Die Audit-Mappe ist gefüllt, die Richtlinien sind verabschiedet, das Risiko-Register ist aktualisiert. Ein externer Berater hat „NIS-2-konform“ auf den Schlussbericht geschrieben. Und dann, drei Monate später, steht der Vorstand um halb vier morgens am Notfall-Telefon und merkt: Niemand weiß, wer entscheidet, ob jetzt gemeldet wird.
Die NIS-2-Richtlinie (EU) 2022/2555 ist seit Oktober 2024 europaweit in Kraft. Die nationalen Umsetzungen laufen, das BSI hat seine Auslegungshinweise publiziert, Beratungshäuser haben Compliance-Pakete verkauft. Trotzdem zeigt jeder zweite ehrliche Audit dasselbe Muster: Die Dokumentation steht, die Realität wackelt.
Dieser Beitrag ist kein NIS-2-Erklärstück — davon gibt es genug. Er ist eine Sammlung der typischen Fallstricke, die in echten Krisennächten und realen Audits sichtbar werden. Wenn Sie einen davon erkennen: gut. Dann wissen Sie, wo Sie als nächstes hinschauen müssen.
Compliance-Theater vs. gelebte Wirksamkeit
Der gefährlichste Satz im NIS-2-Kontext lautet: „Wir sind compliant.“ Er suggeriert einen Zustand, in dem ein Häkchen gesetzt wurde und das Thema erledigt ist. Genau das war NIS-2 aber nie. Die Richtlinie ist als laufende Risikomanagement-Praxis konstruiert — nicht als Zertifizierung mit Gültigkeitsdatum.
In der Praxis zeigt sich der Unterschied an drei Stellen:
Audit-Compliance prüft, ob Dokumente existieren und Prozesse beschrieben sind. Krisen-Compliance prüft, ob diese Prozesse unter Druck funktionieren.
Maßnahmen-Compliance zählt umgesetzte Kontrollen. Wirksamkeits-Compliance misst, ob diese Kontrollen den Risiken auch standhalten, gegen die sie entworfen wurden.
Stichtags-Compliance friert den Zustand zum Audit-Datum ein. Lebende Compliance kennt den Stand auch zwei Quartale später.
Die Aufsichtsbehörden — in Deutschland das BSI, ENISA auf EU-Ebene — haben in ihren ersten Kommunikationsrunden klar gemacht: Sie werden nicht nur Dokumente prüfen. Sie werden nach Wirksamkeitsnachweisen fragen.
Die sieben häufigsten Fallstricke
Diese sieben Muster sehe ich in nahezu jedem mittelständischen Unternehmen, das „NIS-2-Projekte“ abgeschlossen hat. Keines davon ist exotisch — und genau das macht sie gefährlich.
Scope-Verkürzung. Im Scope sind die offensichtlichen IT-Systeme. Schatten-IT, Cloud-Services einzelner Fachbereiche, Operational Technology in der Produktion und Identitäten, die Externe nutzen, stehen oft nicht im NIS-2-Geltungsbereich — obwohl ein Angreifer keinen Unterschied macht.
Risikomanagement als Dokument. Das Risiko-Register liegt im SharePoint und wird einmal im Jahr durchgegangen. NIS-2 verlangt einen kontinuierlichen Prozess: Risiken neu bewertet, sobald sich die Bedrohungslage oder die Architektur ändert. Wer Risiko nur jährlich denkt, hinkt zwölf Monate hinterher.
Tabletop nie unter echtem Druck geübt. Krisenstabsübungen finden im Konferenzraum statt, mit Kaffee, von 9 bis 16 Uhr. Der echte Vorfall kommt am Sonntagabend, mit fehlenden Schlüsselpersonen und blockiertem E-Mail-System. Wer das nie geübt hat, übt es im Ernstfall — mit Lehrgeld.
Meldewege technisch klar, organisatorisch ungeklärt. Das Meldeformular liegt bereit. Die Frage „Wer entscheidet um 03:17 Uhr, ob wir jetzt melden?“ ist nicht beantwortet. Im Zweifel meldet niemand — und die 24-Stunden-Frist ist um 03:17 Uhr plus acht Stunden ohnehin reißlich knapp.
Awareness als E-Learning-Quote. „98 % der Mitarbeitenden haben das Modul abgeschlossen.“ Schön. Die relevantere Zahl ist: Wie viele haben in der letzten Phishing-Simulation den Meldebutton geklickt — und wie schnell? Eine Klickrate misst Compliance, eine Report-Rate misst Verhalten.
Lieferanten-Anforderungen vertraglich, nicht prüferisch. Die NIS-2-Klausel steht in den AGB. Wann wurde der wichtigste IT-Dienstleister zuletzt auf seine Sicherheit hin auditiert — nicht nur befragt? Vertragsklauseln stoppen keine Ransomware, die über die Fernwartung des Lieferanten reinkommt.
Vorstand „informiert sich“. Quartalsweise gibt es ein Security-Update im Vorstand. Niemand beschließt etwas. Niemand akzeptiert formal ein Restrisiko. Wenn die Aufsicht später fragt „Warum wurde dieses Risiko getragen?“, gibt es keine Spur, die das beantwortet — nur Folien.
Die Liste ist keine Vollständigkeit. Sie ist eine Diagnose-Hilfe. Wenn drei oder mehr dieser Punkte Ihnen vertraut vorkommen, ist Ihre NIS-2-Umsetzung wahrscheinlich auf dem Papier weiter als in der Praxis.
Für eine systematische Standortbestimmung dient die NIS-2-Checkliste für die Geschäftsleitung als Einstieg.
Lieferkette: NIS-2 endet nicht an Ihrer Firewall
Artikel 21 Absatz 2 lit. d der NIS-2-Richtlinie verlangt explizit Maßnahmen zur „Sicherheit in den Lieferketten“. Das ist eine der weitreichendsten Vorschriften der Richtlinie — und gleichzeitig die, die in der Praxis am schwächsten umgesetzt wird.
Drei Fehlermuster tauchen auffallend oft auf:
Fehler 1: Vertrag statt Prüfung. Der Lieferant unterschreibt eine NIS-2-Anlage und versichert, „angemessene Maßnahmen“ zu treffen. Niemand prüft, was das in seinem Kontext bedeutet. Niemand verlangt einen Pen-Test-Auszug, eine SOC-2-Type-2 oder ein ISMS-Zertifikat. Die Unterschrift wird zum Schutzschild — bis der Lieferant kompromittiert ist.
Fehler 2: Konzentrationsrisiko ignoriert. Drei Viertel der kritischen Geschäftsprozesse laufen über zwei oder drei externe Dienstleister. Diese Konzentration steht in keinem Risiko-Register. Wenn der Dienstleister ausfällt — aus welchem Grund auch immer — fehlt eine zweite Option. NIS-2 verlangt explizit, dieses Risiko zu bewerten.
Fehler 3: Vierte-Partei-Risiko außerhalb des Sichtfelds. Ihr Dienstleister nutzt seinerseits einen Sub-Dienstleister. Wenn dieser Sub-Sub-Dienstleister Identitäten verwaltet, in Ihre Systeme schreibt oder Daten verarbeitet, ist er ein Risikoknoten — den Sie nicht kennen, nicht steuern, aber für den Sie haftbar bleiben.
Die ENISA Technical Implementation Guidance für NIS-2 hält Leitlinien zur Lieferanten-Bewertung bereit, die deutlich konkreter sind als die nationale Umsetzung. Eine pragmatische Routine: Top-10-Lieferanten nach Geschäftsrelevanz, davon jährlich drei einer echten Sicherheitsprüfung unterziehen — nicht nur einem Fragebogen.
Dokumentierte vs. gelebte Prozesse — Der Test der Krisennacht
Die ehrlichste Frage in jedem NIS-2-Projekt lautet: Würde dieser Prozess auch am Sonntagabend funktionieren, wenn die Hälfte des Teams nicht erreichbar ist?
Der Mittelständler mit dem perfekten Incident-Response-Plan
Ein Industriedienstleister, ca. 800 Mitarbeitende, NIS-2-Important-Entity. Auf dem Papier ein vorbildlicher IRP: Rollen, Eskalationsstufen, Kommunikationsvorlagen, Meldeformulare.
Realer Vorfall: Sonntag, 22:40 Uhr. Verdacht auf Ransomware in der Buchhaltung. Der CISO ist im Urlaub. Der designierte Stellvertreter erreicht den Vorstand nicht — das eingetragene Notfall-Handy ist seit der letzten Reorganisation auf einen Mitarbeiter umgemeldet, der sich in der gleichen Cloud-Umgebung befindet, die gerade unsicher wirkt.
Bis um 02:30 Uhr eine handlungsfähige Linie steht, sind knapp vier Stunden verloren. Die 24-Stunden-Frist beginnt aber spätestens mit dem ersten substantiellen Verdacht — nicht mit der Klärung der Telefonliste.
Was hätte das verhindert? Eine simple, jährliche Out-of-hours-Übung mit echter Anrufkette. Kein neues Tool, kein größeres Budget — nur die ehrliche Frage: Funktioniert es jetzt?
„Ein Plan, der nie unter echten Bedingungen getestet wurde, ist eine Vermutung — kein Plan.“
Meldepflichten: Die 24-Stunden-Falle
NIS-2 kennt eine gestufte Meldepflicht. Wer die Stufen nicht kennt, verpasst zwingend die erste — und damit den scharfen Teil.
Frühwarnung — 24 Stunden. Sobald ein Vorfall „erheblich“ im Sinne der Richtlinie ist, muss eine erste Meldung an die zuständige Behörde (in Deutschland: BSI) erfolgen. Inhalt: minimal — Verdacht, mutmaßlicher Auslöser, Ersteinschätzung grenzüberschreitend. Diese Frist beginnt mit Kenntnis, nicht mit Bestätigung.
Vorfallmeldung — 72 Stunden. Detailliertere Bewertung: Art des Vorfalls, betroffene Systeme, Indikatoren, vermutete Auswirkung. Diese Meldung ersetzt nicht die 24-Stunden-Frühwarnung — sie ergänzt sie.
Abschlussbericht — 1 Monat. Vollständige Analyse: Ursache, Auswirkung, ergriffene Maßnahmen, Lessons Learned. Bei länger andauernden Vorfällen Zwischenbericht statt Abschluss.
Die Falle in der Praxis: Die Frist startet, sobald Sie Kenntnis erlangen — nicht, sobald Sie sicher sind. Wer am Sonntagabend einen Verdacht hat und bis Montagmorgen wartet, weil „wir wollen ja erst sicher sein“, hat die Hälfte des Zeitfensters verloren, bevor das Incident-Team überhaupt zusammen ist.
Die NIS-2-Aufsicht in Deutschland (BSI) hat in ersten Statements signalisiert: Verspätete oder unvollständige Frühwarnungen werden nicht als Bagatellverstöße behandelt — insbesondere dann nicht, wenn der Schaden im selben Zeitraum eingetreten ist, in dem nicht gemeldet wurde.
Vorstandshaftung: Was sich rechtlich verschoben hat
Der Punkt, an dem NIS-2 sich am stärksten von früheren Regulierungen unterscheidet: Die Leitungsebene haftet persönlich für die Nichteinhaltung der Risikomanagement-Pflichten. Das ist kein theoretischer Punkt mehr.
Was die Richtlinie konkret sagt. Artikel 20: Mitglieder der Leitungsorgane sind verpflichtet, die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und können für deren Nichteinhaltung verantwortlich gemacht werden. Schulungen sind verpflichtend.
In der nationalen Umsetzung in Deutschland (NIS2UmsuCG) gehen diese Pflichten in zwei Richtungen:
Aktive Pflicht. Die Geschäftsleitung muss die Risikomaßnahmen beschließen und ihre Umsetzung überwachen. „Delegieren an die IT“ entlastet nicht.
Beweispflicht. Im Streitfall liegt die Beweislast für die Sorgfaltspflicht bei der Geschäftsleitung. Wer kein Protokoll, keinen Beschluss, keine dokumentierte Abwägung vorweisen kann, hat ein strukturelles Problem.
Was das praktisch heißt: Jede Risikoakzeptanz, jede Aufschiebung einer Maßnahme, jede „Wir tragen das Restrisiko“-Entscheidung gehört protokolliert — nicht in einer E-Mail, sondern in einem Beschluss-Dokument mit Datum, Unterschriften und Begründung. Diese Spur ist Ihre einzige Verteidigung.
Vom Compliance-Status zur Resilienz: Die Praxis-Routine
Wer aus dem Compliance-Theater herauskommen will, braucht eine schlanke, wiederholbare Routine — nicht das nächste Großprojekt. Vier Schritte, die in jedem mittelständischen Kontext umsetzbar sind:
Quartalsweise Wirksamkeitsprüfung. Pro Quartal eine zentrale Kontrolle herausgreifen und unter realen Bedingungen prüfen. Nicht: „Existiert das Backup-Verfahren?“ — sondern: „Wir stellen jetzt ein System aus dem Backup wieder her. Wie lange dauert es wirklich?“
Halbjährliche Tabletop-Übung — out-of-hours. Mindestens eine Übung pro Jahr außerhalb der Geschäftszeiten, mit echter Anrufkette und Telefonen statt MS-Teams. Idealerweise mit einem realistischen Stör-Element (Schlüsselperson nicht erreichbar). Eine halbjährliche Routine ist die Eskalationsstufe für stark regulierte Branchen.
Lieferanten-Audit-Rotation. Jährliche Auswahl der drei kritischsten externen Dienstleister. Ein echtes Assessment — nicht der Fragebogen, sondern ein Termin mit dem Sicherheitsverantwortlichen, eine Stichprobe in den Logs, eine konkrete Frage zum letzten Vorfall.
Vorstands-Beschluss-Quartal. Einmal im Quartal eine 30-Minuten-Agenda im Vorstand: aktualisiertes Top-Risiko-Bild, anstehende Akzeptanz-Entscheidungen, ein Übungsbericht. Beschluss-Protokoll mit Datum und Unterschriften. Diese Routine erzeugt die Beweis-Spur, die NIS-2 verlangt — ohne dass jemand das Wort NIS-2 sagen muss.
Diese vier Routinen ersetzen kein ISMS, keine Zertifizierung, keine Werkzeuge. Aber sie übersetzen Compliance in Verhalten — und Verhalten ist das, was im Vorfall trägt.
Häufige Fragen (Executive-FAQ)
Sind wir NIS-2-betroffen, wenn wir „nur“ Zulieferer einer kritischen Einrichtung sind?
Direkt: nur, wenn Sie selbst einen der in Anhang I oder II genannten Sektoren bedienen und die Größenschwellen (mind. 50 Beschäftigte oder 10 Mio. EUR Jahresumsatz) erreichen. Indirekt: über die Lieferketten-Anforderungen Ihrer Auftraggeber gilt NIS-2 faktisch durch — via Vertragsklauseln und Audit-Anforderungen.
Wer haftet bei einem NIS-2-Verstoß persönlich — und mit welchem Vermögen?
Die Leitungsorgane haften für die Verletzung ihrer Aufsichts- und Beschlusspflichten. Höhe der Sanktionen: für wesentliche Einrichtungen bis zu 10 Mio. EUR oder 2 % des Konzernumsatzes (je nachdem, was höher ist); für wichtige Einrichtungen bis zu 7 Mio. EUR bzw. 1,4 %. Diese Sätze sind Unternehmensbußen — die persönliche Haftung der Leitung ergibt sich zusätzlich aus dem allgemeinen Gesellschafts- und Schadensersatzrecht.
Welche Frist gilt wirklich: 24 Stunden, 72 Stunden oder einen Monat?
Alle drei. Es ist eine gestufte Meldepflicht: 24h Frühwarnung, 72h detaillierte Vorfallmeldung, 1 Monat Abschlussbericht. Die 24-Stunden-Frist ist der scharfe Punkt — sie beginnt mit Kenntnis, nicht mit Bestätigung.
Reicht ISO 27001 als NIS-2-Nachweis?
Ein gutes ISMS deckt einen erheblichen Teil der Anforderungen ab — aber nicht alles. NIS-2 verlangt zusätzlich konkrete Punkte zu Lieferketten-Sicherheit, Meldepflichten und Leitungsverantwortung, die ISO 27001 nicht explizit fordert. Ein zertifiziertes ISMS ist ein starkes Fundament, kein NIS-2-Substitut.
Was prüft die zuständige Aufsichtsbehörde konkret?
In Deutschland prüft das BSI nach gestaffeltem Modell: Stichproben, anlassbezogene Prüfungen nach Vorfällen, Anforderung von Nachweisen. In der Praxis zu erwarten: Dokumentenprüfung, Interviews mit der Leitungsebene, Stichproben zu konkreten Maßnahmen (z.B. Tabletop-Protokolle, Lieferanten-Assessments, Risikobeschluss-Spur).
Fazit: Compliance auf dem Papier ist der Anfang — nicht das Ziel
NIS-2 ist keine Audit-Disziplin. Es ist ein Versuch, die Cyber-Resilienz kritischer Lieferketten in Europa systemisch zu erhöhen. Das gelingt nicht durch Dokumente, sondern durch gelebte Routinen.
Die sieben Fallstricke in diesem Beitrag sind keine seltenen Ausnahmen. Sie sind die Regel — auch in Unternehmen, die formal alles richtig gemacht haben. Wer einen oder zwei davon bei sich erkennt: gut, das ist normal. Wer drei oder mehr erkennt, hat eine konkrete Agenda für das nächste Quartal.
Die gute Nachricht: Keiner dieser Fallstricke verlangt ein neues Großprojekt. Was sie verlangen, ist ein Routine-Wechsel — weg von der Stichtags-Compliance, hin zur lebenden Praxis.
Compliance schützt vor Bußen. Wirksamkeit schützt vor der Krise.