In den letzten Monaten ist ein Kürzel wieder aktuell geworden, das viele Unternehmer als „Sache für Multis" abgelegt hatten: NIS2. Es ist die EU-Richtlinie, die die Messlatte für die IT-Sicherheit höherlegt und den Kreis der betroffenen Unternehmen deutlich erweitert. Der Punkt, der den meisten KMU entgeht, ist genau dieser: Es betrifft nicht nur die „Großen", und kleine Betriebe werden oft als Lieferanten von jemandem hineingezogen, der direkt darunterfällt.

Was NIS2 ist, in einem Satz

NIS2 ist die Weiterentwicklung der ersten NIS-Richtlinie zur Sicherheit von Netz- und Informationssystemen. Ziel ist es, das Mindestniveau der IT-Sicherheit in der gesamten EU anzuheben, indem einer weit größeren Zahl von Organisationen Maßnahmen zum Risikomanagement und Meldepflichten für Vorfälle auferlegt werden. In Italien wurde sie mit einem Gesetzesdekret umgesetzt, das betroffene Akteure, Pflichten und Fristen festlegt.

Wer betroffen ist (und warum vielleicht auch Sie, ohne es zu wissen)

Die Richtlinie unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen in Sektoren von Energie über Verkehr und Gesundheit bis hin zur öffentlichen Verwaltung, dem digitalen Bereich und der Abfallwirtschaft. Das Kriterium kombiniert Sektor und Unternehmensgröße.

Es gibt jedoch einen zweiten, weniger sichtbaren und für kleine Betriebe heikleren Mechanismus: die Sicherheit der Lieferkette. Direkt betroffene Unternehmen müssen das Risiko ihrer Lieferanten bewerten und steuern. Konkret: Wenn Sie der IT-, Dienstleistungs- oder Softwarelieferant eines NIS2-pflichtigen Unternehmens sind, werden Ihnen sehr wahrscheinlich konkrete Sicherheitsanforderungen gestellt — auch wenn Ihr Betrieb allein nicht darunterfiele.

Für viele KMU lautet die richtige Frage nicht „Falle ich unter NIS2?", sondern „Arbeite ich mit jemandem, der darunterfällt?".

Was konkret verlangt wird

Jenseits der Rechtssprache lassen sich die Pflichten in recht konkrete — und, das sei gesagt, größtenteils vernünftige — Maßnahmen übersetzen:

  • Risikomanagement: wissen, welche Daten und Systeme kritisch sind und welchen Risiken sie ausgesetzt sind.
  • Technische Grundmaßnahmen: geprüfte Backups, Zugriffskontrolle, Mehr-Faktor-Authentifizierung, Updates.
  • Vorfallmanagement: einen Angriff erkennen und ihn vor allem fristgerecht melden können.
  • Sicherheit der Lieferkette: Lieferanten bewerten und von ihnen Garantien verlangen.
  • Verantwortung der Leitung: Sicherheit ist nicht mehr nur „Sache der IT", sondern Verantwortung der Unternehmensspitze.

Wo man anfängt, ohne in Panik zu geraten

Die gute Nachricht: Die meisten dieser Maßnahmen decken sich mit dem, was ein Unternehmen ohnehin zum eigenen Schutz tun sollte, NIS2 hin oder her. Ein pragmatischer Weg beginnt mit drei Schritten:

  1. Klären, ob und wie Sie betroffen sind. Direkt nach Sektor und Größe oder indirekt als Lieferant. Diese Prüfung verändert alles Weitere.
  2. Den Ist-Zustand erfassen. Was Sie schützen, wovor, und wo die Lücken sind: Backups, Zugänge, Updates, Notfallplan.
  3. Zuerst die Risiken schließen, die den größten Schaden anrichten. Es muss nicht alles sofort sein: besser das Wesentliche absichern und nach Priorität vorgehen.

Vermeiden sollte man das Gegenteil: das Thema zu ignorieren, bis ein wichtiger Kunde einen Sicherheitsfragebogen mit kurzer Frist schickt — und dann hinterherzulaufen.

Kurz gesagt

NIS2 ist keine obskure Pflicht nur für Multis: Es ist eine allgemeine Anhebung des Sicherheitsstandards, die direkt oder über die Lieferkette bis zu den KMU reicht. Rechtzeitig und nach Priorität angegangen, ist es zu bewältigen — mit dem Nebeneffekt, das Unternehmen wirklich sicherer zu machen, nicht nur konformer.