Systematik
KRITIS / wE / bwE
NIS2 erweitert den Blick von klassischen KRITIS-Betreibern auf wichtige und besonders wichtige Einrichtungen. Entscheidend sind Sektor, Größe, Rolle und konkrete Dienstleistung.
Viele Unternehmen beginnen bei NIS2 mit der Frage, ob sie überhaupt betroffen sind. Das ist ein sinnvoller erster Schritt — aber er greift zu kurz. Denn NIS2 verändert nicht nur, wer reguliert wird, sondern auch, was ein Unternehmen im Ernstfall erklären können muss: welche Risiken bekannt sind, welche Maßnahmen priorisiert wurden, wie Vorfälle bewertet werden und welche Nachweise vorliegen.
IT bleibt operativ entscheidend. Aber Verantwortung, Priorisierung und Nachweisfähigkeit sind sichtbar auf Leitungsebene verankert. Es geht nicht mehr nur darum, Systeme zu schützen — sondern darum, als Unternehmen auch unter Zeitdruck steuerungsfähig zu bleiben.
NIS2 erweitert den Blick von klassischen KRITIS-Betreibern auf wichtige und besonders wichtige Einrichtungen. Entscheidend sind Sektor, Größe, Rolle und konkrete Dienstleistung.
Für viele mittelständische Unternehmen beginnt die Prüfung früher als erwartet. Die Schwelle allein entscheidet nicht — aber sie ist oft der erste ernsthafte Prüfpunkt.
Wer einen Vorfall meldepflichtig einordnen muss, braucht zuerst Bewertung, nicht Alarm: Was ist passiert, welche Wirkung ist möglich, wer entscheidet — und bis wann?
Geschäftsführung und Leitungsebene müssen Cybersicherheit nicht selbst technisch betreiben. Sie müssen Verantwortung, Kenntnisnahme, Priorisierung und Kontrolle nachvollziehbar zeigen.
Der Blick auf Cybersicherheit hat sich verändert. Früher stand oft die Technik im Vordergrund: Systeme härten, Zugriffe sichern, Vorfälle verhindern. Das bleibt wichtig — reicht aber nicht mehr aus. NIS2 verschiebt den Fokus auf Steuerungsfähigkeit, und das betrifft nicht nur IT-Teams, sondern die Geschäftsleitung, die Organisation und die Nachweisfähigkeit des gesamten Unternehmens. Die entscheidenden Fragen sind organisatorischer Natur.
NIS2 beantwortet die Frage, ob ein Unternehmen Risiken, Zuständigkeiten und Nachweise geordnet führen kann — nicht nur, ob es technisch gut ausgestattet ist.
NIS2 betrifft nicht nur klassische KRITIS-Betreiber. Die Richtlinie erweitert den Kreis deutlich auf wichtige und besonders wichtige Einrichtungen sowie auf Unternehmen, die über Größe, Branche, Rolle oder Lieferkettenposition in den Anwendungsbereich geraten können. Entscheidend sind dabei nicht allein Sektor und Umsatz, sondern auch die Funktion, die ein Unternehmen im digitalen und operativen Umfeld tatsächlich erfüllt.
Im Mittelstand beginnt die Prüfung oft früher als erwartet. Und häufig wird die Betroffenheit nicht durch eine Eigeneinschätzung sichtbar, sondern durch eine Kundenanfrage, eine Lieferantenprüfung oder einen konkreten Vorfall.
Bevor geklärt werden kann, welche Maßnahmen fehlen, muss die Einordnung stimmen. Viele Unternehmen überspringen diesen Schritt — und holen ihn später mit mehr Aufwand nach.
Viele mittelständische Unternehmen werden NIS2 nicht als abstrakte Regulierung erleben, sondern als konkrete Arbeitsaufgabe mit messbarem Aufwand. Kein realistisches Unternehmen baut über Nacht ein vollständiges ISMS auf. Was zuerst gebraucht wird, ist Ordnung: Betroffenheit klären, Verantwortliche benennen, kritische Assets und Dienstleister kennen, Vorfallwege beschreiben, Nachweise geordnet halten, offene Maßnahmen dokumentieren.
Das ist ein Einstieg, der Arbeit kostet und danach fortlaufend gepflegt werden muss. Es gibt keine Version davon, die das umgeht.
NIS2 setzt keine perfekte IT voraus. Vorausgesetzt wird, dass Risiken erkannt, bewertet und geordnet geführt werden. Das ist eine andere Anforderung — aber sie ist nicht weniger verbindlich.
Ein Sicherheitsvorfall ist nicht nur ein technisches Problem, sondern auch ein Test für Struktur, Klarheit und Führung. In diesem Moment wird sichtbar, ob ein Unternehmen nur einzelne Maßnahmen besitzt — oder ob es seine Lage wirklich führen kann. Die entscheidende Fähigkeit dabei ist nicht Alarm, sondern Bewertung: Was ist passiert, wie groß ist die Wirkung, wer ist zuständig, wann wird es meldepflichtig?
Was ist passiert, und wie groß ist die Wirkung? Ohne strukturierte Einordnung entsteht Unsicherheit, die Zeit kostet — gerade wenn die 24-h-Frist läuft.
Wer ist zuständig, was liegt vor, und was wird jetzt entschieden? Diese Fragen müssen vorab geregelt sein — wer sie im Ereignisfall zum ersten Mal stellt, verliert Zeit.
Wer vorher definiert hat, wer was entscheidet und wohin Informationen fließen, kann auch unter Zeitdruck geordnet vorgehen. Das ist der Kernzweck von Vorfallvorbereitung.
Der realistische Maßstab in einer Prüfung ist nicht, ob ein Angriff verhindert wurde — sondern ob das Unternehmen geordnet damit umgegangen ist.
Geschäftsführung und Leitungsebene müssen Cybersicherheit nicht selbst technisch betreiben — aber sie müssen Verantwortung, Kenntnisnahme, Priorisierung und Kontrolle nachvollziehbar zeigen können. Operative Umsetzung lässt sich delegieren. Die Verantwortung für Einordnung, Freigabe und Risikobewertung bleibt auf Leitungsebene und damit im Blickfeld von Auditoren, Kunden und im Ernstfall auch von Gerichten.
Das heißt nicht, dass jede technische Detailfrage bei der Geschäftsführung landen muss. Es heißt, dass Entscheidungen dokumentiert, begründet und rückverfolgbar sein müssen.
NIS2 macht bestehende Leitungsverantwortlichkeiten explizit und nachweispflichtig. In vielen Unternehmen waren diese Verantwortlichkeiten bisher informell — das ändert sich.
Viele Anforderungen entstehen nicht erst durch das BSI, sondern bereits heute durch Kunden, Banken, Auditoren und größere Auftraggeber. Ein Unternehmen kann selbst noch nicht vollständig reguliert sein und trotzdem NIS2-bezogene Nachweise von Kunden einfordern — das ist die praktische Wirkung der Richtlinie in der Wertschöpfungskette.
Lieferkette bedeutet in diesem Kontext nicht nur Einkauf oder Vertragsgestaltung, sondern auch die Fähigkeit, auf Sicherheitsanfragen geordnet zu antworten. Wer das nicht kann, verliert Aufträge — auch ohne BSI-Prüfung.
Kundenanforderungen zu NIS2 laufen der behördlichen Durchsetzung häufig voraus. Wer auf diese Anforderungen strukturiert antworten kann, schafft Vertrauen — auch dort, wo das Thema noch nicht regulatorisch erzwungen wird.
NIS2 wird dauerhaft Teil der Unternehmenssteuerung — ähnlich wie Datenschutz oder Jahresabschluss. Einzelne Pflichten lassen sich extern erledigen, aber Wissen, Reihenfolge und Zuständigkeiten müssen intern verstanden sein. Wer für jede Registrierung, jeden Vorfall oder jeden Nachweis erneut externe Unterstützung braucht, verliert Geschwindigkeit und Kontrolle.
Wer NIS2 intern führt, ist bei der nächsten Registrierung, dem nächsten Vorfall und der nächsten Kundenanfrage schneller. Nicht weil die Anforderungen einfacher werden — sondern weil die Antworten bereits vorbereitet sind.
Wer NIS2 intern versteht und führt, ist bei der nächsten Registrierung, dem nächsten Vorfall und der nächsten Kundenanfrage schneller — weil die Grundlagen bereits stehen.
Betroffenheit einordnen, Pflichten verstehen, Lücken benennen, Nachweise ordnen, nächste Entscheidungen treffen. Wer so beginnt, schafft Klarheit in einem Thema, das bei vielen Unternehmen noch zu verstreut bearbeitet wird — und legt dabei die Basis für alles Weitere.