NIS 2 bei deutschen KMU: In Scope, Out of Sight?

„NIS 2 gilt – aber viele kleine und mittlere Unternehmen (KMU) wissen nicht, ob sie betroffen sind.“

Diese knappe Erkenntnis brachte unser Kollege Younes Ahmadzei auf den Punkt, als er auf der BSides Munich die Ergebnisse seiner Bachelorarbeit vorstellte. In 17 Interviews mit Geschäftsführungen, IT-Leitungen und CISOs von Nicht-KRITIS-KMU zeichnete sich ein klares Bild ab: 

NIS-2 ist angekommen, aber die Umsetzung stockt.
 

NIS-2 und KMU: Betroffenheit hoch, Klarheit gering

Viele mittelständische Unternehmen fallen objektiv in den Anwendungsbereich der NIS-2-Richtlinie – doch nur wenige wissen es. Die Interviews zeigen drei zentrale Ursachen:

1. Unsicherheit über die NIS-2-Betroffenheit 
   Viele Unternehmen wissen schlicht nicht, ob sie unter die Richtlinie fallen oder reagieren verwirrt auf die Anforderungen. Da die nationale Umsetzung in Deutschland sich verzögerte und Entwürfe sich änderten, herrscht große Unklarheit. Ein Geschäftsführer drückte es so aus:

„Ehrlich gesagt verstehe ich nichts davon. Es ist alles so ein Durcheinander von Begriffen“.

2. Komplexität der NIS-2-Anforderungen 
   Für viele Mittelständler wirkt der Gesetzestext abstrakt. Es fehlt oft die Expertise, um die juristischen Vorgaben in konkrete operative Schritte zu übersetzen. NIS 2 wird häufig als bürokratische Last wahrgenommen, bei der Dokumentation („Papier für die Schublade“) produziert wird, ohne dass dies gefühlt die Sicherheit voranbringt.
3. Zögerliche Reaktion bei fehlender nationaler NIS-2-Umsetzung 
   Eine weit verbreitete Strategie ist das Abwarten. Solange das nationale Gesetz nicht final ist, scheuen Unternehmen davor zurück, Ressourcen zu investieren, um Fehlinvestitionen zu vermeiden. Diese „Wait-and-See“-Haltung führt zu einem gefährlichen Stillstand.

Die vier zentralen Hürden für KMU

Aus den Interviews lassen sich vier strukturelle Herausforderungen ableiten, die den Mittelstand besonders betreffen:

1. Betroffenheit klären 
   Viele KMU wissen nicht, dass sie aufgrund von Größe und Sektor automatisch unter NIS-2 fallen.
2. Komplexität bewältigen
   Governance Pflichten, Risikomanagement, Incident Response, Lieferantenbewertung - viele Anforderungen wirken wie für Konzerne geschrieben.
3. Ressourcenmangel 
   Für viele KMU ist der Aufwand schlicht nicht realistisch. Ein IT Manager schätzte: 

„Mindestens eine Person zwei bis drei Tage die Woche nur für dieses Thema.“ 

4. Fehlende Struktur
   Technisch sind viele Unternehmen gut aufgestellt - organisatorisch und dokumentarisch jedoch nicht.

Diese Hürden erklären, warum NIS-2 zwar wahrgenommen wird, aber kaum aktiv bearbeitet wird.

Ein Indikator für die Unsicherheit: Die extrem niedrige Rücklaufquote

Wie groß die Unsicherheit und die Zurückhaltung im Mittelstand tatsächlich sind, zeigte sich eindrücklich bei der Datenerhebung für die Studie. Aus einer Liste von ursprünglich 3.000 Unternehmen wurden 1.800 identifiziert, die potenziell unter NIS-2 fallen. Trotz der Versendung von rund 3.600 E-Mails an Unternehmen konnten am Ende nur 17 Interviews geführt werden. 
Viele Organisationen lehnten ab, die Gründe:

•    Zeitmangel
•    Desinteresse
•    Unklarheit über die eigene Betroffenheit

Allein diese Quote zeigt: Der Mittelstand weiß, dass NIS-2 existiert – aber fühlt sich nicht in der Lage, sich damit auseinanderzusetzen.
 

Quelle: BSidesMunich

Warum NIS-2 mehr ist als Compliance

Viele denken bei NIS-2 zunächst an ein reines „Compliance-Thema“. Die Interviews zeigen jedoch, dass die Probleme tiefer liegen:

• Einordnungsproblem 
  Viele Unternehmen reagierten auf Anfragen mit Verwirrung und gaben an, dass das Gesetz noch nicht gelte oder sie nicht betroffen seien, obwohl sie nach objektiven Kriterien (Sektor und Größe) in den Anwendungsbereich fallen.
• Umsetzungsproblem
  Selbst wenn der Wille da ist, scheitert es oft an der praktischen Umsetzung der komplexen Governance- und Dokumentationspflichten, die eher auf Konzerne als auf KMU zugeschnitten scheinen.

Das eigentliche Risiko liegt daher nicht nur in möglichen Sanktionen, sondern im strukturellen Aufschieben sicherheitsrelevanter Maßnahmen. Viele der von NIS-2 geforderten Punkte wie etwa:

• Risikomanagement,
• Incident-Response-Prozesse •
• Business Continuity oder
• Lieferantenbewertung, 

sind keine formalen Anforderungen, sondern elementare Bausteine moderner IT-Sicherheit. Wer hier abwartet, verschiebt nicht nur Compliance, sondern auch Cyber-Resilienz.

Praxisbeispiele aus den Interviews: Wie KMU reagieren

Aus den Interviews wurde deutlich, dass es oft eine Diskrepanz zwischen technischer Sicherheit und formaler Compliance gibt:

• Beispiel 1: Das operative Dilemma 
  Viele KMU sind technisch durchaus gut aufgestellt – Firewalls und Backups sind vorhanden. Das Problem liegt in der Formalisierung, so ein IT-Infrastrukturleiter:

„Im operativen Bereich sind wir gut vorbereitet. Im organisatorischen und dokumentarischen Bereich [...] sind wir noch nicht so weit.“

• Beispiel 2: Nutzung von Synergien 
  Unternehmen, die bereits Standards wie TISAX® implementiert haben, tun sich deutlich leichter. Ein Interviewpartner merkte an: 

„Der Schritt von TISAX® zu NIS-2 ist sehr klein – die Strukturen sind schon da.“ 

Diese Beispiele zeigen: Wer NIS-2 nicht als isolierte Vorschrift, sondern als Teil einer umfassenderen Sicherheitsstrategie (z.B. angelehnt an ISO 27001 oder TISAX®) begreift, kann Synergien nutzen – und vermeidet dabei doppelte Aufwände.

Hilfestellung: NIS-2-Self-Assessment-Tool

Die Interviews zeigen klar: KMU brauchen Struktur, Orientierung und Übersetzung.
Im Rahmen der Bachelorarbeit wurde daher ein Excel-basiertes Self-Assessment-Tool entwickelt. 
Dieses Tool hilft Unternehmen dabei:

• Die abstrakten Gesetzestexte in verständliche Fragen zu übersetzen.
• Eine interne Bestandsaufnahme durchzuführen
• Lücken in der Umsetzung und Dokumentation zu identifizieren
• Unsicherheit zu reduzieren
• Intern Argumente (insbesondere gegenüber der Geschäftsführung) für Ressourcen zu schaffen

KMU, die ihre Betroffenheit schnell einschätzen möchten finden hier das kostenlose NIS-2-Self‑Assessment-Tool.

Fazit: Handeln lohnt sich

NIS-2 ist mehr als eine bürokratische Hürde oder ein isoliertes Gesetz. Die Richtlinie schafft einen Strukturierungsrahmen für Cyber‑Resilienz im Mittelstand – und bietet einen Anlass, die eigene Sicherheitsorganisation kritisch zu hinterfragen. Unternehmen, die frühzeitig prüfen, in welchem Umfang sie betroffen sind, und etablierte Standards als Leitplanken nutzen, verschaffen sich einen klaren Vorteil: rechtlich, organisatorisch und sicherheitstechnisch.

Die eigentliche Frage lautet daher nicht, ob NIS-2 Aufwand verursacht – sondern ob sich ein weiterer Aufschub langfristig leisten lässt.

Wer frühzeitig Klarheit über die eigene Betroffenheit schafft und bestehende Standards intelligent nutzt, reduziert nicht nur regulatorische Risiken, sondern professionalisiert die eigene Sicherheitsorganisation nachhaltig.