Manchmal hat man das Gefühl, in Brüssel entstehen Regeln, die IT-Teams und Geschäftsführungen erst einmal zusätzliche Hausaufgaben auf den Tisch legen.
Spaß beiseite: Der Gedanke hinter der NIS2-Richtlinie ist ja eigentlich richtig. Die Bedrohungslage im Netz ist katastrophal. Ransomware-Banden nehmen keine Rücksicht darauf, ob sie einen DAX-Konzern oder den lokalen Wasserversorger lahmlegen. Dass die EU hier sagt: „Leute, wir müssen unsere digitale Infrastruktur härten“, ist verständlich.
Aber wie so oft steckt der Teufel im Detail – und in der Umsetzung. Für die Klamm-Community, in der sich viele Selbstständige, Webmaster und Tech-Interessierte tummeln, ist vor allem eine Frage wichtig: Trifft mich das? Und wenn ja, was kostet mich der Spaß?
KRITIS war gestern – heute sind fast alle dran
Bisher galt: Wer keine „Kritische Infrastruktur“ (Strom, Wasser, Krankenhaus) betreibt, war bei IT-Sicherheitsgesetzen fein raus. Mit NIS2 wird dieser Kreis jetzt deutlich erweitert.
Die EU unterscheidet nun zwischen „besonders wichtige“ und „wichtigen“ Einrichtungen. Und plötzlich fallen Branchen darunter, die man vorher nicht auf dem Schirm hatte:
- Post- und Kurierdienste (Logistik)
- Abfallwirtschaft
- Lebensmittelproduktion und -handel
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Verarbeitendes Gewerbe (Datenverarbeitung, Elektronik, Maschinenbau)
- Die Faustformel lautet: Wer mehr als 50 Mitarbeiter hat und über 10 Millionen Euro Jahresumsatz macht UND in einem dieser Sektoren tätig ist, ist dabei.
- „Puh, Glück gehabt, ich bin Einzelkämpfer“, denken sich jetzt vielleicht einige hier.
- Vorsicht. Ganz so einfach ist es leider nicht. Es gibt da nämlich einen Haken, der auch kleine Webagentur und Freelancer treffen kann: die Lieferkette.
Der „Trickle-Down“-Effekt: Wenn der Kunde Druck macht
Das Tückische an NIS2 ist die sogenannte Supply-Chain-Security.
Große Unternehmen, die unter die Richtlinie fallen (sagen wir mal: ein großer deutscher Autohersteller oder ein Telekommunikationsanbieter), werden gesetzlich dazu verpflichtet, auch ihre Lieferanten zu überprüfen.
Wenn ihr also als kleiner IT-Dienstleister, Hoster oder Software-Entwickler für einen solchen „großen Fisch“ arbeitet, wird dieser Fisch euch früher oder später einen Fragebogen auf den Tisch knallen. Darin wird stehen: „Erfüllst du die Sicherheitsstandards nach NIS2? Wenn nein, können wir dich nicht mehr beauftragen.“
Der gesetzliche Druck wird also von oben nach unten durchgereicht. Das ist der Moment, wo aus einem EU-Gesetz plötzlich ein ganz reales Umsatzproblem für kleine Firmen wird. Wer dann keine sauberen Sicherheitskonzepte vorweisen kann, fliegt aus dem Lieferantenpool.
Butter bei die Fische: Was muss man technisch tun?
Okay, genug der Panikmache. Was heißt das konkret? Müssen wir jetzt alle unsere Server in Fort Knox umziehen?
Nicht ganz. Aber die Zeiten von „Admin123“ als Passwort und „Backup machen wir, wenn wir dran denken“ sind endgültig vorbei. Wer sich die konkreten NIS2 Anforderungen ansieht, merkt schnell: Es geht um Professionalisierung. Es geht um Dinge, die eigentlich selbstverständlich sein sollten, es in der Praxis aber oft nicht sind.
Hier sind die Punkte, die Webmastern und IT-Verantwortlichen die meisten Kopfschmerzen bereiten werden:
1. Die 24-Stunden-Meldepflicht
Das ist der sportlichste Teil der Richtlinie. Bei einem „erheblichen Sicherheitsvorfall“ (z.B. erfolgreicher Hack, Datenabfluss, Ausfall der Dienste) muss das Unternehmen innerhalb von 24 Stunden eine Frühwarnung an die Behörden (in Deutschland das BSI) abgeben.
24 Stunden sind verdammt kurz. Wer schon mal einen Server-Crash oder Hack erlebt hat, weiß: Am ersten Tag ist man meistens noch damit beschäftigt, das Backup zu suchen und den Kaffeevorrat zu vernichten. Jetzt muss man parallel dazu rechtssichere Meldungen verfassen. Das erfordert Prozesse, die man vorher üben muss.
2. Risikomanagement statt Bauchgefühl
Man kann IT-Sicherheit nicht mehr „nebenbei“ machen. NIS2 fordert eine systematische Risikoanalyse. Welche Assets haben wir? Wo sind die Einfallstore? Wie hoch ist die Wahrscheinlichkeit eines Angriffs? Das muss dokumentiert werden. Die gute alte Excel-Liste reicht da oft nicht mehr aus.
Genau an diesem Punkt stoßen Webmaster mit manuellen Lösungen an ihre Grenzen. Um den Überblick nicht zu verlieren, lohnt sich der Blick auf spezialisierte Software. Plattformen wie DataGuard helfen dabei, diesen bürokratischen Berg abzutragen. Mit der DataGuard-Lösung lässt sich ein Informationssicherheits-Managementsystem (ISMS) digital aufsetzen, das die Risikoanalyse strukturiert und verständlich macht. Statt in Papierkram zu ersticken, bekommen Unternehmen hier einen digitalen Leitfaden an die Hand, der hilft, die Compliance-Lücken zu schließen und das Ganze audit-sicher zu dokumentieren.
3. Cyberhygiene und Kryptografie
Ein schönes Wort: Cyberhygiene. Gemeint sind Basics wie:
- Regelmäßige Software-Updates (Patch Management).
- Zwei-Faktor-Authentifizierung (MFA) überall dort, wo es geht.
- Saubere Trennung von Admin- und User-Accounts.
- Verschlüsselung von Daten – sowohl auf der Platte als auch beim Übertragen.
4. Die Haftungsfalle für die Chefs
Das ist der Punkt, der Geschäftsführer aktuell schlecht schlafen lässt. NIS2 nimmt die „Leitungsorgane“ persönlich in die Pflicht.
Früher konnte die Geschäftsführung IT-Sicherheit weitgehend an die IT-Abteilung oder externe Dienstleister delegieren – nach dem Motto: „Macht die IT.“
Das zieht nicht mehr. Die Geschäftsführung muss Schulungen besuchen, Maßnahmen absegnen und – ganz wichtig – die Umsetzung überwachen. Wenn es knallt und Fahrlässigkeit nachgewiesen wird, haftet der Geschäftsführer unter Umständen mit seinem Privatvermögen. Das sorgt erfahrungsgemäß für eine ganz neue Motivation, Budgets für IT-Sicherheit freizugeben.
Chance oder Bürokratiemonster?
In der Klamm-Community sind wir kritisch. Wir haben schon viele „Weltuntergänge“ im Internet überlebt, vom Jahr-2000-Problem bis zur Upload-Filter-Debatte.
Ist NIS2 also nur ein weiteres Bürokratiemonster?
Ja und nein.
Ja, der administrative Aufwand ist enorm. Dokumentationen schreiben, Audits durchführen, Meldewege einrichten – das alles kostet Zeit und Geld, das man lieber in Produktentwicklung oder Community-Building stecken würde. Gerade für den Mittelstand ist das eine echte Belastungsprobe.
Nein, weil die Bedrohung real ist. Wer sich die Nachrichten anschaut, sieht: Ransomware ist ein Milliardengeschäft. Unternehmen werden täglich erpresst. NIS2 zwingt viele Firmen dazu, endlich die Hausaufgaben zu machen, die sie seit 10 Jahren aufschieben.
Für Dienstleister und Webmaster kann das sogar eine Chance sein. Wer seinen Kunden sagen kann: „Hey, meine Systeme sind sicher, ich erfülle die Anforderungen, die deine Compliance-Abteilung von dir fordert“, der hat plötzlich einen Wettbewerbsvorteil. Sicherheit wird zum Verkaufsargument.
Fazit: Ducken gilt nicht mehr
Egal ob man NIS2 nun gut findet oder für überzogen hält – es kommt. In Deutschland wird die Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) (typisch deutsches Wortungetüm, oder?) in nationales Recht gegossen.
Mein Tipp an alle Webmaster und Unternehmer hier auf Gurender:
Steckt den Kopf nicht in den Sand. Prüft, ob ihr betroffen seid (direkt oder indirekt über Kunden). Wenn ja: Fangt an. Nicht morgen, sondern heute.
- Checkt eure Backups (und zwar den Restore!).
- Aktiviert 2FA.
- Dokumentiert eure Netzwerke.
Am Ende ist es wie beim Auto: Der TÜV nervt, er kostet Geld, und man hat immer Angst, dass man nicht durchkommt. Aber man ist doch froh, dass nicht jeder mit einer Rostlaube ohne Bremsen auf der Autobahn unterwegs ist. Im digitalen Raum fahren wir leider noch viel zu viele Rostlauben. NIS2 zieht sie jetzt aus dem Verkehr.
Redaktion
