NIS2-Richtlinie verstehen: So schützt sich der Mittelstand vor Cyberangriffen

Suzanne van der Cruysse

Willkommen zum DMS-Podcast. Der Podcast für Geschäftsführung, Digitalisierung und DMS-Strategie. Im Rahmen unserer Gespräche über Prozesse, die wirken, beleuchten wir heute, wie die NIS2-Richtlinie den Mittelstand vor Cyberangriffen schützt – und was Sie jetzt tun sollten.

Markus Höllriegel

Hallo und herzlich willkommen. Ich bin Markus Höllriegel und freue mich, dass Sie dabei sind.

Sophia Brandenburg

Auch von mir ein herzliches Hallo an Dich, Markus, und unsere Zuhörer aus meinem Berliner Homeoffice. NIS2 ist die EU-Richtlinie für Cybersicherheit, die deutlich mehr Branchen als KRITIS verpflichtet, ein nachweisbares Risikomanagement mit klaren Verantwortlichkeiten zu verankern. Für Sie heißt das: Vorfälle rasch melden und Maßnahmen wie Multi-Faktor-Authentifizierung, Patch- und Backup-Management sowie Lieferketten-Kontrollen etablieren – sonst drohen spürbare Bußgelder und Reputationsschäden.

Markus Höllriegel

Wir sprechen über blockierte ERP-Systeme, unterbrochene Lieferketten durch Ransomware und warum Abwarten jetzt das teuerste Risiko ist. Die Angreifer sind organisiert, professionell und oft staatlich gedeckt.

Sophia Brandenburg

NIS2 ist kein Papiermonster, wenn man es richtig angeht. Es ist ein klarer Rahmen, der die Verantwortlichen befähigt, Risiken sichtbar zu machen und die richtigen Routinen zu etablieren. Und er nimmt die Geschäftsführung ausdrücklich in die Pflicht.

Markus Höllriegel

Beginnen wir mit der Betroffenheit. NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Der Anwendungsbereich ist deutlich breiter als bei KRITIS. Betroffen sind in der Regel mittlere und große Unternehmen in Sektoren wie Energie, Transport, Gesundheit, digitale Infrastrukturen, Abfallwirtschaft, Post, Chemie, Lebensmittel und Herstellung.

Sophia Brandenburg

Selbst wenn Sie formal nicht direkt betroffen sind, greifen Lieferketteneffekte. Kunden verlangen Sicherheitsstandards, Auditrechte und Nachweise. Diese Kaskade ist gewollt, weil Schwachstellen oft bei kleineren Zulieferern auftreten.

Markus Höllriegel

Wesentlich sind die verschärften Meldepflichten. Innerhalb von vierundzwanzig Stunden muss ein Frühwarnhinweis erfolgen. Nach zweiundsiebzig Stunden folgt eine erste Lagebewertung, nach einem Monat der Abschlussbericht. Das verlangt eingeübte Prozesse, belastbare Logs und klare Rollen.

Sophia Brandenburg

Der Sanktionsrahmen ist ernst zu nehmen. Für besonders wichtige Einrichtungen drohen bis zu zehn Millionen Euro oder zwei Prozent vom weltweiten Umsatz, für wichtige Einrichtungen bis zu sieben Millionen Euro oder ein Komma vier Prozent. Dazu kommen betriebswirtschaftliche Folgen: Produktionsausfälle, Vertragsstrafen, Reputationsschäden.

Markus Höllriegel

Die NIS2-Richtlinie ist seit dem sechzehnten Januar zweitausenddreiundzwanzig in Kraft und hätte bis zum siebzehnten Oktober zweitausendvierundzwanzig in nationales Recht umgesetzt werden müssen. Der aktuelle Gesetzesentwurf vom dreißigsten Juli zweitausendfünfundzwanzig lässt eine Verabschiedung noch in zweitausendfünfundzwanzig erwarten. Sobald das Umsetzungsgesetz in Kraft tritt, gelten die Pflichten unmittelbar. Es gibt keine allgemeine Übergangsfrist. Zeit ist jetzt der kritische Faktor.

Sophia Brandenburg

Kommen wir zum Vorgehen. Die Basis ist ein Informationssicherheitsmanagementsystem nach BSI-Standards zweihundert-eins bis zweihundert-vier. Das sichert die Anschlussfähigkeit zu ISO siebenundzwanzigtausend eins, das heißt die BSI-Standards sind so gestaltet, dass die Prozesse und Dokumente ohne Brüche mit der internationalen Norm ISO siebenundzwanzigtausend eins zusammenpassen und darauf geprüft beziehungsweise zertifiziert werden können. Das ist praxiserprobt, auditfest und im Mittelstand machbar.

Markus Höllriegel

Erster Schritt ist die Betroffenheitsprüfung: Sektor, Größe, Rolle in der Lieferkette und kritische Prozesse auf einer Seite sichtbar machen. Zweiter Schritt ist der Beschluss der Geschäftsführung mit Zielen, Budget und Verantwortlichen. Zum zweiten Schritt gehört auch die Implementierung des DocuWare Systems, da das DMS zwar betriebsindividuell aber strukturgebend eingerichtet wird. Von Anfang an können so alle anfallenden Dokumente in der beschlossenen Ordnung abgelegt und recherchiert werden.

Sophia Brandenburg

Dritter Schritt ist die Initialisierung des ISMS: Leitlinie zur Informationssicherheit, Geltungsbereich und ein RACI-Modell für Rollen. RACI steht für Responsible, also ausführend, Accountable, verantwortlich für das Ergebnis, Consulted, fachlich eingebunden, und Informed, empfängt Reports.

Markus Höllriegel

Vierter Schritt ist eine kompakte Standortbestimmung durch eine NIS2-GAP-Analyse. Parallel etablieren wir drei Streams: Prävention durch Systemhärtung und Multi-Faktor-Authentifizierung, Detektion durch sinnvolle Monitoring-Use-Cases und Reaktion durch Playbooks und Wiederanlaufpläne.

Sophia Brandenburg

Das Ganze steht und fällt mit der Nachweisführung. Ohne nachvollziehbare Dokumente, Freigaben und Protokolle können Sie Pflichten kaum belegen. Genau hier setzt DocuWare an.

Markus Höllriegel

Wir legen ein Risikoregister an, das Bedrohungen, Schwachstellen, Maßnahmen und Verantwortliche zusammenführt. Bewertung und Freigabe laufen über Workflows, Fristen werden automatisch überwacht. Richtlinien werden versioniert und mit Lesebestätigungen nachgewiesen. Auditpläne und Kontrollen werden als Tickets mit Service Level Agreement und Eskalation geführt. In DocuWare unterstützen außerdem noch digitale Formulare, dynamische Listen und spezielle Module wie etwa eine Riskmap.

Sophia Brandenburg

Wichtig ist die Lieferkette. Verträge mit Dienstleistern müssen Sicherheitsanforderungen, Nachweise und Auditrechte abbilden. Fragebögen, Zertifikate und Self-Assessments lassen sich standardisiert einholen und prüfen. Das erhöht die Verlässlichkeit und reduziert das Haftungsrisiko.

Markus Höllriegel

Das sind die typischen Stolpersteine: Dokumente ohne gelebte Anwendung sind wertlos. Jede Richtlinie braucht eine Kontrolle. Backups sind oft kein Rettungsanker, weil sie nicht getestet wurden. Ein Restore-Drill gehört in jedes Quartal. Im OT-Umfeld fehlt häufig die Segmentierung zwischen Büro-IT und Produktionssteuerung.

Sophia Brandenburg

Damit der Aufwand tragfähig bleibt, arbeiten wir in kleinen Sprints: drei bis fünf Themen pro Quartal. KPIs helfen, Fortschritte sichtbar zu machen: Zeit bis Erkennung, Zeit bis Wiederanlauf, Patch-Compliance, Backup-Erfolgsquote.

Markus Höllriegel

Nehmen wir eine Fertigung mit vernetzter Maschinensteuerung und externem Dienstleister für Fernwartung. Fernwartung läuft künftig nur über abgesicherte Jump Hosts mit Protokollierung und zeitlich begrenzten Freigaben. DocuWare hält die Freigaben und Protokolle zusammen.

Sophia Brandenburg

Zweites Beispiel: ein Lebensmittelgroßhändler mit mehreren Standorten. Wir priorisieren Verfügbarkeit, schützen das Lagerverwaltungssystem und üben die Wiederanlaufreihenfolge. Backups werden täglich geprüft, einmal pro Quartal per Restore getestet. Der Einkauf bindet NIS2-Kriterien in Lieferantenverträge ein.

Markus Höllriegel

Die Geschäftsleitung muss beweisen können, dass sie sich mit Risiken, Maßnahmen und Wirksamkeit befasst hat. Dafür sind Management-Schulungen mit dokumentierten Entscheidungen und regelmäßiger Managementbewertung vorgesehen. Kultur ist der Unterschied zwischen Checkliste und echter Resilienz.

Sophia Brandenburg

Security ist nicht nur IT, Security ist die Organisation. Wenn Produktion, Einkauf, HR und Facility Teil des Systems sind, funktioniert es. Genau das macht NIS2 zur Chance, Prozesse auf ein neues Niveau zu heben.

Markus Höllriegel

Zum Schluss fassen wir zusammen, was NIS2 im Kern leisten kann: ein ISMS nach BSI-Standards mit klaren Rollen, ein Risikoregister mit Workflows, Richtlinienmanagement mit Versionen und Freigaben, ein Meldeprozess mit Zeitmarken, ein BCM-Gerüst mit Wiederanlaufplänen und eine Lieferkettenstrecke, die Anforderungen und Nachweise integriert.

Sophia Brandenburg

Das Ganze in DocuWare, damit Governance im Tagesgeschäft ankommt. Es gibt dafür eine Best-Practice-Lösung, schlank, nachvollziehbar und auditfähig. Und für den Ernstfall kann eine vollständige Offline-Kopie inklusive Rechercheclient auf einem portablen Datenträger erstellt werden.

Markus Höllriegel

Damit erfüllen Sie Pflichten und steigern Ihre Resilienz. Das ist die eigentliche Rendite.

Markus Höllriegel

Das war's für heute im DMS-Podcast. Danke, dass Sie diese Folge angehört haben. Wenn Ihnen diese Folge gefallen hat freuen wir uns über ein "Daumen hoch" und ein Abo für diesen Podcast.

Sophia Brandenburg

Wenn Sie mehr erfahren möchten, wie Sie mit überschaubarem Aufwand die NIS2-Vorgaben mit DocuWare erfüllen und Sie Ihren Schutz gegenüber Cyberattacken erhöhen können, schreiben Sie an kontakt@dms-gmbh.de

Markus Höllriegel

Dank an Gerhard von Sachsen Gessaphe für Script und Produktion.

Sophia Brandenburg

Und denken Sie dran: Digitalisierung ist keine Kostenfrage, sondern eine Zukunftsinvestition. Weil Widerstandsfähigkeit und Erfolg nicht von außen kommen – sondern von innen entstehen. Bis nächste Woche, wieder Dienstags.