NIS2 klingt auf den ersten Blick nach Juristen- und Managementthema. In der Praxis wird daraus aber sehr schnell ein technisches Betriebsproblem: Sind Systeme aktuell? Gibt es belastbare Backups? Sind Zugriffe abgesichert? Erkennt jemand Vorfälle früh genug? Und ist dokumentiert, wer im Ernstfall was tut?
Genau deshalb sollte NIS2 nicht erst als Formular- oder Auditprojekt verstanden werden. Für viele mittelständische Unternehmen ist es vor allem ein Anlass, den eigenen IT-Betrieb sauberer, nachvollziehbarer und widerstandsfähiger aufzustellen.
Erst prüfen, ob man betroffen ist
Der erste Schritt bleibt ein Betroffenheitscheck. Branche, Unternehmensgröße, Umsatz und Rolle in Lieferketten entscheiden, ob NIS2 direkt greift oder indirekt über Kundenanforderungen relevant wird.
Wichtig ist aber: Auch Unternehmen, die formal nicht direkt betroffen sind, bekommen die Anforderungen oft über Geschäftspartner, Versicherungen oder Ausschreibungen zu spüren. Dann reicht ein „betrifft uns nicht“ im Alltag nicht mehr aus.
Was technisch fast immer auf den Tisch kommt
Die konkreten Maßnahmen unterscheiden sich je nach Umgebung. Trotzdem tauchen in Projekten immer wieder dieselben Baustellen auf.
Patch-Management
Updates müssen nicht nur „irgendwann“ eingespielt werden. Es braucht einen geregelten Prozess mit Inventar, Wartungsfenstern, Priorisierung und Nachweis. Kritische Sicherheitsupdates dürfen nicht zwischen Alltagsaufgaben untergehen.
Zugriffsschutz und MFA
Admin-Zugänge, VPN, zentrale Anwendungen und externe Portale sollten nicht nur mit Passwörtern geschützt sein. Mehrfaktor-Authentisierung, Rollenmodelle und getrennte Admin-Konten sind grundlegende Bausteine.
Backup und Recovery
Backups sind erst dann belastbar, wenn Wiederherstellungen getestet wurden. Für NIS2-nahe Anforderungen geht es nicht nur um „Daten vorhanden“, sondern um Wiederanlauf nach Störungen oder Angriffen.
Unser Beitrag zu Ransomware Recovery zeigt, warum Backup allein dafür nicht reicht.
Monitoring und Alarmierung
Wer Vorfälle melden und bewerten soll, muss sie zuerst erkennen. Monitoring darf deshalb nicht nur Verfügbarkeit prüfen, sondern auch Backup-Alter, Zertifikate, Logins, Systemzustände und ungewöhnliche Betriebsabweichungen sichtbar machen.
Dokumentation und Zuständigkeiten
Technik ohne Zuständigkeiten bleibt im Incident langsam. Wer entscheidet? Wer prüft Logs? Wer informiert Geschäftsleitung, Kunden oder Dienstleister? Diese Punkte gehören vorab geklärt.
Warum NIS2 nicht mit einem Tool erledigt ist
Viele Anbieter verkaufen NIS2 als Produkt. In Wirklichkeit geht es aber um ein Betriebsmodell. Ein Scanner findet Schwachstellen, aber er pflegt keine Wartungsfenster. Ein Backup-Tool schreibt Daten, aber es entscheidet nicht, welches System zuerst wiederhergestellt werden muss.
Die eigentliche Arbeit liegt darin, bestehende Systeme in einen nachvollziehbaren Regelbetrieb zu bringen:
- Bestand aufnehmen
- Risiken priorisieren
- Maßnahmen technisch umsetzen
- Zuständigkeiten dokumentieren
- Wirksamkeit regelmäßig prüfen
Das ist weniger spektakulär als ein neues Dashboard, aber deutlich wirksamer.
Ein pragmatischer Startplan
Für viele Unternehmen funktioniert ein Einstieg in fünf Schritten:
- Systeme, Anwendungen und Verantwortlichkeiten erfassen
- Patch-Stand, Backup, MFA und Mail-Security bewerten
- kritische Lücken mit direkter Betriebswirkung priorisieren
- Monitoring und Incident-Abläufe schärfen
- Ergebnisse in einen umsetzbaren Maßnahmenplan bringen
Damit entsteht keine perfekte Sicherheitswelt, aber eine klare Reihenfolge. Und genau das fehlt häufig.
Wo wir in der Praxis anfangen
Der schnellste Hebel ist oft ein strukturierter IT-Sicherheits-Check. Dabei wird sichtbar, ob Patch-Management, Backup/Restore, Mail-Security, Monitoring und Zugriffe bereits tragfähig sind oder nur nebenbei mitlaufen.
Wenn daraus laufender Betrieb werden soll, passt die Umsetzung meist in Managed IT: regelmäßige Updates, Monitoring, Backup-Reviews, Dokumentation und klare Reaktionswege.
NIS2 ist dann nicht nur Compliance-Aufwand, sondern ein konkreter Anlass, die IT belastbarer zu machen.