NIS2 trifft den Mittelstand: Was jetzt zu tun ist

Mit NIS2 weitet die EU den Kreis der regulierten Unternehmen drastisch aus. Plötzlich fallen nicht mehr nur Großkonzerne und klassische KRITIS-Betreiber unter die Pflichten, sondern auch viele mittelständische Zulieferer, Dienstleister und Hersteller. Die unbequeme Wahrheit: Ein Großteil der Betroffenen weiß noch gar nicht, dass sie gemeint sind.

Bin ich überhaupt betroffen?

Maßgeblich sind Sektor, Unternehmensgröße und Umsatz. Wer in einem der „wichtigen" oder „besonders wichtigen" Sektoren tätig ist und die Schwellenwerte überschreitet, ist in der Pflicht – unabhängig davon, ob das Wort „KRITIS" je gefallen ist. Auch als Zulieferer eines betroffenen Unternehmens geraten Sie über Lieferketten-Anforderungen mit hinein.

NIS2 ist keine reine IT-Aufgabe. Die Richtlinie nimmt ausdrücklich die Geschäftsführung in die Verantwortung.

Die fünf Schritte aus der Unsicherheit

1. Betroffenheit klären: Sektor, Größe und Lieferkettenbezug strukturiert prüfen – nicht aus dem Bauch heraus.
2. Gap-Analyse: Den Ist-Zustand gegen die Anforderungen (Risikomanagement, Meldewege, Notfallvorsorge) spiegeln.
3. Maßnahmen priorisieren: Mit den Lücken beginnen, die das größte Risiko und die kürzeste Frist haben.
4. Notfallvorsorge aufbauen: Meldeprozesse, Notfallpläne und Verantwortlichkeiten dokumentieren – und üben.
5. Nachweis sichern: Alles revisionssicher dokumentieren, damit Sie gegenüber Aufsicht und Kunden belegen können.

Warten ist die teuerste Option

Die Erfahrung zeigt: Organisationen, die früh strukturiert anfangen, brauchen weniger externe Hilfe und geraten nicht in Torschlusspanik. Der erste Schritt ist unspektakulär, aber entscheidend – Klarheit über die eigene Betroffenheit. Genau dafür gibt es unseren kostenlosen Self-Check.