Illustration Absmeier foto freepik

Noch nicht Gesetz – aber längst relevant: Zwar hat sich in Deutschland die Überführung der EU-Cybersicherheits-Richtlinie NIS2 in nationales Recht verzögert, dennoch ist es nur eine Frage der Zeit. Entsprechend wächst der Handlungsdruck für Unternehmen – insbesondere im Mittelstand. Wer sich heute schon vorbereitet, schützt nicht nur seine IT-Systeme, sondern den Fortbestand des Unternehmens.

Über 27.000 kleine und mittlere Unternehmen in Deutschland stehen vor einer enormen Herausforderung: Sobald das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland in Kraft tritt, sind sie zu umfassenden Cybersicherheitsmaßnahmen verpflichtet – unabhängig von den Ressourcen ihrer IT-Abteilung. In vielen mittelständischen Unternehmen ist IT zwar organisatorisch vorhanden – doch oft fehlen hier die Mittel und es mangelt an klar definierten Rollen für Cybersicherheit, Compliance oder Meldeprozesse. Nicht zuletzt deshalb ist es entscheidend, dass die Geschäftsführung Verantwortung übernimmt – und NIS2 nicht als reines IT-Projekt abtut, sondern als das begreift, was es ist: eine strategische Führungsaufgabe.

Warum Handlungsdruck besteht

Im ersten Halbjahr 2026 rücken insbesondere kleine und mittlere Unternehmen verstärkt in die öffentliche Wahrnehmung – meist nach massiven Cyberangriffen, die teils existenzbedrohende Folgen haben werden. Vielerorts stellt sich dann die Frage: »Wie konnte das nur passieren?« Die Antwort liegt in drei zentralen Faktoren: Erstens nimmt die Zahl der Cyberangriffe kontinuierlich zu, während der Mittelstand zunehmend ins Visier von Cyberkriminellen rückt. Laut dem Cyberbedrohungsbericht von Yarix, der Cyber-Security-Marke der Var Group, betrafen über 80 Prozent der im Jahr 2024 registrierten Ransomware-Angriffe Unternehmen im KMU-Segment [1]. Zweitens unterschätzen viele Betriebe die reale Bedrohungslage und wiegen sich in trügerischer Sicherheit. Und drittens fehlt häufig eine realistische Einschätzung der eigenen IT-Sicherheitssituation und der verfügbaren personellen wie strukturellen Ressourcen. »Doch gerade im Ernstfall kommt es auf schnelle Reaktionen an – und die erfordern eine belastbare IT-Infrastruktur, klar definierte Zuständigkeiten und einen durchdachten Notfallplan«, erklärt Hartmut Mersch, Geschäftsführer von Yarix im DACH-Raum.

Mittelstand im Dilemma: Die Lücke zwischen Anforderungen und Realität

In mittelständischen Betrieben gibt es zwar häufig IT-Verantwortliche oder externe Dienstleister – aber keine spezialisierten Security-Teams, keine standardisierten Prozesse für Vorfallmeldungen und keine klare Governance für Cybersicherheit. Aufgaben sind oft auf mehrere Schultern verteilt, Zuständigkeiten unklar, Maßnahmen situativ. Dazu kommt, dass die IT-Anforderungen kontinuierlich wachsen, während die internen Ressourcen oft auf dem gleichen Niveau bleiben.

So gelingt NIS2 trotz begrenzten IT-Ressourcen

Trotz dieser Herausforderungen gibt es pragmatische Wege, wie auch Unternehmen mit unterbesetzten IT-Abteilungen die NIS2-Anforderungen erfüllen können. Der effektivste Ansatz ist die Zusammenarbeit mit spezialisierten Managed Security Service Providern (MSSP), die über das notwendige Know-how und die Ressourcen verfügen. Zum Leistungsspektrum eines MSSPs gehören typischerweise ein Security Operations Center (SOC) sowie Managed Detection und Response (MDR). Das SOC fungiert als Sicherheitsleitstelle und bietet kontinuierliche Sicherheits- und Compliance-Überwachung sowie Bedrohungserkennung, -analyse und -reaktion. Ein MDR-Dienst konzentriert sich hauptsächlich auf Bedrohungserkennung und -reaktion – meist standardisiert, endpunktnah und kosteneffizient. Beide Dienste ergänzen sich und lassen sich je nach Bedarf kombinieren.« Ein externer Sicherheitsdienstleister bringt nicht nur technisches Know-how mit, sondern auch die notwendige Distanz für eine objektive Bewertung der Sicherheitslage«, erklärt Hartmut Mersch. »Interne IT-Teams kennen sich zwar mit der eigenen Infrastruktur gut aus, haben aber oft keinen umfassenden Überblick über globale Bedrohungsszenarien und aktuelle Angriffsmethoden. Das macht es ihnen schwer, das Risiko richtig einzuschätzen.«

Die Wahl des richtigen Partners: praktische Tipps

Für Unternehmen mit begrenzten internen IT-Ressourcen ist die Wahl des richtigen MSSP-Dienstleisters entscheidend – nicht nur hinsichtlich technischer Leistungsfähigkeit, sondern vor allem in Bezug auf die Passgenauigkeit zur eigenen Organisation. Bei der Auswahl eines geeigneten Partners sollten Unternehmen auf folgende Kriterien achten:

Prozesskompatibilität:
Der MSSP sollte die im Unternehmen bestehenden Abläufe verstehen, darauf aufbauen und nicht versuchen, sie komplett umzustrukturieren
Transparente Kommunikation:
Klare Eskalationswege und regelmäßige Reports sind essenziell – idealerweise automatisiert und verständlich aufbereitet
Skalierbarkeit: Die Leistungen des gewählten Anbieters sollten an die Anforderungen des Unternehmens anpassbar sein – und in Zukunft auch mitwachsen können: sowohl technisch als auch organisatorisch
Erfahrung mit regulatorischen Anforderungen:
Der MSSP sollte nachweislich Erfahrung mit NIS2 oder vergleichbaren Standards haben
Schnelle Einsatzfähigkeit:
Gerade bei begrenzten Ressourcen zählt, wie schnell ein Dienstleister operativ wirksam wird – Pilotprojekte oder vorkonfigurierte Servicepakete sind hier hilfreich
Branchenverständnis:
Ein geeigneter Anbieter sollte ein tiefes Verständnis für branchenspezifische Anforderungen mitbringen

NIS2-Compliance: In sechs Schritten zur Umsetzung

Wie die NIS2-Implementierung konkret in der Praxis aussieht, hängt von unterschiedlichen Faktoren ab, wie zum Beispiel der Branche, dem Ist-Zustand und den individuellen Bedürfnissen jedes Unternehmens. Doch sie folgt immer einem strukturierten Ansatz, den man in sechs Schritten beschreiben kann:

Betroffenheitsanalyse

Im ersten Schritt wird geprüft, ob das Unternehmen unter die NIS2-Regelung fällt. Viele IT-Dienstleister als auch das BSI bieten hierzu die nötige Hilfestellung. Man sollte sich über die Schwellenwerte zur Betroffenheit im Klaren sein, da diese schnell erreicht werden können.

Ist-Analyse & Gap-Assessment

Systematische Erfassung der aktuellen Sicherheitslage – in diesem Schritt werden die Fragen beantwortet: Wo stehe ich? Was fehlt?

Risikoanalyse, Maßnahmenplanung und Priorisierung

Als nächstes wird eine Risikoanalyse durchgeführt, wobei mögliche Schwachstellen in der IT-Infrastruktur, Organisation oder Lieferkette geprüft werden. Daraus werden konkrete Maßnahmen abgeleitet und priorisiert sowie die Verantwortlichkeiten im Unternehmen und bei den externen Partnern festgelegt.

Praxis-Tipp: Eine strukturierte Vorbereitung hilft Umsetzungskosten zu senken: Die Betroffenheits- sowie die Ist-Analyse können intern umgesetzt werden. Bei der Risiko-Analyse empfiehlt es sich jedoch, auf einen erfahrenen Partner zu setzen, der die globalen Cyberbedrohungen gut kennt.

Notfallprozesse entwickeln

In diesem Prozess werden Sofortmaßnahmen bei Angriffen definiert: Wer informiert wen? Welche Systeme werden priorisiert? Wie erfolgt die Meldung an Behörden?

Know-how an Mitarbeitende vermitteln

Schulungen sind nicht nur ein zentraler Bestandteil der NIS2-Anforderungen, sondern gehören zu einer erfolgreichen Implementierung von Cyber Security. Teams müssen für Sicherheitsrisiken, Meldepflichten und den Umgang mit verdächtigen Vorfällen sensibilisiert werden.

Kontinuierliche Verbesserung und Optimierung

Nach der Implementierung aller Maßnahmen ist die Einrichtung eines kontinuierlichen Monitorings und Verbesserungsprozesses der letzte Schritt. Die Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.

Einfach umsetzbare Maßnahmen für den sofortigen Start

Auch mit begrenzten IT-Ressourcen können Unternehmen sofort einen ersten Schritt zur besseren Cyber Security machen. Fünf Quick Wins für interne IT-Verantwortliche:

Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme einführen
Regelmäßige Backups implementieren und deren Wiederherstellbarkeit testen
Inventarisierung aller IT-Systeme und Daten durchführen
Sensibilisierungskampagnen für Mitarbeitende starten (z.B. zum Erkennen von Phishing-Mails)
Notfallkontakte und -prozesse definieren und dokumentieren

Ein Wort der Warnung

Viele Anbieter werben mit »Cloud-Angeboten mit Compliance-Garantie« für NIS2. Diese Versprechen sind mit Vorsicht zu genießen, denn die bloße Nutzung einer Cloud-Lösung garantiert keine Compliance mit komplexen regulatorischen Anforderungen wie NIS2. Die Verantwortung für die Einhaltung der Vorschriften bleibt letztlich beim Unternehmen selbst.

Fazit: Handeln statt abwarten

Noch ist das NIS2UmsuCG in Deutschland nicht in Kraft. Doch die Anforderungen stehen fest – und der Schutzbedarf ist real. Unternehmen, die heute strategisch handeln, sichern sich nicht nur Compliance-Vorteile, sondern auch Vertrauen, Reaktionsfähigkeit und Resilienz. Sie wappnen sich außerdem bereits für die Zukunft, da die Bedeutung der Cybersicherheit weiter zunehmen wird. Nicht nur der kommende EU Cyber Resilience Act wird zusätzliche Anforderungen stellen, sondern auch Regulierungen wie DORA (Digital Operational Resilience Act) und der EU AI Act werden relevant. Darüber hinaus gewinnt Cyber Security für eine internationale Zusammenarbeit zunehmend an Bedeutung, da auch Länder außerhalb der EU beginnen, Daten- und Informationsschutz ernster zu nehmen. Umso wichtiger ist es, jetzt die Grundlagen für eine robuste Cybersicherheitsarchitektur zu legen – auch mit begrenzten IT-Ressourcen.

[1] https://www.vargroup.de/CTI-Report-DE

it-sa 2025: Cyber-Held werden

Im Rahmen der Leitmesse für Cybersecurity bietet Var Group Interessierten die Möglichkeit, zu einem Cybersicherheitshelden für das eigene Unternehmen zu werden. Am Stand 7A-413 können sich Besucher NIS2-Beratungsstunden sichern. Jeden Tag haben sie die Chance beim Hauptgewinn bis zu zehn Stunden Beratung zu gewinnen.

NIS2 auf den Punkt gebracht – die wichtigsten Anforderungen:

Durchführung von Risikoanalysen und Entwicklung geeigneter Sicherheitsstrategien,

Einführung technischer und organisatorischer Schutzmaßnahmen,

Erstellung von Notfall- und Wiederherstellungsplänen,

Überprüfung von Drittanbietern und Lieferanten,

Schulung und Sensibilisierung der Mitarbeitenden,

Meldepflicht schwerwiegender Sicherheitsvorfälle binnen 24 Stunden,

Dokumentation aller Maßnahmen.

Zentral ist: Die Geschäftsführung bleibt in der Verantwortung – unabhängig davon, ob Aufgaben ausgelagert oder intern gelöst werden.

Typische Ausgangslage im Mittelstand: Warum NIS2 zur Herausforderung wird

Viele kleine und mittlere Unternehmen stehen der Umsetzung von NIS2 nicht nur wegen der neuen regulatorischen Anforderungen skeptisch gegenüber – sondern weil sie bereits heute im Tagesgeschäft mit strukturellen und personellen Engpässen zu kämpfen haben. Für viele KMUs sieht es in der Realität wie folgt aus:

Unterbesetzte IT-Abteilungen: Fachkräftemangel ist ein bekanntes Problem; oft stoßen die IT-Abteilungen bereits mit dem Tagesgeschäft an ihre Belastungsgrenze

Verwischte Verantwortlichkeiten: Intern, aber auch bei Auslagerung bestimmter IT-Dienste. Die Zusammenarbeit mit externen Dienstleistern führt oft zur Verwischung von Zuständigkeiten, was im Ernstfall die Lage kritisch verschlechtern kann

Ungenügende IT-Infrastruktur: Oft als historische Folge nicht mitgewachsener IT-Abteilungen, aber auch, wenn bei der Ergänzung der IT-Systeme über Jahre hinweg die systematische Sicherheitsarchitektur vergessen wurde

Externe IT-Dienstleister kümmern sich um die Grundfunktionalität, haben aber oft keinen spezifischen Cyber Security-Fokus

Fehlendes Know-how zu Bedrohungsszenarien und Verteidigungsstrategien

Begrenzte finanzielle Ressourcen für umfassende IT-Sicherheitsmaßnahmen

494 Artikel zu „NIS2“

News | Business | Favoriten der Redaktion | Infrastruktur | Kommentar | Services | Tipps

IT-Sicherheitsrecht: NIS2-Regierungsentwurf ist ein großer Schritt auf dem Weg zur Cybernation

1. August 2025

Mit dem Regierungsentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie wird das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei eine Schlüsselrolle zu. Der Gesetzesentwurf sieht unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um…