{"id":14682,"date":"2025-08-26T13:37:58","date_gmt":"2025-08-26T13:37:58","guid":{"rendered":"https:\/\/newestek.com\/?p=14682"},"modified":"2025-08-26T13:37:58","modified_gmt":"2025-08-26T13:37:58","slug":"nis2-und-der-mittelstand-zwischen-pflicht-und-praxis","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14682","title":{"rendered":"NIS2 und der Mittelstand: Zwischen Pflicht und Praxis"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n

Cyberkriminalit\u00e4t ist und bleibt ein eintr\u00e4gliches Gesch\u00e4ft \u2013 eines, das zu einem wachsenden Problem wird. Knapp 179 Milliarden Euro Schaden sind in Deutschland im Jahr 2024 durch Phishing & Co. entstanden. Und angesichts der politischen Weltlage r\u00fcckt auch das Thema Digitale Souver\u00e4nit\u00e4t deutlich st\u00e4rker in den Vordergrund.<\/p>\n

\n
\n

Neue EU-Vorgaben wie DORA und NIS2 setzen Unternehmen unter Zugzwang \u2013 bieten aber gleichzeitig die Chance, IT-Sicherheit strategisch neu zu denken.<\/p>\n<\/figcaption><\/figure>\n

AIBooth \u2013 shutterstock.com<\/p>\n<\/div>\n

Wem das noch nicht Grund genug ist, sich mit der Resilienz und IT-Sicherheit des eigenen Unternehmens zu befassen, hat aus Richtung der Europ\u00e4ischen Union in den letzten Monaten noch einmal etwas Zusatzmotivation erhalten. W\u00e4hrend von dem seit Anfang dieses Jahres anzuwendenden Digital Operational Resilience Act (DORA) vor allem der Finanzsektor betroffen ist, steht mit der nationalen Umsetzung der NIS-2-Richtlinie allen Unternehmen gesetzliche Vorschriften hinsichtlich ihres IT-Sicherheitsniveaus ins Haus.<\/p>\n

Guter Zeitpunkt also, um einen Blick auf den aktuellen Stand zu werfen: Wo stehen wir Mitte 2025 in Deutschland? Die Experten beim COMPUTERWOCHE-Roundtable zum Thema \u201cCybersicherheit & Digitale Resilienz\u201d sind sich weitestgehend einig: Es gibt noch einiges an Nachholbedarf \u2013 nicht nur auf Seiten der Unternehmen \u2013 doch im Gro\u00dfen und Ganzen kommt Bewegung rein.<\/p>\n

Informationen zu den Partner-Paketen der Studie \u201cCybersicherheit & digitale Resilienz 2025\u2033<\/a><\/p>\n

Compliance und Resilienz sind nicht dasselbe<\/h2>\n

Dabei ist es f\u00fcr viele erst einmal verlockend, auf das absolute Mindestma\u00df zu setzen, m\u00f6glichst schnell compliant zu sein und den Aufwand so gering wie m\u00f6glich zu halten. Dabei bieten die Regularien auch eine Chance \u2013 wenn man sie als Startschuss begreift, sich zukunftssicher aufzustellen.<\/p>\n

\u201cDie Regularien sind nicht nur Selbstzweck, die existieren ja aus einem Grund\u201d, kommentiert Valeri Milke, Gesch\u00e4ftsf\u00fchrer von VamiSec. Milke hebt hervor, dass Unternehmen nicht ausschlie\u00dflich auf das gesetzlich notwendige schauen sollten, sondern pr\u00fcfen, was im eigenen Gesch\u00e4ftsumfeld sinnvoll ist: \u201cWenn ich mich des Themas Cybersecurity sowieso annehmen muss, kann ich dies auch gleich als Chance f\u00fcr mein Gesch\u00e4ft begreifen\u201d, erg\u00e4nzt Milke.<\/p>\n

\n
\n\n\n\n\n
Studie \u201cCybersicherheit & digitale Resilienz\u201d: Sie k\u00f6nnen sich noch beteiligen!<\/strong><\/td>\n<\/tr>\n
Zum Thema Cybersicherheit & digitale Resilienz f\u00fchrt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Verantwortlichen durch. Haben Sie Fragen zu dieser Studie oder wollen Partner bei dieser Studie werden, helfen wir Ihnen unter research-sales@foundryco.com<\/a> gerne weiter. Informationen zur Studie finden Sie auch hier zum\u00a0Download (PDF)<\/a>.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/figure>\n

Gute Fortschritte bei DORA \u2013 trotz Audit-L\u00fccke<\/h2>\n

Besonders f\u00fcr Unternehmen aus dem Finanzsektor, die seit Anfang des Jahres mit DORA einen klaren gesetzlichen Rahmen f\u00fcr ihre digitale Resilienz haben, ist jedoch gar nicht so viel neues dabei.<\/p>\n

So verweist Oliver Stuck, Senior Security Engineer bei Trellix, auf seine fr\u00fcheren Erfahrungen im Finanzbereich und hebt hervor: \u201cDie gr\u00f6\u00dferen Institute sind im Bereich Resilienz sowieso schon ganz vorne dran.\u201d Zwar k\u00e4men jetzt Anforderungen in den Bereichen Risikomanagement und Lieferkettenverfolgung hinzu. \u201cAber im Produktionsumfeld selbst brauchen die meisten gar nicht viel zu \u00e4ndern\u201d, sagt Stuck.<\/p>\n

Doch die Lieferkettenverfolgung ist dann tats\u00e4chlich etwas, dass ganz eigene Schwierigkeiten mit sich bringt \u2013 vor allem hinsichtlich der Auditierung. Noch ist unklar, wie DORA-konforme Audits skalierbar umgesetzt werden sollen. Ohne zentrale Auditierungsinstanzen droht ein Wildwuchs an Einzelpr\u00fcfungen durch Kunden, Partner und Dienstleister \u2013 ein Szenario, das in der Praxis kaum handhabbar w\u00e4re.<\/p>\n

Wie es richtig gehen kann, haben andere Industrien bereits vorgemacht. Mit TISAX (Trusted Information Security Assessment Exchange) hat beispielsweise die Automobilbranche bereits ein unternehmens\u00fcbergreifendes Pr\u00fcf- und Austauschverfahren, wie Matthias Bandemer, Managed Service Lead Germany bei EY, einwirft. \u201cAber interessanterweise muss in anderen Industrien immer erst das Rad neu erfunden werden, und dann folgt erstmal dieser Audit-Tourismus\u201d, erkl\u00e4rt Bandemer.<\/p>\n

Also hier gibt es noch einige offene Fragen, auch, wenn die Umsetzung von DORA-Anforderungen innerhalb der Unternehmen gut voranzuschreiten scheint. Denn die EU-Verordnung ist zwar seit Januar 2025 in Kraft. \u201eDie entsprechenden Vorbereitungen liefen jedoch bereits mindestens ein Jahr zuvor an, in vielen F\u00e4llen sogar deutlich l\u00e4nger\u201c, merkt Ralf Gillich, Berater bei microfin, an. Insbesondere gro\u00dfe Konzerne h\u00e4tten ihre Projekte mittlerweile weitgehend abgeschlossen, regulatorische Anforderungen systematisch umgesetzt sowie ihre Risikobewertungen vollzogen \u2013 und bef\u00e4nden sich inzwischen in der praktischen Umsetzung und operativen Anwendung.<\/p>\n

Awareness in den F\u00fchrungsetagen fehlt<\/h2>\n

Bei NIS2 schaut das jedoch schon etwas anders aus \u2013 und das liegt zun\u00e4chst erst einmal gar nicht an den Unternehmen selbst. Denn nach wie vor hat es die Bundesregierung vers\u00e4umt, die EU-Richtlinie in nationales Recht zu gie\u00dfen. Wie genau die Umsetzung und die geltenden Regeln f\u00fcr deutsche Unternehmen am Ende aussehen werden, wei\u00df also noch keiner genau, auch \u2013 und das betonen die Experten \u2013 keine 180-Grad-Wende zu erwarten ist.<\/p>\n

Das ist vor allem deshalb problematisch, weil dadurch Zeit verloren geht \u2013 Zeit, die Cyberkriminelle durchaus f\u00fcr sich zu nutzen wissen. \u201cDie Innovationsgeschwindigkeit auf Angreiferseite ist enorm hoch\u201d, beschreibt Jan Arfwedson, Director Sales Healthcare & Security von avodaq, die Situation. Die Fristen zur Umsetzung seien ohnehin schon sehr lang. \u201cDas k\u00f6nnen wir uns zeitlich eigentlich nicht leisten, da m\u00fcssen wir mehr Gas geben\u201d, erg\u00e4nzt Arfwedson.<\/p>\n

Und es ist mitnichten so, dass das Problem nur beim Gesetzgeber liegt. Denn das Bewusstsein f\u00fcr die Ernsthaftigkeit des Themas scheint in den deutschen F\u00fchrungsetagen immer noch nicht angekommen \u2013 auch, wenn NIS-2 die Gesch\u00e4ftsf\u00fchrung k\u00fcnftig mit in die Haftung nehmen will. \u201cDie Leute f\u00fchlen sich nicht betroffen. Denn die wenigsten Menschen haben ein Bild im Kopf, was passiert, wenn ihre Daten von heute auf morgen verschl\u00fcsselt werden\u201d, attestiert Mario Jandeck, CEO von Enginsight, vielen F\u00fchrungspersonen.<\/p>\n

Ohne das notwendige Verst\u00e4ndnis werden die richtigen Schritte nicht angegangen, die Budgets nicht freigegeben. Oliver Stuck kommentiert: \u201cEine Sache sehe ich \u00fcbergreifend in allen Industrien und Branchen: Sobald Cybersicherheit und digitale Resilienz anfangen, Geld zu kosten, wird das so weit wie m\u00f6glich nach hinten geschoben.\u201d<\/p>\n

Deswegen reicht es laut Experten auch nicht, nur fr\u00fchzeitig mit den technischen Ma\u00dfnahmen zu beginnen \u2013 die gezielte Schulungen der Mitarbeiter, aber auch und vor allem des Managements ist einer der wichtigsten Bausteine. Und da schlie\u00dft sich auch der Kreis: Die EU-Regelwerke m\u00f6gen den Rahmen liefern, doch Chancen zu erkennen, die sich durch die Vorgaben ergeben, gelingt nur durch eigenes Handeln und den Willen, mehr zu tun als das blo\u00dfe Minimum. Denn wer nur reagiert, wenn der Ernstfall eintritt, spielt l\u00e4ngst nach den Regeln der Angreifer.<\/p>\n

Informationen zu den Partner-Paketen der Studie \u201cCybersicherheit & digitale Resilienz 2025\u2033<\/a><\/p>\n

Teilnehmer des Roundtables \u201cCybersicherheit & digitale Resilienz\u201d<\/h2>\n
\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Thomas-Boele_Check-Point_16x9.png?quality=50&strip=all 672w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Thomas-Boele_Check-Point_16x9.png?resize=444%2C250&quality=50&strip=all 444w” width=”640″ height=”360″ sizes=”auto, (max-width: 640px) 100vw, 640px”>
\n

Thomas Boele, Check Point:<\/p>\n

\u201cF\u00fcr eine wirksame Pr\u00e4ventionsstrategie lautet die zentrale Ausgangsfrage: Was ist mir wichtig \u2013 und was will ich konkret erreichen? Oft wird dann klar, dass es mehr als nur technische L\u00f6sungen braucht. Es braucht eine Strategie \u2013 etwa durch Konzepte wie Zero Trust, fundierte Risikoprognosen und den Aufbau von Resilienz. Im Sinne eines Zwiebelprinzips n\u00e4hert man sich Schicht f\u00fcr Schicht der passenden L\u00f6sung. Und ganz am Ende stehen die Technik und vor allem die Sensibilisierung der Anwender:innen \u2013 denn sie sind ein entscheidender Faktor f\u00fcr die Wirksamkeit jeder Sicherheitsma\u00dfnahme.\u201d<\/p>\n<\/figcaption><\/figure>\n

Check Point Software Technologies Ltd.<\/p>\n<\/div>\n

\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?quality=50&strip=all 1228w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Heiko_Adamczyk_2017a_portrait_16x9.png?resize=444%2C250&quality=50&strip=all 444w” width=”854″ height=”481″ sizes=”auto, (max-width: 854px) 100vw, 854px”>
\n

Heiko Adamczyk, Fortinet:<\/p>\n

\u201cWir sind auf Orientierungsfahrt \u2013 besonders im OT-Bereich fehlen Erfahrungswerte. Die Unternehmen brauchen Zeit, um Prozesse und Technologien aufzubauen. Das gilt f\u00fcr Betroffene ebenso wie f\u00fcr Anbieter, die sich fragen m\u00fcssen: Was braucht der Markt?\u201d<\/p>\n<\/figcaption><\/figure>\n

Carsten Simon photography \/ Fortinet GmbH<\/p>\n<\/div>\n

\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Marc-Meckel_Palo-Alto.png?quality=50&strip=all 576w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Marc-Meckel_Palo-Alto.png?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Marc-Meckel_Palo-Alto.png?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/08\/Portrait_Marc-Meckel_Palo-Alto.png?resize=444%2C250&quality=50&strip=all 444w” width=”576″ height=”324″ sizes=”auto, (max-width: 576px) 100vw, 576px”>
\n

Marc Meckel, Palo Alto:<\/p>\n

\u201cViele Unternehmen, gerade im Mittelstand, sind auf die aktuellen Sicherheitsanforderungen nicht immer vorbereitet. Der Fachkr\u00e4ftemangel verst\u00e4rkt das Problem: Ohne ausreichend Spezialist:innen bleiben viele Bedrohungen unerkannt und unanalysiert. Angesichts der zunehmenden Komplexit\u00e4t ist es daher entscheidend, einen Rahmen zu schaffen, der Orientierung bietet. Genau das leisten NIS2 und DORA.\u201d<\/p>\n<\/figcaption><\/figure>\n

Palo Alto Networks (Germany) GmbH<\/p>\n<\/div>\n

\n
\n

Richard Werner, Trend Micro:<\/p>\n

\u201cIm Mittelstand zeigt sich beim Thema NIS2 vor allem eines: Sicherheit muss verst\u00e4ndlicher werden. Pr\u00e4vention und Reaktion m\u00fcssen klar, einfach und schnell nachvollziehbar sein. Die bekannten 24- und 72-Stunden-Meldepflichten sind mit manuellen Prozessen kaum zu halten \u2013 automatisiert w\u00e4re es l\u00e4ngst machbar. Die Technologien existieren. Jetzt gilt es, sie so einzusetzen, dass Sicherheit nicht nur wirkt, sondern auch verstanden wird. KI kann dabei helfen \u2013 etwa beim Erkl\u00e4ren von Risiken und der Automatisierung von Prozessen.\u201d<\/p>\n<\/figcaption><\/figure>\n

Trend Micro<\/p>\n<\/div>\n

\n
\n

Thomas Masicek, T-Systems:<\/p>\n

\u201cGerade der Mittelstand ist h\u00e4ufig nicht gut vorbereitet: Viele sehen Cybersicherheit noch immer als Last oder reine Compliance-Pflicht \u2013 und erkennen nicht, dass hier ein echter Wettbewerbsvorteil liegen kann. In der Vergangenheit waren es nicht selten die Verantwortlichen selbst, die Entwicklungen ausgebremst haben. Aber am Ende geht es bei IT- und Cybersicherheit darum, ein Enabler zu sein \u2013 etwas zu erm\u00f6glichen und gleichzeitig Sicherheit zu garantieren.\u201c<\/p>\n<\/figcaption><\/figure>\n

T-Systems International GmbH<\/p>\n<\/div>\n

\n
\n

Richard Skalt, T\u00dcV S\u00dcD:<\/p>\n

\u201cPhishing z\u00e4hlt aktuell zu den gr\u00f6\u00dften Cyberrisiken. Die Supply Chain r\u00fcckt dabei zunehmend in den Fokus \u2013 ein Thema, das sowohl NIS2 als auch DORA adressieren. F\u00fcr Auftraggeber bedeutet das, eine Risikoanalyse durchzuf\u00fchren und darauf aufbauend angemessene Nachweise von den Dienstleistern zu verlangen. Eine Zertifizierung kann ein wichtiger Baustein daf\u00fcr sein, da sie ein objektiver Nachweis f\u00fcr ein wirksames ISMS und ein Bewusstsein f\u00fcr m\u00f6gliche Bedrohungen sind.\u201d<\/p>\n<\/figcaption><\/figure>\n

Conny Kurz \/ T\u00dcV S\u00dcD AG<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Cyberkriminalit\u00e4t ist und bleibt ein eintr\u00e4gliches Gesch\u00e4ft \u2013 eines, das zu einem wachsenden Problem wird. Knapp 179 Milliarden Euro Schaden sind in Deutschland im Jahr 2024 durch Phishing & Co. entstanden. Und angesichts der politischen Weltlage r\u00fcckt auch das Thema Digitale Souver\u00e4nit\u00e4t deutlich st\u00e4rker in den Vordergrund. Neue EU-Vorgaben wie DORA und NIS2 setzen Unternehmen unter Zugzwang \u2013 bieten aber gleichzeitig die Chance, IT-Sicherheit strategisch… <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14682","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14682","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14682"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14682\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14682"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14682"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14682"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}