NIS-2 für IT-Dienstleister: Managed Service Provider und Cloud-Anbieter

Als IT-Dienstleister stehen Sie unter NIS-2 von zwei Seiten unter Druck: Sie können selbst direkt betroffen sein, und selbst wenn nicht, werden Ihre Kunden Anforderungen an Sie stellen, die Sie nicht ignorieren können. Cybersicherheit wird für MSPs, Cloud-Anbieter und IT-Dienstleister aller Art zum geschäftskritischen Faktor.

Warum gerade IT-Dienstleister?

Die Antwort ist einfach: Multiplikatoreffekt. Wenn ein Angreifer einen MSP kompromittiert, hat er Zugang zu allen Kundensystemen. Ein einzelner Einbruch, hunderte Opfer. Die Angriffe auf Kaseya und SolarWinds haben das auf dramatische Weise gezeigt.

Sie als IT-Dienstleister haben privilegierten Zugriff auf Kundensysteme. Admin-Rechte, Fernzugänge, Zugang zu sensiblen Daten. Das Vertrauen Ihrer Kunden ist Ihr Kapital – und genau das macht Sie zum attraktiven Ziel.

Direkte NIS-2-Betroffenheit

IT-Dienstleister fallen unter zwei Kategorien der Richtlinie.

Sektoren mit hoher Kritikalität (Anhang I) umfassen: Cloud-Computing-Diensteanbieter, Rechenzentrumsdienste, Content Delivery Networks, Vertrauensdiensteanbieter – und “Verwaltung von IKT-Diensten (B2B)”, also Managed Service Provider und Managed Security Service Provider.

Das heißt: Wenn Sie als MSP oder MSSP die Größenschwellen erreichen (50+ Mitarbeitende oder 10+ Millionen Euro Umsatz), sind Sie direkt reguliert. Und zwar als “Sektor mit hoher Kritikalität” – das ist die strengere Kategorie.

Bestimmte Dienste fallen sogar unabhängig von der Größe unter NIS-2: Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Registrierungsstellen. Hier gibt es keine Mindestgrenzen.

Die indirekte Betroffenheit – und die ist fast wichtiger

Selbst wenn Sie die Schwellen nicht erreichen: Ihre Kunden werden Anforderungen an Sie stellen.

NIS-2 verpflichtet betroffene Unternehmen zur Lieferkettensicherheit. Das bedeutet: Sie müssen die Cybersicherheit ihrer Dienstleister bewerten und absichern. Ihre Kunden werden Sicherheitsnachweise fordern, Audit-Rechte in Verträge schreiben, Meldepflichten verlangen.

In der Praxis heißt das: Mehr Sicherheitsfragebögen. Anforderungen an Zertifizierungen wie ISO 27001 oder SOC 2. Vertragliche Klauseln, die Sie vor ein paar Jahren nicht unterschrieben hätten. Regelmäßige Audits.

Sie können das ignorieren – dann verlieren Sie Kunden. Oder Sie nehmen es als Chance.

Was Sie tun müssen

Sichere Fernzugriffe sind nicht verhandelbar. MFA für alle Zugriffe auf Kundensysteme. Jump-Server als zentrale, überwachte Zugangspunkte. Session Recording für Nachvollziehbarkeit. Just-in-Time-Zugriffe statt dauerhafter Admin-Rechte. Netzwerksegmentierung zwischen Kundenumgebungen.

Wenn Sie RMM-Tools einsetzen (und welcher MSP tut das nicht): Diese Tools sind der heilige Gral für Angreifer. Schützen Sie sie entsprechend.

Privileged Access Management (PAM) gehört auf Ihre Prioritätenliste. Welche Mitarbeiter haben Zugriff auf welche Kundensysteme? Mit welchen Rechten? Wie lange? Können Sie das nachweisen?

Das Least-Privilege-Prinzip – nur die Berechtigungen, die tatsächlich nötig sind – klingt selbstverständlich, wird aber selten konsequent umgesetzt. Machen Sie es anders.

Incident Response muss auch Kunden einbeziehen. Wenn bei Ihnen etwas passiert, müssen Kunden informiert werden. Schnell. Vollständig. Das muss geübt sein, bevor es passiert.

Ein Kommunikationsplan für den Krisenfall sollte existieren: Wer informiert wen? In welcher Reihenfolge? Mit welchen Informationen? Wer spricht mit der Presse, falls es dazu kommt?

Dokumentation wird zum Wettbewerbsvorteil. Kunden werden Nachweise fordern. Wenn Sie die nicht liefern können, sind Sie raus. Wenn Sie sie schnell und überzeugend liefern können, haben Sie einen Vorsprung.

Führen Sie ein sauberes ISMS. Dokumentieren Sie Ihre Sicherheitsmaßnahmen. Halten Sie Zertifikate aktuell. Erstellen Sie Sicherheitsberichte, die Sie Kunden proaktiv zur Verfügung stellen können.

Sicherheitsnachweise für Kunden

Ihre Kunden werden Nachweise fordern, dass Sie Cybersicherheit ernst nehmen. Das kann verschiedene Formen annehmen: ausgefüllte Sicherheitsfragebögen, dokumentierte Prozesse, Audit-Berichte oder – bei manchen Kunden – Zertifizierungen.

Wichtiger als das Format ist der Inhalt: Können Sie zeigen, dass Sie ein strukturiertes Vorgehen haben? Dass Sie Risiken kennen und managen? Dass Sie auf Vorfälle vorbereitet sind?

Wer proaktiv dokumentiert und transparent kommuniziert, hat einen Vorteil – unabhängig davon, ob ein Zertifikat an der Wand hängt.

Die Chance in der Krise

NIS-2 können Sie als Belastung sehen. Oder als Chance.

Differenzierung: Wenn Sie NIS-2-compliant sind und Ihre Wettbewerber nicht, haben Sie einen Vorteil. Das wird Kunden auffallen.

Neue Services: Ihre Kunden müssen ebenfalls NIS-2-compliant werden. Viele wissen nicht wie. Sie können dabei helfen – mit Beratung, Assessments, Managed Security Services.

Preisgestaltung: Höhere Sicherheitsstandards rechtfertigen höhere Preise. Kunden, die NIS-2 erfüllen müssen, verstehen das.

Vertrauensaufbau: Transparente Sicherheitspraktiken schaffen Vertrauen. Das ist die Basis für langfristige Kundenbeziehungen.

Cloud-spezifische Themen

Wenn Sie Cloud-Dienste anbieten, kommen zusätzliche Aspekte hinzu.

Das Shared Responsibility Model muss klar sein – für Sie und für Ihre Kunden. Wer ist wofür verantwortlich? Bei IaaS liegt mehr beim Kunden, bei SaaS mehr bei Ihnen. Dokumentieren Sie das eindeutig.

Datenlokalität wird wichtiger. Kunden fragen, wo ihre Daten liegen. EU-Rechenzentren werden bevorzugt. Seien Sie transparent über Speicherorte und Subdienstleister.

Multi-Tenancy-Sicherheit ist kritisch. Kundendaten müssen sauber getrennt sein. Ein Fehler hier kann alle Kunden betreffen – und Ihr Geschäft zerstören.

Die Zusammenfassung

IT-Dienstleister stehen unter NIS-2 im Fokus. Das liegt daran, dass Sie Schlüsselpositionen in den Sicherheitsarchitekturen Ihrer Kunden einnehmen. Ihre Schwäche ist deren Schwäche.

Die Anforderungen steigen – direkt durch die Regulierung, indirekt durch Kundenanforderungen. Wer jetzt in Sicherheit investiert, wer Zertifizierungen anstrebt, wer transparente Prozesse etabliert, wird davon profitieren.

Cybersicherheit ist für IT-Dienstleister kein Kostenfaktor mehr. Es ist das Kerngeschäft.