© 2025 cybersecurityinfocus

NIS2 und der Mittelstand: Zwischen Pflicht und Praxis

August 26 1:29 pm

Tags:

No tags

NIS2 kommt: Die EU-Richtlinie ist seit 2023 in Kraft und soll europaweite Standards für IT-Sicherheit und digitale Resilienz schaffen. Die Umsetzung in Deutschland steht nach wie vor aus – wie genau die Richtlinie in die nationale Gesetzgebung gegossen wird, ist also noch gar nicht klar. Das ist vor allem deshalb pikant, da auch erstmals die Führungsebene in Haftung genommen werden soll.

Neue EU-Vorgaben wie DORA und NIS2 setzen Unternehmen unter Zugzwang – bieten aber gleichzeitig die Chance, IT-Sicherheit strategisch neu zu denken.

AIBooth – shutterstock.com

Viel Unklarheit also, was das für deutsche Unternehmen heißt. Eines lässt sich dabei jetzt schon absehen: Bei Cybersicherheit und digitaler Resilienz muss der Mittelstand noch deutlich aufholen, um NIS2 erfolgreich umzusetzen. Anlass genug für die Experten beim COMPUTERWOCHE-Roundtable zum Thema “Cybersicherheit und digitale Resilienz”, über den aktuellen Stand der IT-Sicherheit in Deutschland zu sprechen und zu diskutieren, worauf sich Entscheider einstellen müssen.

Informationen zu den Partner-Paketen der Studie “Cybersicherheit & digitale Resilienz 2025″

Der Mittelstand braucht einen Plan

Mehr Sicherheit zu gewährleisten und dafür verbindliche Regelungen zu schaffen – die NIS2-Richtlinie ist in der Sache absolut sinnvoll – da sind sich die Experten einig. Kritik gibt es vor allem im Hinblick auf die Umsetzbarkeit: “Aus Brüssel hätte man erkennen können, dass nationale Ausprägungen bei der Umsetzung europäischer Richtlinien regelmäßig zu Schwierigkeiten führen”, wie Heiko Adamczyk, Business Development Manager bei Fortinet, feststellt: “Die Erfahrungswerte sind da. Ein direkt anwendbarer Rechtsakt – wie bei DORA – wäre zielführender gewesen.” Damit wäre laut dem Experten nicht nur die Umsetzung schneller gegangen, auch nationale Sonderwege wären entfallen und das hätte automatisch zu mehr Einheitlichkeit und Konformität geführt.

Dass die nationale Umsetzung noch aussteht, hat jedoch auch einen Vorteil: Sie verschafft den Unternehmen in Deutschland etwas mehr Zeit – und die scheint dringend nötig. Thomas Masicek, Senior Vice President / Tribe Lead Cyber Security bei T-Systems, beobachtet bei der Umsetzung von NIS2 insbesondere im Mittelstand einen starken Unterstützungsbedarf: “Viele Unternehmen sind verunsichert und wissen gar nicht, wie sie das Thema NIS2 konkret angehen sollen.” 

Richard Skalt, Advocacy Manager im Cybersecurity Office bei TÜV SÜD bestätigt diese Unsicherheit mit einem Einblick in die TÜV-Verbandsstudie zur Cybersicherheit: “Nur rund 50 Prozent der Befragten wussten, was die NIS2-Richtlinie ist und was sie umfasst.” Besonders bei KMUs herrsche eine besorgniserregende Skepsis: “22 Prozent gaben an, keinen Nutzen in der Umsetzung zu sehen. Viele betrachten sie als reine Bürokratie.”

Studie “Cybersicherheit & digitale Resilienz”: Sie können sich noch beteiligen!Zum Thema Cybersicherheit & digitale Resilienz führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Partner bei dieser Studie werden, helfen wir Ihnen unter research-sales@foundryco.com gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF).

Spannungsfeld von Pflicht und Überforderung

Die Notwendigkeit digitaler Resilienz – und sei es nur zum Selbstzweck – scheint vielen also noch nicht ganz klar. Um auch Skeptiker zur Umsetzung zu bewegen, sieht NIS2 deshalb empfindliche Strafen vor, die das Management direkt treffen können. Thomas Boele, Regional Director Sales Engineering bei Check Point, bedauert, dass es überhaupt Strafandrohungen benötigt, um den nötigen Handlungsdruck zu erzeugen: “Eigentlich sollte Security als Enabler gesehen werden – als Grundlage dafür, dass Geschäftsprozesse sicher und zuverlässig ablaufen können. Sicherheit muss ein inhärenter Bestandteil sein, so selbstverständlich wie das Anschnallen beim Autofahren.” Diese Haltung müsse in die DNA der Menschen übergehen. Leider geschehe das oft erst durch Schmerz, so der Experte. 

Dieser Schmerz kommt nun in Form der NIS2-Richtlinie, denn sie macht Resilienz zur unternehmerischen Pflicht. Letztendlich zum Vorteil für die Unternehmen, darin sind sich die Experten des Roundtables einig: “Man hat nichts gewonnen, wenn das Unternehmen durch einen Vorfall für Wochen lahmgelegt ist. Dann entsteht kein höherer Umsatz – im Gegenteil: Es entsteht ein enormer Reputationsschaden, hohe Kosten und ein großer Aufwand für die Incident Response”, stellt Thomas Masicek fest. Und auch Marc Meckel, Manager Domain Consulting bei Palo Alto merkt an, dass “jedes Unternehmen beim Thema Cybersicherheit aktiv werden muss – nicht nur aus regulatorischen Gründen, sondern um langfristig marktfähig zu bleiben.” 

Sicherheitslücken sind Alltag

Doch bei der Umsetzung von NIS2 bremst den Mittelstand nicht nur Skepsis gegenüber der Sinnhaftigkeit: Es fehlt oft schon an grundlegenden Sicherheitsmaßnahmen, wie Marc Meckel feststellt. Er beobachtet “viele Organisationen mit einem technologischen Wildwuchs, bei dem einzelne Systeme nicht miteinander harmonieren.” Auch Thomas Masicek merkt fehlende Basissicherheit in Unternehmen an: “Systeme sind nicht gepatcht und es gibt kein Rollen- und Rechtesystem – das macht es Angreifern sehr einfach, sich im Unternehmensnetzwerk auszubreiten.” Er hofft, “dass die NIS-Richtlinie dafür sorgt, dass jedes Unternehmen eine klare Zuständigkeit für Cybersicherheit schafft.” Denn genau hier scheint ein grundlegendes Problem vieler mittelständischer Unternehmen zu liegen: Sie wissen nicht, wo und womit sie bei der Umsetzung von NIS2 überhaupt beginnen sollen – und wer überhaupt verantwortlich ist. Strukturen wie ISO-Zertifizierungen, Standards oder Strukturen für Risiko- oder Incident-Management, auf die vor allem große Unternehmen aufbauen können, fehlen, wie Thomas Masicek anmerkt: “Viele müssen tatsächlich bei Null beginnen.” 

Risiken erkennen und Ängste überwinden

Nur wo soll man anfangen, wenn man bei Null beginnt? Thomas Boele findet: Am besten mit der Beantwortung der Frage, welche Risiken im Unternehmen überhaupt vorhanden sind. “Doch gerade im Mittelstand ist das oft schwierig herauszufinden – da fehlen häufig die Ressourcen und das Know-how”, gibt er zu bedenken.  

Deshalb braucht es vor allem eine Simplifizierung, merkt Richard Werner, Cybersecurity Platform Lead Europe bei Trend Micro an und plädiert auf die Nutzung moderner Technologien: “KI kann dabei helfen, Informationen zu übersetzen, Risiken zu erklären – und das funktioniert in der Regel cloudgestützt.” Doch hier würden oft Ängste bremsen: “Gerade im Mittelstand muss man häufig um diese Ängste herum arbeiten. Hier herrscht viel Halbwissen und Angst aufgrund rechtlicher Unsicherheit.” Auch für Thomas Boele ist klar, dass die Angst vor der Cloud endlich abgelegt werden muss. “Nur so lassen sich moderne Technologien wirklich nutzen.”

Faktor Mensch: Hygiene statt Schuldzuweisung

Für Marc Meckel sind Lösungen, die von Grund auf so konzipiert sind, dass sie den regulatorischen Anforderungen entsprechen – und damit sowohl Angriffe abwehren als auch die rechtliche Haftung reduzieren – besonders wichtig. Denn er stellt fest, dass Phishing einer der Hauptangriffsvektoren sei: “Der Faktor Mensch spielt also eine große Rolle – und sorgt weiterhin für Unsicherheit in Unternehmen.” 

Richard Werner stimmt dem zu und merkt an: “Das Problem ist nicht der eine Mitarbeiter, der auf die Mail klickt, sondern die Hygiene im Hintergrund.” Wichtig sei es deshalb, eine Basis zu finden, um Risiken zu erkennen und deren Relevanz richtig einzuschätzen. “In fast 50 Prozent aller Incident-Response-Fälle finden wir unbekannte Geräte.” Solche Risiken müssten identifiziert werden, bevor der Angriff passiert. “Dann muss ich mich vor dem Angriff auch gar nicht mehr so fürchten,” führt der Experte weiter aus.  

Resilienz testen, bevor es ernst wird

Und falls es dennoch zum Angriff kommt? Dann braucht es laut Thomas Masicek vor allem einen verlässlichen Disaster-Recovery-Plan. “Wer erst im Ernstfall beginnt zu handeln, ist zu spät dran”, warnt Masicek. 

Um gut vorbereitet zu sein, gibt es laut den Experten viele Möglichkeiten: “Umfangreiche und regelmäßige Feuerproben, wie im Finanzsektor, wird es in kleinen Unternehmen nicht geben, denn hier fehlt es an Expertise, Zeit und Geld”, gibt Thomas Boele zu bedenken. Möglich wäre es laut dem Experten aber, Störungen bewusst zu erzeugen und zu sehen, wie das System reagiert. “Ein guter Ansatz, der sich in anderen Bereichen durchsetzen sollte. In der Cloud ist das granularer möglich und kann gut getestet werden.”

Für Richard Skalt reicht das Spektrum “um die Resilienz aufrechtzuerhalten, […] von Phishing-Tests bis hin zu Penetrationstests. Dabei können auch externe Penetration Tester – auch bekannt als ‘white hat hacker‘ – eingesetzt werden, die nicht nur Systeme scannen, sondern gezielt versuchen, Schwachstellen auszunutzen – selbstverständlich im Rahmen des Hackerparagraph (§ 202c StGB).” Auch Richard Werner empfindet Penetrationstests als sinnvoll, “weil es nicht nur um Schwachstellen geht, sondern auch darum, die Mitarbeiter:innen auf den Ernstfall vorzubereiten.”

Aufräumen, anpassen, vorbereiten – es zeigt sich: Die Umsetzung von NIS2 sollte als Chance begriffen werden, in eine widerstandsfähige und zukunftsfähige IT-Landschaft zu investieren. Denn verpflichtende Cybersicherheit und Resilienz sind weniger eine bürokratische Last als ein Anlass zur strukturierten Weiterentwicklung.

Informationen zu den Partner-Paketen der Studie “Cybersicherheit & digitale Resilienz 2025″

Teilnehmer des Roundtables “Cybersicherheit & digitale Resilienz”

srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Thomas-Boele_Check-Point_16x9.png?quality=50&strip=all 672w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=444%2C250&quality=50&strip=all 444w” width=”640″ height=”360″ sizes=”auto, (max-width: 640px) 100vw, 640px”>

Thomas Boele, Check Point:

“Für eine wirksame Präventionsstrategie lautet die zentrale Ausgangsfrage: Was ist mir wichtig – und was will ich konkret erreichen? Oft wird dann klar, dass es mehr als nur technische Lösungen braucht. Es braucht eine Strategie – etwa durch Konzepte wie Zero Trust, fundierte Risikoprognosen und den Aufbau von Resilienz. Im Sinne eines Zwiebelprinzips nähert man sich Schicht für Schicht der passenden Lösung. Und ganz am Ende stehen die Technik und vor allem die Sensibilisierung der Anwender:innen – denn sie sind ein entscheidender Faktor für die Wirksamkeit jeder Sicherheitsmaßnahme.”

Check Point Software Technologies Ltd.

srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?quality=50&strip=all 1228w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=444%2C250&quality=50&strip=all 444w” width=”854″ height=”481″ sizes=”auto, (max-width: 854px) 100vw, 854px”>

Heiko Adamczyk, Fortinet:

“Wir sind auf Orientierungsfahrt – besonders im OT-Bereich fehlen Erfahrungswerte. Die Unternehmen brauchen Zeit, um Prozesse und Technologien aufzubauen. Das gilt für Betroffene ebenso wie für Anbieter, die sich fragen müssen: Was braucht der Markt?”

Carsten Simon photography / Fortinet GmbH

srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Marc-Meckel_Palo-Alto.png?quality=50&strip=all 576w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Marc-Meckel_Palo-Alto.png?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Marc-Meckel_Palo-Alto.png?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/08/Portrait_Marc-Meckel_Palo-Alto.png?resize=444%2C250&quality=50&strip=all 444w” width=”576″ height=”324″ sizes=”auto, (max-width: 576px) 100vw, 576px”>

Marc Meckel, Palo Alto:

“Viele Unternehmen, gerade im Mittelstand, sind auf die aktuellen Sicherheitsanforderungen nicht immer vorbereitet. Der Fachkräftemangel verstärkt das Problem: Ohne ausreichend Spezialist:innen bleiben viele Bedrohungen unerkannt und unanalysiert. Angesichts der zunehmenden Komplexität ist es daher entscheidend, einen Rahmen zu schaffen, der Orientierung bietet. Genau das leisten NIS2 und DORA.”

Palo Alto Networks (Germany) GmbH

Richard Werner, Trend Micro:

“Im Mittelstand zeigt sich beim Thema NIS2 vor allem eines: Sicherheit muss verständlicher werden. Prävention und Reaktion müssen klar, einfach und schnell nachvollziehbar sein. Die bekannten 24- und 72-Stunden-Meldepflichten sind mit manuellen Prozessen kaum zu halten – automatisiert wäre es längst machbar. Die Technologien existieren. Jetzt gilt es, sie so einzusetzen, dass Sicherheit nicht nur wirkt, sondern auch verstanden wird. KI kann dabei helfen – etwa beim Erklären von Risiken und der Automatisierung von Prozessen.”

Trend Micro

Thomas Masicek, T-Systems:

“Gerade der Mittelstand ist häufig nicht gut vorbereitet: Viele sehen Cybersicherheit noch immer als Last oder reine Compliance-Pflicht – und erkennen nicht, dass hier ein echter Wettbewerbsvorteil liegen kann. In der Vergangenheit waren es nicht selten die Verantwortlichen selbst, die Entwicklungen ausgebremst haben. Aber am Ende geht es bei IT- und Cybersicherheit darum, ein Enabler zu sein – etwas zu ermöglichen und gleichzeitig Sicherheit zu garantieren.“

T-Systems International GmbH

Richard Skalt, TÜV SÜD:

“Phishing zählt aktuell zu den größten Cyberrisiken. Die Supply Chain rückt dabei zunehmend in den Fokus – ein Thema, das sowohl NIS2 als auch DORA adressieren. Für Auftraggeber bedeutet das, eine Risikoanalyse durchzuführen und darauf aufbauend angemessene Nachweise von den Dienstleistern zu verlangen. Eine Zertifizierung kann ein wichtiger Baustein dafür sein, da sie ein objektiver Nachweis für ein wirksames ISMS und ein Bewusstsein für mögliche Bedrohungen sind.”

Conny Kurz / TÜV SÜD AG

Categories

Prev
Next

No Responses

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2025 cybersecurityinfocus. Built with ❤️ using WordPress and Ketos Theme.