In 90 Tagen NIS2-ready: Roadmap für Mittelstand

Mehr Pflichten, mehr Reporting, mehr persönliche Verantwortung für die Unternehmensleitung. NIS2 trifft viele Betriebe an einem wunden Punkt. Sie müssen nachweisbar zeigen, dass sie Angriffe erkennen, eindämmen, melden und bewältigen können. Im Alltag fehlen dafür aber oft Zeit, Personal und ein klarer Fahrplan. Also starten viele Unternehmen an zu vielen Stellen gleichzeitig und kommt trotzdem nicht schnell genug voran. Genau darin liegt das eigentliche Problem: Nicht der Wille fehlt, sondern ein praktikabler Weg, unter Zeitdruck zu klaren Prioritäten und belastbaren Entscheidungen zu kommen.

In vier Schritten aus dem NIS2-Druck ins Handeln kommen

Wer NIS2-Readiness erreichen will, benötigt keinen Maximalansatz zum Start. In Projekten hat sich vielmehr ein Vorgehen in vier Phasen bewährt, das Unternehmen Schritt für Schritt in die Umsetzung führt.

Am Anfang steht die Standortbestimmung: Wo steht die Organisation, welche Anforderungen erfüllt sie bereits teilweise und wo klaffen kritische Lücken? Auf dieser Basis lassen sich anschließend Quick Wins identifizieren, also Maßnahmen mit schneller Wirkung, etwa klare Zuständigkeiten, definierte Meldewege oder erste Prüfungen zentraler Schutzmechanismen. 

Im dritten Schritt entsteht aus den identifizierten Lücken ein belastbares Arbeitsprogramm. Entscheidend ist hier nicht, alles gleichzeitig umzusetzen, sondern die richtige Reihenfolge zu finden und Prioritäten sauber zu setzen. Zum Schluss dokumentiert das Team Status, Fortschritte und nächste Schritte so, dass Management und Fachbereiche den Stand sofort einordnen und weiterarbeiten können.

Gerade diese klare Abfolge hilft, Komplexität zu reduzieren, ohne wichtige Themen zu übersehen. So entstehen in kurzer Zeit spürbare Sicherheitsgewinne, klare Zuständigkeiten und prüfbare Ergebnisse. Anders gesagt: Unternehmen gewinnen Tempo, ohne die Kontrolle zu verlieren. Noch konkreter und nachvollziehbarer wird dieses Vorgehen, wenn ein spezialisiertes Tool die einzelnen Phasen strukturiert unterstützt, Anforderungen bündelt und Lücken, Prioritäten sowie Fortschritte transparent macht.

Wo NIS2-Projekte in der Praxis ins Stocken geraten

Meist fehlt nicht die Aktivität, sondern der Fokus. Viele Unternehmen haben bereits einzelne Sicherheitsmaßnahmen eingeführt: Backups, Richtlinien, teilweise abgesicherte Zugriffe oder grob benannte Zuständigkeiten. Trotzdem fehlt oft der übergreifende Blick. Wo liegen die größten Lücken? Was ist dringend? Was kann warten? Und wer verantwortet den nächsten Schritt?

Genau hier verschärft NIS2 das Problem. Die Richtlinie fragt nicht nach einzelnen Maßnahmen, sondern nach Steuerungsfähigkeit. Unternehmen müssen Risiken strukturiert bewerten, Vorfälle geordnet bewältigen, Verantwortung klar organisieren und ihren Fortschritt nachvollziehbar machen. Der Schritt vom Nebeneinander einzelner Sicherheitsmaßnahmen hin zu einem belastbaren Steuerungsmodell fällt deshalb vielen schwer.

Besonders deutlich zeigt sich das bei Transparenzlücken. Das gilt primär in der Operational Technology (OT), also in produktionsnahen Systemen wie Maschinensteuerungen, Leitständen oder industriellen Netzwerken. Dort sind Strukturen historisch gewachsen, Schnittstellen nicht sauber dokumentiert und Verantwortlichkeiten oft verteilt. Solange dieser Überblick fehlt, stockt auch die Priorisierung. Ein kompaktes Inventar und klar benannte Ansprechpersonen schaffen hier schnell mehr Orientierung.

Hinzu kommt die Reibung zwischen IT und Produktion. Beide Bereiche arbeiten mit anderen Zielen, anderen Takten und oft auch mit einer anderen Sprache. Projekte kommen deshalb schneller voran, wenn Teams technische Maßnahmen früh mit Wartungsfenstern abstimmen und Kompromisse transparent entscheiden. Auch Lieferanten geraten leicht aus dem Blick. Fehlen Mindeststandards für Fernwartung oder getestete Notfallkontakte, entstehen vermeidbare Risiken. Schon einfache Minimalanforderungen und ein kurzer Praxistest der Notfallkontakte helfen hier spürbar weiter.

Ein weiterer Bremsfaktor ist die Dokumentation. Fehlen Tickets, Protokolle und Freigaben, bleibt der Audit-Wert gering. Unternehmen sollten Evidenz von Anfang an mitdenken, damit jede Maßnahme automatisch einen Nachweis erzeugt. Ebenso wichtig ist es, Tool-Wildwuchs zu vermeiden. Drei gut betriebene Grundpfeiler – Zugangsschutz, Datensicherung und Ereigniserkennung – bringen meist mehr als zehn halbintegrierte Werkzeuge. Und auch das Tempo muss realistisch bleiben: Lieber 90-Tage-Etappen mit sichtbaren Ergebnissen als ein großer Big Bang.

Was sich bewährt

NIS2-Projekte kommen schneller voran, wenn Unternehmen pragmatisch bleiben. Der wichtigste Schritt am Anfang: Zuständigkeiten klären, Prioritäten setzen, nicht zu viele Maßnahmen parallel starten. Ein externer Partner hilft dabei oft, weil er Diskussionen sortiert, Betriebsblindheit vermeidet und die Nachweisführung von Anfang an mitdenkt.

Auch in den vier Phasen haben sich einfache Muster bewährt. In der Analyse reicht oft ein schlanker Kontrollkatalog statt eines Perfektionsanspruchs. In OT-Umgebungen hilft eine passive Bestandsaufnahme, ohne Anlagen zu stören. Bei Quick Wins sollten Maßnahmen mit hohem Hebel zuerst kommen, etwa Zugangsschutz, Wiederherstellungstests und wenige, aber relevante Alarmfälle. In der Umsetzung bringt eine pragmatische Netztrennung oft mehr als ein kompletter Umbau. Und für die Dokumentation gilt: Ein einheitlicher Kontrollkatalog mit Status, Beleg, Verantwortlichem und Prüftermin schafft mehr Nutzen als lose Einzelnachweise.

Was die strukturierte Herangehensweise konkret bringt

Ein systematisches Vorgehen bringt schnell sichtbaren Nutzen. Unternehmen senken Risiken, ohne den Betrieb auszubremsen. Sie schaffen Nachweisfähigkeit gegenüber Auditoren und Behörden, weil Maßnahmen sauber belegt sind. Zuständigkeiten werden klarer, Entscheidungen schneller und Fortschritte messbar. Gleichzeitig steigt die Resilienz. Angriffe lassen sich früher erkennen, schneller eingrenzen und geordneter bewältigen.

Der eigentliche Gewinn liegt aber tiefer. Nach 90 Tagen ist nicht alles erledigt, aber aus Druck und Unsicherheit wird ein belastbarer Handlungsrahmen. Unternehmen wissen, wo sie stehen, was zuerst ansteht und wie sie weiter vorgehen.

OT-Security: Fünf Wahrheiten aus der Praxis

OT-Security entscheidet sich nicht allein an Firewalls, Dashboards oder SOC-Services. Axians-Experte Timmi Hopf nennt fünf unbequeme Wahrheiten aus der industriellen Praxis.

Entscheidend ist der erste strukturierte Schritt

NIS2 ist eine Herausforderung und machbar. Es verlangt keinen perfekten Start, aber, dass Unternehmen Schritt für Schritt anfangen. Genau darin liegt die Chance. Wer die Aufgabe in überschaubare Phasen übersetzt, früh Verantwortung klärt und sich nicht im Pflichtenkatalog verliert, kommt schneller ins Handeln. Mit einem klaren 4-Phasen-Plan lassen sich in 90 Tagen spürbare Sicherheitsgewinne und prüfbare Ergebnisse erreichen, ohne die Produktion zu gefährden. So wird aus einer lähmenden Pflicht eine Aufgabe, die Unternehmen konkret angehen können. Der wichtigste Schritt ist der erste: Fokus setzen, Quick Wins heben, Belege sichern und dann konsequent weitergehen.

Autor: Ralph Huenten

Ralph Huenten ist Head of Security bei der q.beyond AG. In ähnlichen Positionen sammelt er seit 20 Jahren Expertise und Erfahrung mit zielgerichteten Cyber-Security-Strategien und innovativen Sicherheitslösungen.