NIS-2 für den Mittelstand: Pragmatische Umsetzung

Ich kenne die Situation. Sie leiten die IT eines mittelständischen Unternehmens, haben ein kleines Team, ein begrenztes Budget und jetzt kommt auch noch NIS-2 um die Ecke. Die Anforderungen lesen sich wie für einen Großkonzern geschrieben, aber Sie haben weder die Ressourcen noch die Manpower eines DAX-Unternehmens.

Die gute Nachricht: NIS-2 ist auch für den Mittelstand machbar. Nicht mit einem Millionenbudget und einem Heer von Beratern, sondern mit einem pragmatischen Ansatz, der auf das Wesentliche fokussiert.

Ihre Ausgangslage ist besser, als Sie denken

Ja, die Herausforderungen sind real. Kleine IT-Teams, kein dedizierter Security-Mitarbeiter, Prozesse, die “nur in den Köpfen” existieren. Das kennen wir alle.

Aber der Mittelstand hat auch Vorteile, die oft übersehen werden. Kurze Entscheidungswege – wenn Sie dem Chef erklären, warum etwas wichtig ist, kann es morgen passieren, nicht in sechs Monaten. Eine überschaubare IT-Landschaft – Sie müssen nicht 500 Systeme inventarisieren. Und Flexibilität – Sie können Prozesse ändern, ohne 15 Gremien zu fragen.

Diese Vorteile sollten Sie nutzen.

Der pragmatische Ansatz

Vergessen Sie den Gedanken, alles auf einmal perfekt machen zu müssen. Das funktioniert weder im Budget noch in der Realität. Stattdessen: Priorisieren, aufbauen, verbessern.

Fragen Sie sich zuerst: Welche Systeme sind für unser Geschäft unverzichtbar? Was passiert, wenn der Mailserver einen Tag ausfällt? Eine Woche? Und das ERP-System? Die Produktion? Hier fangen Sie an.

Dann schauen Sie, was Sie schon haben. Wahrscheinlich gibt es einen Virenschutz, eine Firewall, irgendeine Form von Backup. Das ist kein Neuland. Dokumentieren Sie, was existiert. Erweitern Sie, was fehlt. Aber erfinden Sie das Rad nicht neu.

Und hier die wichtigste Erkenntnis: Ein einfaches System, das gelebt wird, schlägt ein perfektes System auf dem Papier. Lieber eine zweiseitige Sicherheitsrichtlinie, die jeder kennt, als ein 50-seitiges Dokument, das niemand liest.

Was Sie diese Woche noch erledigen können

Es gibt Maßnahmen, die wenig kosten, schnell umgesetzt sind und viel bringen.

Multi-Faktor-Authentifizierung aktivieren. In Microsoft 365 dauert das keine Stunde. Beim VPN-Zugang auch nicht. Dieser eine Schritt verhindert den Großteil aller Account-Übernahmen. Machen Sie das heute.

Backup testen. Nicht “wir haben ein Backup”, sondern: Funktioniert es? Wann haben Sie zuletzt einen Restore gemacht? Ist das Backup offline, also vor Ransomware geschützt? Falls nicht, ändern Sie das.

Admin-Konten trennen. Ihr IT-Leiter sollte nicht mit Admin-Rechten E-Mails lesen. Separate Admin-Accounts, MFA drauf, fertig. Wenn ein Phishing-Angriff das normale Konto erwischt, ist der Admin-Zugang trotzdem sicher.

Notfallkontakte aufschreiben. Klingt trivial, aber: Wer wird angerufen, wenn nachts um 3 die Ransomware zuschlägt? Haben Sie eine Handynummer? Einen externen Dienstleister für den Notfall? Schreiben Sie das auf ein Blatt Papier. Drucken Sie es aus. Hängen Sie es neben den Server.

Die Dokumente, die Sie wirklich brauchen

Ich weiß, Dokumentation ist nicht sexy. Aber bei NIS-2 müssen Sie nachweisen können, dass Sie etwas tun. Ohne Dokumente ist das schwierig.

Die gute Nachricht: Sie brauchen keine Romane.

Eine Informationssicherheitspolitik passt auf zwei Seiten. Wer ist verantwortlich? Was sind die Ziele? Wie verbindlich ist das Ganze? Die Geschäftsführung unterschreibt, fertig.

Ein Notfallplan braucht vielleicht fünf Seiten. Was tun bei Ransomware? Was bei Datenverlust? Was bei Totalausfall? Wen anrufen, in welcher Reihenfolge? Welche Systeme zuerst wiederherstellen? Das muss keine Doktorarbeit sein, aber es muss existieren.

Ein IT-Inventar ist eine Excel-Tabelle. Server, Anwendungen, Verantwortliche, Kritikalität. Das können Sie an einem Nachmittag erstellen.

Meldevorlagen fürs BSI sollten Sie vorbereiten, bevor der Notfall eintritt. Im Stress möchten Sie nicht erst herausfinden, was in die 24-Stunden-Meldung gehört.

Wo externes Geld sinnvoll ist

Manche Dinge kann man nicht selbst machen, selbst wenn man wollte.

Ein jährlicher Penetrationstest durch einen externen Dienstleister zeigt Ihnen Schwachstellen, die Sie selbst nicht finden. Das kostet Geld, aber deutlich weniger als ein erfolgreicher Angriff.

Für die Gap-Analyse gegen NIS-2-Anforderungen lohnt sich oft externe Beratung. Ein Berater, der das schon zehnmal gemacht hat, ist schneller als Sie, die das zum ersten Mal tun.

Ein Retainer-Vertrag für Incident Response bedeutet: Wenn es brennt, haben Sie jemanden, den Sie anrufen können. Das ist wie eine Versicherung – Sie hoffen, sie nie zu brauchen, aber wenn doch, ist sie Gold wert.

Was Sie selbst machen sollten

Nicht alles braucht externe Hilfe. Patch-Management, Backup-Verwaltung, Mitarbeitersensibilisierung – das können Sie. Das sollten Sie sogar selbst machen, weil es kontinuierliche Aufgaben sind. Einen Berater für jeden Windows-Update-Dienstag zu bezahlen, ist Geldverschwendung.

Nutzen Sie kostenlose Ressourcen. Das BSI-Grundschutz-Kompendium ist frei verfügbar und gut. Es gibt kostenlose Awareness-Materialien, Poster für die Kaffeeküche, Phishing-Beispiele zum Zeigen. Nicht alles muss gekauft werden.

Der typische Fehler: Alles auf einmal wollen

Ich habe es oft genug gesehen. Ein Unternehmen beschließt, NIS-2-compliant zu werden, und kauft sofort das teuerste SIEM, den umfassendsten Beratungsvertrag und die Enterprise-Lösung für alles. Nach sechs Monaten ist das Budget aufgebraucht, nichts ist fertig, und die Geschäftsführung fragt, wofür das ganze Geld ausgegeben wurde.

So funktioniert das nicht. Pragmatisch heißt: Schritt für Schritt. Erst MFA, dann Backup, dann Dokumentation, dann der Rest. Jeder Schritt bringt einen Sicherheitsgewinn. Perfektion ist ein Ziel, keine Voraussetzung für den Start.

Ein realistischer Zeitplan

In den ersten zwei Monaten: Quick Wins umsetzen. MFA aktivieren, Backup überprüfen, Notfallkontakte definieren, Betroffenheit final klären.

In Monat drei und vier: Die Basis schaffen. IT-Inventar erstellen, Sicherheitsrichtlinie schreiben, Notfallplan erstellen, Account bei “Mein Unternehmenskonto” einrichten.

In Monat fünf und sechs: Registrierung und Awareness. BSI-Registrierung durchführen, Mitarbeiter schulen, Geschäftsführung schulen, Dokumentation vervollständigen.

Danach: Kontinuierliche Verbesserung. Regelmäßige Reviews, schrittweiser Ausbau, Vorbereitung auf mögliche Audits.

Das ist kein Hexenwerk. Das ist machbar, auch mit begrenzten Ressourcen.

Die eigentliche Motivation

Hier ist die Sache: Es geht nicht nur um Compliance. Die Maßnahmen, die NIS-2 fordert, schützen Ihr Unternehmen vor realen Bedrohungen. Ransomware unterscheidet nicht zwischen Großkonzern und Mittelstand – ehrlich gesagt trifft sie den Mittelstand sogar öfter, weil die Schutzmaßnahmen dort häufig schwächer sind.

Wenn Sie MFA einführen, Backups testen und einen Notfallplan haben, sind Sie nicht nur compliant. Sie sind besser geschützt als 80 Prozent aller Unternehmen Ihrer Größe. Das ist kein schlechter Nebeneffekt.

Fangen Sie an. Heute. Mit dem ersten kleinen Schritt. Der Rest folgt.