IT-Sicherheit war lange ein Thema für große Konzerne und Betreiber kritischer Infrastruktur. Mit der NIS2-Richtlinie weitet die EU die Pflichten auf einen deutlich größeren Kreis von Unternehmen aus – auch viele mittelständische Betriebe sind erstmals betroffen. Höchste Zeit, IT-Sicherheit nicht als lästige Auflage, sondern als Geschäftsgrundlage zu begreifen.
Worum es bei NIS2 geht
NIS2 verpflichtet betroffene Unternehmen, IT-Sicherheit systematisch zu betreiben statt nur punktuell. Die Kernanforderungen lassen sich grob zusammenfassen:
- Risikomanagement: Sicherheitsrisiken erfassen, bewerten und mit angemessenen Maßnahmen begegnen.
- Meldepflichten: erhebliche Sicherheitsvorfälle innerhalb festgelegter Fristen melden.
- Verantwortung der Leitung: Die Geschäftsführung trägt ausdrücklich Verantwortung für die IT-Sicherheit und kann sie nicht vollständig delegieren.
- Maßnahmen entlang der Lieferkette: auch die Sicherheit eingebundener Dienstleister gehört in den Blick.
Ob ein konkretes Unternehmen unter NIS2 fällt, hängt von Branche und Größe ab. Die genaue Einordnung sollte fachkundig geprüft werden – die Tendenz geht klar in Richtung mehr Betroffene.
Maßnahmen, die ohnehin Sinn ergeben
Das Beruhigende: Die geforderten Maßnahmen entsprechen weitgehend dem, was solide IT ohnehin auszeichnet. Wer hier investiert, erfüllt nicht nur eine Vorgabe, sondern schützt den eigenen Betrieb:
- Belastbare Backups nach einer klaren Strategie, regelmäßig getestet.
- Zugriffskontrolle mit individuellen Konten und Mehr-Faktor-Anmeldung.
- Aktuelle Systeme durch konsequentes Einspielen von Updates.
- Netzwerksegmentierung, damit ein Vorfall nicht sofort das ganze Netz erfasst.
- Notfallpläne, die festlegen, wer im Ernstfall was tut.
Keine dieser Maßnahmen ist exotisch – sie scheitern in der Praxis meist nicht am Können, sondern daran, dass sie nie konsequent umgesetzt wurden.
Der Vorteil überschaubarer, offener Systeme
Eine durchdachte Open-Source-Infrastruktur erleichtert vieles davon. Eigene, klar getrennte Dienste lassen sich gezielt absichern, Zugriffe kontrollieren und Vorgänge nachvollziehen. Offene Systeme sind zudem transparent: Man kann prüfen, was sie tun, statt einem geschlossenen Produkt vertrauen zu müssen. Und durch die Unabhängigkeit von einzelnen Cloud-Anbietern reduziert sich ein ganzes Bündel an Risiken in der Lieferkette.
Jetzt anfangen, nicht abwarten
Der größte Fehler wäre, NIS2 als ferne Bürokratie abzutun. Sinnvoll ist, den eigenen Stand ehrlich zu erheben, die offensichtlichen Lücken zu schließen und die Verantwortung in der Leitungsebene zu verankern. Vieles davon ist mit überschaubarem Aufwand machbar – und schützt das Unternehmen unabhängig von jeder Richtlinie. Eine verbindliche rechtliche Einordnung der eigenen Betroffenheit ersetzt dieser Beitrag nicht, wohl aber liefert er die Richtung.