1) — wenn die Geschäftsführung persönlich haftet.

NIS-2 strukturiert angehen — statt Löcher stopfen

Wir begleiten den Weg vom ersten Lagebild bis zum gelebten ISMS — pragmatisch, in Ihrem Tempo und auf Ihr Unternehmen zugeschnitten. Starten Sie mit einem unverbindlichen Gespräch.