Abo
Über das Event Programm Referenten Partner Organisation Blog Rückblick
Veröffentlicht am 05. Mai 2026
Artikel

NIS2 ist keine „DSGVO 2.0“: Warum der Mittelstand jetzt anders handeln muss

Wer aktuell über NIS2 spricht, hört fast reflexartig denselben Vergleich: „Das wird wie die DSGVO, nur diesmal für IT-Sicherheit.“ Das ist nachvollziehbar, führt aber in die falsche Richtung.

Wer NIS2 als reines Compliance-Projekt versteht und glaubt, mit ein paar Richtlinien sei es getan, wird am Ende dort landen, wo viele Unternehmen schon bei der DSGVO gelandet sind: unter Zeitdruck, mit hohem Aufwand und im Ernstfall trotzdem nicht ausreichend vorbereitet.

Im Kern geht es bei NIS2 um Resilienz und das verändert die Perspektive. Zuständigkeiten, Prioritäten, Budgets und die Rolle der Geschäftsleitung rücken stärker in den Fokus.

Gastbeitrag von Kivanç Semen, Gründer & Geschäftsführer von DataGuard

1) Warum der DSGVO-Vergleich in die Irre führt

Die DSGVO hat in vielen Unternehmen ein Muster geprägt: Projektteam aufsetzen, Verzeichnisse und Prozesse dokumentieren, Verträge aktualisieren, Schulungen durchführen. Am Ende entsteht ein Compliance-Paket, das auf Dokumentation und Nachweisbarkeit ausgerichtet ist.

Bei NIS2 ist dieser Ansatz gleich doppelt riskant:

  • NIS2 verlangt Wirksamkeit, nicht nur Dokumentation: Es geht nicht darum, dass es Regeln gibt, sondern ob sie im Alltag funktionieren, getestet sind und bei einem Vorfall greifen.
  • NIS2 ist operativer: Wenn Systeme ausfallen, ist nicht primär das Datenschutzrisiko das Problem, sondern die Betriebsfähigkeit. Dazu zählen Kommunikation, Produktion, Versorgung, Abrechnung, Dienstpläne und Lieferketten.
  • NIS2 ist Management-Aufgabe: Anders als in vielen DSGVO-Projekten, die stark in Datenschutz- oder Rechtsabteilungen verankert waren, adressiert NIS2 explizit Verantwortung auf Leitungsebene.

Wer NIS2 wie die DSGVO behandelt, optimiert auf „Nachweisbarkeit“. NIS2 optimiert aber auf „Überlebensfähigkeit“.

2) Was NIS2 wirklich fordert: Managementsystem & Resilienz statt „Papier-Compliance“

NIS2 setzt nicht bei einzelnen Tools an, sondern bei einem systematischen Sicherheitsmanagement: Risiken erkennen, Maßnahmen ableiten, Verantwortlichkeiten klären, Kontrollen durchführen, Verbesserung umsetzen.

Das wirkt abstrakt, wird aber sehr konkret, wenn man auf typische Angriffsmuster schaut.

In der Praxis sind es oft keine hochkomplexen Schwachstellen, sondern grundlegende Versäumnisse wie vergessene Administrationszugänge, unzureichend geschützte Konten oder fehlende Übersicht über Berechtigungen. Solche Lücken ermöglichen es Angreifern, sich Zugang zu zentralen Systemen zu verschaffen, diese zu verschlüsseln oder den Betrieb gezielt zu stören. Die Folgen können massive Einschränkungen in Kommunikation und Prozessen sein, oft verbunden mit erheblichen operativen Ausfällen.

NIS2 adressiert genau diese Schwachstellen:

  • Zugriffs- und Identitätsmanagement: Wer hat welche Rechte und warum?
  • Starke Authentifizierung: Passwörter allein reichen nicht, gerade nicht bei privilegierten Konten.
  • Erkennung und Reaktion: Sicherheitsvorfälle müssen frühzeitig erkannt und strukturiert bearbeitet werden. Dafür braucht es Transparenz über Aktivitäten, klare Zuständigkeiten und eingespielte Abläufe im Ernstfall.
  • Notfall- und Wiederanlaufplanung: Nicht nur dokumentiert, sondern geübt und realistisch.
  • Lieferanten- und Dienstleistersteuerung: Viele Angriffe beginnen nicht im eigenen Netz, sondern bei Dritten (z. B. kompromittierte Fernzugänge).

Der Punkt ist: NIS2 ist weniger „Was steht im Ordner?“, sondern vielmehr „Was passiert, wenn’s brennt?“.

3) Das typische Muster aus der Praxis: „zu spät + hektisch + teuer“

Viele Mittelständler sind aktuell in einer Phase, die man aus der DSGVO-Zeit kennt: „Wir beobachten erst mal“ oder „Das betrifft uns vermutlich nicht“.

Dazu kommen zwei Realitäten, die den Druck schnell erhöhen:

  1. Angriffe treffen längst den Mittelstand: Er bietet oft die leichteren Einfallstore, etwa durch veraltete Konten, zu breite Rechte, schwache Passwörter, fehlende Segmentierung und ungetestete Backups.
  2. Der Druck kommt häufig über die Lieferkette: Selbst wer nicht direkt reguliert ist, erhält Anforderungen von Kunden, Partnern oder Konzernen, oft in Form von Nachweisen, Audits oder der Erwartung, sich an Standards wie ISO 27001 zu orientieren.

Wenn dieser Druck plötzlich kommt (Kundenfragebogen, Ausschreibung, Sicherheitsvorfall), passiert das Übliche:

  • Maßnahmen werden parallel gestartet, ohne Priorisierung
  • Tools werden angeschafft, bevor Rollen, Prozesse und Ziele klar sind
  • Dokumentation entsteht, aber die Umsetzung bleibt inkonsistent

Das ist teuer und schafft selten echte Resilienz.

4) Wie man es richtig macht: vom Aktionismus zur Struktur

Der pragmatische Weg ist nicht „alles auf einmal“, sondern strukturiert in Wellen mit klarem Fokus auf Wirksamkeit.

Schritt 1: Gap-Analyse

Das Ziel ist ein priorisierter Maßnahmenplan:

  • Welche kritischen Geschäftsprozesse sind von IT-Systemen abhängig?
  • Wo sind die größten realistischen Angriffswege?
  • Welche Kontrollen sind vorhanden und funktionieren sie nachweislich?

Schritt 2: Rollen & Verantwortlichkeiten

NIS2 geht über die IT hinaus und braucht klare Strukturen im Unternehmen:

  • klare Ownership (z. B. Informationssicherheitsbeauftragter bzw. CISO-Rolle, intern oder extern)
  • definierte Entscheidungswege im Vorfall
  • Einbindung der Geschäftsleitung (Risikobewertung, Budget, Prioritäten)

Schritt 3: ISMS als Betriebssystem

Ein ISMS (z. B. nach ISO 27001) ist das System, das dafür sorgt, dass Sicherheitsarbeit dauerhaft und strukturiert passiert:

  • Risiken werden regelmäßig bewertet
  • Maßnahmen werden umgesetzt und nachgehalten
  • Änderungen (IT, Organisation, Dienstleister) werden sauber integriert
  • Vorfälle und Learnings fließen zurück in Verbesserungen

Schritt 4: Umsetzung in Wellen

Statt „Big Bang“:

  • zuerst die größten Risiken schließen (z. B. privilegierte Zugänge, MFA, Backup-Strategie, Notfallkommunikation)
  • parallel Grundlagen stabilisieren (Asset-Übersicht, Richtlinien, Lieferantenanforderungen)
  • dann Reife erhöhen (Monitoring, Übungen, Audits, kontinuierliche Verbesserung)

Von Compliance zu Resilienz

NIS2 wird oft als neue Belastung diskutiert. Wer es aber richtig angeht, erzielt damit echte Vorteile für das gesamte Unternehmen:

  • stabilere Lieferkettenbeziehungen, weil Sicherheitsnachweise zunehmend Einkaufsbedingung werden
  • weniger Betriebsunterbrechungen und schnellere Wiederanläufe nach Vorfällen
  • höhere Verhandlungsfähigkeit gegenüber Kunden
  • bessere Planbarkeit von Security-Budgets, weil Maßnahmen priorisiert und begründet sind

Die eigentliche Entscheidung ist damit nicht „NIS2 ja oder nein“, sondern: Wollen wir Cybersicherheit weiter reaktiv behandeln oder als Managementaufgabe, die unsere Betriebsfähigkeit schützt?