NIS2 8 Min. Lesezeit 2026

NIS2 im Mittelstand: Erst Sichtbarkeit, dann Compliance

Viele Unternehmen reagieren auf NIS2 mit dem, was sie aus anderen Regulierungen kennen: Sie schreiben Richtlinien, definieren Prozesse, füllen Dokumente. Das ist gut gemeint — aber die falsche Reihenfolge. Ohne ein belastbares Bild der eigenen Produktions-OT ist jede Dokumentation ein Gebäude ohne Fundament.

Seit das deutsche NIS2-Umsetzungsgesetz in Kraft ist, stehen tausende mittelständische Unternehmen vor einer neuen Pflicht: Risikomanagement, Meldepflichten und nachweisbare Sicherheit — auch und gerade in der Produktion. Anders als frühere Regelungen trifft NIS2 nicht nur die klassischen Kritis-Betreiber, sondern einen deutlich breiteren Kreis. Und die Verantwortung liegt explizit bei der Geschäftsführung.

Die verständliche erste Reaktion ist, nach Vorlagen zu greifen: ein Informationssicherheits-Managementsystem aufsetzen, Richtlinien formulieren, einen Maßnahmenkatalog abarbeiten. Das ist nicht falsch — aber es überspringt den entscheidenden ersten Schritt.

Risikomanagement setzt Wissen voraus

Der Kern von NIS2 ist Risikomanagement. Und Risikomanagement bedeutet, im ersten Schritt die eigenen Risiken zu kennen. Hier liegt das Problem: In den meisten Produktionsumgebungen fehlt schon die Grundlage dafür — ein vollständiges, belastbares Bild davon, welche Systeme, Steuerungen und Verbindungen im OT-Netz überhaupt existieren.

Man kann kein Risiko bewerten, das man nicht kennt. Man kann keine Anlage schützen, die man nicht vollständig sieht. Und man kann keine ehrliche Compliance-Dokumentation erstellen, deren Faktenbasis lückenhaft ist. Wer die Reihenfolge umdreht und mit der Dokumentation beginnt, dokumentiert im besten Fall ein unvollständiges Bild — und im schlechtesten Fall eines, das mit der Realität wenig zu tun hat.

Ohne Transparenz kein Risikomanagement. Ohne Risikomanagement keine NIS2-Compliance. So einfach ist die Kausalkette.

Warum gerade die OT die Lücke ist

In der klassischen IT existiert in den meisten Unternehmen längst eine gewisse Inventarisierung — Asset-Management-Systeme, Endpoint-Verwaltung, Netzwerkdokumentation. In der OT sieht es anders aus. Hier sind Anlagen über Jahrzehnte gewachsen, oft von verschiedenen Integratoren aufgebaut, dokumentiert in Schaltplänen, die den heutigen Stand selten exakt abbilden.

Das Resultat: Viele Betreiber wissen nicht mit Sicherheit, was in ihrem OT-Netz tatsächlich hängt. Welche Steuerungen, welche Engineering-Workstations, welche vergessenen Fernwartungszugänge, welche Verbindungen nach außen. Genau dieses Nicht-Wissen ist die eigentliche Sicherheitslücke — und der Grund, warum NIS2-Projekte in der OT scheitern, wenn sie an der falschen Stelle beginnen.

Die richtige Reihenfolge

Ein NIS2-Projekt in der Produktion sollte deshalb einer klaren Sequenz folgen:

  1. Sichtbarkeit schaffen: Zuerst ein vollständiges, belastbares Bild der OT — Assets, Kommunikationsbeziehungen, Schnittstellen nach außen. Passiv und rückwirkungsfrei, damit der Betrieb nicht gefährdet wird.
  2. Risiken bewerten: Auf Basis dieses Bildes lassen sich Risiken überhaupt erst identifizieren und priorisieren — welche Systeme sind kritisch, wo bestehen Schwachstellen, welche Kommunikationswege sind problematisch.
  3. Maßnahmen ableiten: Aus den priorisierten Risiken folgt eine konkrete, umsetzbare Roadmap — Segmentierung, Monitoring, Härtung, organisatorische Maßnahmen.
  4. Nachweise aufbauen: Erst jetzt ergibt die Dokumentation Sinn, weil sie eine reale Faktenbasis abbildet — und genau das ist es, was eine Prüfung verlangt.
Für die Geschäftsführung

NIS2 verankert die Verantwortung auf Leitungsebene. Eine Dokumentation, die auf einem unvollständigen Bild beruht, schützt im Ernstfall niemanden — weder die Anlage noch die handelnden Personen. Ein belastbares Fundament ist deshalb nicht nur eine technische, sondern auch eine Sorgfaltsfrage.

Pragmatismus statt Konzern-Overhead

Mittelständische Unternehmen brauchen für NIS2 keine Beratungsarmee und kein Projekt über zwei Jahre. Was sie brauchen, ist jemand, der die richtige Reihenfolge kennt und pragmatisch ansetzt: erst Sichtbarkeit, dann Bewertung, dann Maßnahmen — zugeschnitten auf das, was im Mittelstand tatsächlich leistbar ist.

Der größte Fehler, den ich in der Praxis sehe, ist der Versuch, NIS2 als reines Dokumentations-Projekt zu behandeln. Der zweitgrößte ist, es so groß aufzuziehen, dass es nie fertig wird. Der Weg dazwischen — fokussiert, fundiert, in der richtigen Reihenfolge — ist machbar. Und er beginnt immer mit demselben Schritt: zu sehen, was wirklich da ist.

NIS2 muss kein Papierkrieg sein.

Wenn Sie Ihre Produktions-OT in einen prüffähigen Zustand bringen möchten — in der richtigen Reihenfolge — sprechen wir unverbindlich darüber.

Gespräch vereinbaren Weitere Beiträge →