Mehr als Compliance: NIS2 als Impuls für nachhaltige Informationssicherheit im Mittelstand

von Markus Jegelka

Mit NIS2 geraten auch Mittelständler und Zulieferer unter Zugzwang. Wer jetzt nicht handelt, riskiert Sicherheit, Vertrauen und Business Continuity.

Cyberangriffe auf Unternehmen nehmen weiter zu – und sie treffen längst nicht nur Großkonzerne oder kritische Infrastrukturen. Ransomware, Phishing, CEO-Fraud oder Angriffe über die Supply Chain haben gezeigt: Der Mittelstand ist ein attraktives Ziel, weil die verfügbaren Mittel und das Knowhow für Cybersecurity oft nicht ausreichen, Sicherheitsmaßnahmen lückenhaft sind und digitale Abhängigkeiten wachsen. Im Kontext einer eng verflochtenen Wirtschaft suchen sich Angreifer den schwächsten Punkt, um ihren Einfluss anschließend auszuweiten – und dies trifft eben häufig auch kleine und mittelständische Unternehmen, deren Systeme als Teil der Lieferkette auch Zugang zu größeren Unternehmen bieten.

Vor diesem Hintergrund wurde am 13. November 2025 nach über einjähriger Verzögerung das NIS2‑Umsetzungsgesetz (NIS2UmsuCG) vom Deutschen Bundestag verabschiedet. Als nationale Umsetzung der EU-NIS2-Richtlinie verfolgt es ein klares und wichtiges Ziel: Die Cybersecurity und digitale Resilienz von kritischen Infrastrukturen und Wirtschaft insgesamt zu stärken. Dafür erweitert dieses NIS2UmsuCG den Kreis betroffener Unternehmen um weite Teile des industriellen Mittelstands – und teilweise sogar darunter.

Wer ist betroffen?

Das NIS2‑Umsetzungsgesetz richtet sich an „besonders wichtige“ und „wichtige“ Einrichtungen in kritischen Sektoren. Dazu zählen Energie, Transport und Verkehr, Gesundheit, Wasser, Chemie- und Lebensmittelindustrie, verarbeitendes und herstellendes Gewerbe im Bereich Optik, Elektrotechnik, Maschinenbau und Fahrzeugbau, digitale Dienste sowie Post- und Kurierdienste. Entscheidend sind neben der Branche auch die maßgeblichen Schwellenwerte für Mitarbeiterzahl und Umsatz, die bereits bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz beginnen.

Auch Kleinstunternehmen, die selbst nicht unter das NIS2‑Umsetzungsgesetz fallen, können indirekt in die Pflicht geraten, etwa wenn sie Software, Bauteile oder Dienstleistungen für betroffene Unternehmen bereitstellen. Wer Teil einer kritischen Lieferkette ist, muss – unabhängig von Mitarbeiterzahl und Umsatz – Sicherheitsanforderungen umsetzen und deren Einhaltung gegenüber betroffenen Auftraggebern nachweisen.

Was fordert NIS2 konkret?

Dreh- und Angelpunkt für die Auswahl geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen ist ein strukturiertes Risikomanagement für Informationssicherheit, das unter anderem die folgenden Themenfelder bedient:

• Konzepte in Bezug auf die Sicherheit für Informationssysteme und Risikoanalyse
• Bewältigung von Sicherheitsvorfällen (inkl. Systeme zur Angriffserkennung)
• Aufrechterhaltung des Betriebs (Notfall- und Krisenmanagement)
• Sicherheit in der Lieferkette
• Cyberhygiene und Schulungen im Bereich der Informationssicherheit
• Einsatz von Verschlüsselung
• Personalsicherheit
• Multifaktorauthentifizierung

Wer diese Anforderungen nicht umsetzt und überwacht, riskiert neben einem gravierenden Cybersicherheitsvorfall und Reputationsschäden auch einen Rechtsverstoß. Abhängig von Trag- und Reichweite kann ein juristisches Nachspiel mit Bußgeldern und Haftungsrisiken erwachsen, das insbesondere die persönliche Haftung der Geschäftsleitung miteinschließt.

Herausforderung Umsetzung: komplex, neu und ressourcenintensiv

Gerade für viele mittelständische Unternehmen bedeutet die Umsetzung der NIS2 Neuland. Sie stehen vor der Aufgabe, neue regulatorische Vorgaben zu verstehen, zu priorisieren und umzusetzen – oft ohne spezialisiertes Personal oder etablierte Prozesse.

Die Anforderungen der NIS2 reichen weit über die reine IT-Sicherheit hinaus: Sie betreffen Managementstrukturen, Schulung, Dokumentation, Berichtspflichten und das Zusammenspiel verschiedener Unternehmensbereiche. Hinzu kommt die Notwendigkeit, Risiken in der Lieferkette zu bewerten und Sicherheitsanforderungen an Dienstleister zu formulieren.

Für viele Organisationen stellt sich daher nicht die Frage ob, sondern wie sie diesen Spagat zwischen gesetzlicher Verpflichtung, begrenzten Ressourcen und laufendem Tagesgeschäft meistern können. Orientierung bietet hierbei die international gültige Norm ISO/IEC 27001 (s. Infokasten unten), die annähernd deckungsgleiche Maßnahmen als Stand der Technik beschreibt.

ISO/IEC 27001 als Leitplanke für NIS2

Wer ein nach ISO/IEC 27001 zertifiziertes ISMS implementiert hat, schafft damit eine belastbare Grundlage, um die NIS2-Anforderungen zu erfüllen und dies gegenüber Behörden, Kunden und Geschäftspartnern nachzuweisen. Besonders wertvoll ist die strukturierte Dokumentation und Auditfähigkeit, die Transparenz und Nachvollziehbarkeit schafft – zentrale Elemente der regulatorischen Nachweispflichten.

Fazit

NIS2 ist mehr als eine gesetzliche Verpflichtung – sie ist ein Aufruf. Der Mittelstand muss Informationssicherheit als strategische Aufgabe verstehen, nicht als abgeschottetes IT-Thema. Wer jetzt handelt, schafft nicht nur Compliance, sondern schützt den eigenen Geschäftsbetrieb, Kunden und Lieferketten. Der Aufbau eines funktionierenden ISMS ist ein wesentlicher Schritt, um den Spagat zwischen Regulierung, Bedrohung und Business Continuity zu meistern.

Erfahrene und unabhängige Zertifizierungsdienstleister wie die DQS kennen sich mit ISO/IEC 27001 aus und bieten wertvolle Orientierung, da sie die Überschneidungen zwischen NIS2 und ISO/IEC 27001 im Detail kennen. Die Auditoren der DQS stellen Sicherheit und operative Stabilität von Unternehmen nachhaltig auf den Prüfstand und leisten so ihren Beitrag zur tragfähigen Umsetzung der individuellen Compliance-Anforderungen.

Was ist ISO/IEC 27001?

Die internationale Norm ISO/IEC 27001 definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) mit dem Ziel, Informationen und Geschäftsprozesse systematisch vor Verlust, Manipulation und Ausfall zu schützen. Die Norm verpflichtet Unternehmen, Risiken zu identifizieren, geeignete Maßnahmen festzulegen und umzusetzen sowie diese kontinuierlich zu überwachen und zu verbessern.

Die zugehörige ISO/IEC 27002 liefert zusätzlich eine umfassende Sammlung konkreter Sicherheitsmaßnahmen – von Kryptografie, physischen Schutzmaßnahmen und Zugriffskontrolle bis zu Sicherung von Lieferantenbeziehungen. Fast alle Maßnahmen unterstützen die Compliance-Anforderungen des NIS2UmsuCG.

Bleiben Sie auf dem Laufenden, abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie immer die neuesten Nachrichten und Analysen direkt in Ihren Posteingang.