NIS2-Richtlinie: Die Checkliste für den Mittelstand

Die NIS2-Richtlinie zwingt Geschäftsführer zum Handeln. IT-Sicherheit ist kein “Nice-to-have” mehr, sondern eine gesetzliche Pflicht mit persönlicher Haftung. Doch wo fängt man an?

Hier ist eine grobe Checkliste für den Start:

1. Betroffenheit prüfen

Fallen Sie unter die Richtlinie?

• Sind Sie in einem “wesentlichen” oder “wichtigen” Sektor tätig? (Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, Lebensmittel, Chemie, verarbeitendes Gewerbe…).
• Haben Sie mehr als 50 Mitarbeiter oder 10 Mio. € Umsatz?
• Achtung: Auch als Zulieferer für einen betroffenen Konzern können Sie vertraglich zur Einhaltung gezwungen werden (“Supply Chain Security”).

2. Risikoanalyse durchführen

Sie müssen Ihre Assets kennen. Welche Daten sind kritisch? Was passiert, wenn die Produktion 3 Tage stillsteht? Ohne Inventur kein Schutz.

3. Maßnahmenplan (Die “Basishygiene”)

• Multi-Faktor-Authentifizierung (MFA) überall aktivieren.
• Patch-Management: Updates automatisiert einspielen.
• Offline-Backups: Schutz vor Ransomware.
• Verschlüsselung von Festplatten und E-Mails.
• Notfallplan: Wissen alle, wen sie anrufen müssen, wenn am Sonntag der Bildschirm rot blinkt?

4. Meldewege einrichten

Sie müssen in der Lage sein, signifikante Sicherheitsvorfälle binnen 24 Stunden an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden. Haben Sie den Kontakt und den Prozess parat?

Fazit: NIS2 ist ein bürokratischer Kraftakt, aber er erhöht die Resilienz Ihres Unternehmens massiv. Sehen Sie es als Investition in Ihren Fortbestand.