Ab 2025 müssen rund 30.000 Unternehmen neue Sicherheitsstandards erfüllen – viele unterschätzen den Handlungsbedarf gewaltig.
Die EU-weite NIS-2-Richtlinie nimmt ab 2025 nicht nur Großunternehmen, sondern auch den Mittelstand in die Pflicht. Ziel ist es, die Cybersicherheit europaweit zu verbessern. Doch viele Unternehmen sind unzureichend vorbereitet – teils aufgrund gefährlicher Fehleinschätzungen. Die mosaic IT Group räumt mit den Mythen auf.
„Wer glaubt, mit Firewall und Bauchgefühl durch NIS-2 zu kommen, glaubt auch, dass ein Regenschirm gegen Sturmfluten hilft.“
– Florian Laumer, Cyber Security Experte der PASSION4IT GmbH
„NIS-2 betrifft nur KRITIS-Unternehmen.“
Falsch. Die neue Richtlinie betrifft alle mittleren Unternehmen ab 50 Mitarbeitenden, 10 Mio. Euro Umsatz oder Bilanzsumme. Darunter fällt auch die breite deutsche Zulieferindustrie – selbst Molkereien und Fertigungsbetriebe sind betroffen.
„Wir sind zu klein, wir fallen da raus.“
Auch kleinere Mittelständler können betroffen sein, wenn sie Teil kritischer Lieferketten sind. Zudem ist mit einem risikobasierten Ansatz zu rechnen – und der orientiert sich nicht an der Unternehmensgröße, sondern an der potenziellen Auswirkung eines Angriffs.
„Mit Firewall, Backup und Antivirus sind wir sicher.“
Nicht einmal annähernd. Diese Maßnahmen sind nur ein Teilaspekt. NIS-2 verlangt ein umfassendes Risikomanagement inkl. Security Assessments, Penetrationstests und Schulung der Mitarbeitenden.
„Patchen unserer Systeme? Hat doch nichts mit NIS-2 zu tun!“
Doch. Der deutsche Gesetzesentwurf nennt explizit die „Cyberhygiene“, worunter auch regelmäßiges Patchmanagement fällt. Wer hier nachlässig ist und dadurch Sicherheitsvorfälle verursacht, riskiert Bußgelder.
„Die IT regelt das für uns.“
Auch das ist ein Irrtum. Die Geschäftsführung ist nach NIS-2 mit in der Pflicht – nicht nur für Nachweise, sondern auch für Überwachung. Haftungsfragen bleiben dabei nicht außen vor.
Was bedeutet das für den Mittelstand konkret?
Es ist höchste Zeit, aktiv zu werden. Wer fahrlässig oder vorsätzlich keine Maßnahmen einführt, verstößt gegen EU-Vorgaben. Übergangsfristen? Fehlanzeige. Sobald das nationale Gesetz steht, gilt die Regel. Spätestens ab Ende 2025 muss die Compliance vollständig nachgewiesen sein.
Zentraler Appell von Martin A. Schaletzky, Vorstand der mosaic IT Group:
„Prüfen Sie jetzt die IT-Security Ihres Unternehmens, damit es vor Ende 2025 nicht nur gewappnet ist, sondern auch die NIS-2-Compliance-Anforderungen erfüllt.“
„NIS-2 ist kein Bürokratiemonster – wer es pragmatisch angeht, gewinnt nicht nur Compliance, sondern echte Cybersicherheit, ein resilienteres Unternehmen und stärkt zugleich das Vertrauen von Kunden, Partnern und der Gesellschaft.“
– Florian Laumer, Cyber Security Experte der PASSION4IT GmbH
Infolinks:
