Für mittelständische Unternehmen wirkt NIS2 oft wie eine Regulierung für Versorger und Telekommunikationskonzerne — dabei zieht die Richtlinie bewusst Tausende mittelgroße Hersteller, Zulieferer und Dienstleister in ihren Anwendungsbereich. Die gute Nachricht: Sie brauchen kein Konzernbudget, um konform zu sein. Sie brauchen Struktur, Reihenfolge und Nachweise. Dieser Leitfaden führt Sie in der Reihenfolge durch die Umsetzung, die in der Praxis funktioniert — aus realen Projekten, nicht nur aus dem Gesetzestext.
Verstehen Sie das Folgende als Projektplan, nicht als Leseliste. Jeder Schritt erzeugt ein konkretes Artefakt — eine Scope-Bestimmung, ein Gap-Register, eine Governance-Entscheidung, ein Vorfall-Playbook — das Auditoren und Behörden später sehen wollen. Ein Schritt ohne Nachweis ist nicht abgeschlossen.
Schritt 1: Anwendbarkeit klären und dokumentieren
Bestimmen Sie, ob Sie eine „wesentliche" oder „wichtige" Einrichtung sind, indem Sie Ihren Sektor den NIS2-Anhängen und Ihre Mitarbeiterzahl und Ihren Umsatz den Schwellenwerten zuordnen. Mittlere Einrichtungen (50+ Beschäftigte oder 10 Mio. € Umsatz) in einem erfassten Sektor sind in der Regel betroffen. Aber die Größe ist nicht der einzige Auslöser — beliefern Sie eine wesentliche Einrichtung, wirken deren Pflichten über Verträge auf Sie.
- Ordnen Sie jeden Geschäftsbereich Anhang I (wesentlich) und Anhang II (wichtig) zu.
- Prüfen Sie, ob ein wichtiger Kunde selbst eine wesentliche Einrichtung ist — Ihre Lieferkettenpflichten folgen.
- Verfassen Sie ein kurzes, datiertes Scope-Memo. Die erste Frage einer Behörde lautet oft: „Sind Sie betroffen, und wie haben Sie das entschieden?"
- Schließen Sie auf „nicht betroffen", dokumentieren Sie die Begründung ebenso sorgfältig — sie muss einer Prüfung standhalten.
Schritt 2: Gap-Analyse zu Artikel 21
Artikel 21 definiert zehn Mindestmaßnahmen zum Risikomanagement. Raten Sie nicht, sondern führen Sie eine strukturierte Gap-Analyse durch, die jede Maßnahme auf einer einfachen Reifeskala bewertet und mit vorhandenen Nachweisen verknüpft. Dieses eine Dokument wird zu Ihrem Fahrplan, Ihrer Budgetbegründung und Ihrer Audit-Basis.
- Bewerten Sie jede der zehn Maßnahmen: nicht begonnen, teilweise, operativ oder reif.
- Notieren Sie für jedes „teilweise" oder besser, wo der Nachweis liegt.
- Priorisieren Sie Lücken nach Risiko, nicht nach Aufwand.
- Führen Sie die Analyse als lebende Tabelle, die Sie quartalsweise überprüfen.
Schritt 3: Governance und Verantwortung etablieren
NIS2 macht Leitungsorgane persönlich verantwortlich — Governance ist also keine optionale Formalie, sondern der Teil, den Behörden am genauesten prüfen. Der häufigste Fehler im Mittelstand ist ein Programm, das ausschließlich in der IT lebt, ohne sichtbare Einbindung der Führung.
- Sichern Sie die ausdrückliche Genehmigung der Risikomaßnahmen und ein realistisches Budget.
- Benennen Sie einen einzigen verantwortlichen Eigentümer — intern oder als virtueller CISO.
- Planen Sie die vorgeschriebene Leitungsschulung und führen Sie Teilnahmenachweise.
- Setzen Sie einen wiederkehrenden Risikoreview auf die Leitungsagenda, damit Aufsicht nachweisbar ist.
Schritt 4: Controls umsetzen und Vorfallmeldung aufbauen
Mit klaren Prioritäten schließen Sie die größten Risikolücken und bauen die operative Stärke auf, die NIS2 am meisten interessiert: die Vorfallbehandlung. Die Meldefristen sind unerbittlich — Frühwarnung binnen 24 Stunden, ausführlichere Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats.
- Definieren Sie vorab, was ein „erheblicher Vorfall" für Ihre Organisation ist.
- Bauen Sie einen Meldeworkflow, der die 24h-/72h-/1-Monats-Marken ohne Hektik erreicht.
- Prüfen Sie Schlüssellieferanten und ergänzen Sie fehlende Sicherheitsklauseln in Verträgen.
- Automatisieren Sie die Nachweiserfassung — Zugriffsprüfungen, Schulungen, Patch-Protokolle.
Die 24-Stunden-Frühwarnung ist kein technisches, sondern ein organisatorisches Problem. Hat Ihr Team nie geübt, wer wen anruft, ist der erste echte Vorfall der schlechteste Zeitpunkt dafür.
Schritt 5: Testen, üben und Bereitschaft nachweisen
Ein nie geübtes Control ist eine Hypothese, keine Fähigkeit. Bevor eine Behörde oder ein echter Angreifer Ihren Vorfallprozess testet, testen Sie ihn selbst in einer Tabletop-Übung, die die Führung durch ein realistisches Szenario führt.
- Führen Sie mindestens jährlich eine halbtägige Tabletop-Übung zu Ransomware oder Datenpanne durch.
- Erfassen Sie die Lehren und führen Sie sie ins Playbook und Risikoregister zurück.
- Prüfen Sie, ob Meldevorlagen und Kontaktlisten auch bei einem Ausfall aktuell und erreichbar sind.
Schritt 6: Compliance als laufendes Programm erhalten
NIS2 ist kein Meilenstein, den man einmal erreicht, sondern ein Zustand, den man hält. Wer konform bleibt, behandelt Gap-Register, Nachweissammlung und Managementbewertung als kontinuierlichen Zyklus statt als Panik vor dem Audit. Halten Sie die Dokumentation synchron mit dem realen Betrieb, dann wird jede weitere Prüfung ein Update statt eines Neubaus.
In dieser Reihenfolge umgesetzt — Scope, Gap, Governance, Controls, Tests, Erhalt — wird NIS2 auch für ein schlankes Team beherrschbar. Beginnen Sie mit einer ehrlichen Bewertung, beheben Sie zuerst das Wichtigste und halten Sie die Führung wirklich eingebunden.
Themen
Verwandte Ressourcen
Machen Sie daraus einen Plan, der das Audit besteht
Buchen Sie eine kostenlose 30-minütige Beratung und wir skizzieren Ihren schnellsten, risikoärmsten Weg zur Compliance — ohne Fachjargon, ohne Verkaufsgespräch.
Kostenlose Beratung buchen