Wo der Mittelstand bei NIS2 technisch noch hinterherhinkt
6 Min. Lesezeit
Die NIS2-Umsetzung in deutsches Recht ist auf der Zielgeraden. Die Aufsicht bereitet die ersten Prüfungen vor. Viele Mittelständler haben die organisatorischen Pflichten dokumentiert: Rollen benannt, Meldewege beschrieben, Richtlinien verabschiedet. Die technischen Mindestanforderungen aus Artikel 21 der Richtlinie sind dagegen oft nur auf dem Papier erfüllt. Genau dort setzt eine Prüfung an. Und dort hat der Mittelstand die größten Lücken.
Das Wichtigste in Kürze
- Organisation dokumentiert, Technik offen. Die meisten Mittelständler haben Rollen und Meldewege geregelt. Die technischen Maßnahmen nach Artikel 21 NIS2 bleiben Lückenfeld.
- Fünf Lücken fallen im Audit auf. Mehrfaktor-Authentifizierung, getestete Wiederherstellung, Schwachstellen-Management, zentrales Logging und ein vollständiges Asset-Inventar.
- Nachweis schlägt Absicht. Eine Maßnahme zählt im Audit nur, wenn sie belegbar wirksam ist. Eine Richtlinie ohne Logdaten ist kein Nachweis.
- Priorisierung statt Vollausbau. MFA und getestete Backups schließen die kritischsten Lücken zuerst und sind ohne großes Projekt umsetzbar.
Was ist mit technischen NIS2-Mindestanforderungen gemeint? Artikel 21 der NIS2-Richtlinie verpflichtet betroffene Einrichtungen zu konkreten Risikomanagement-Maßnahmen. Dazu zählen unter anderem Mehrfaktor-Authentifizierung, Backup- und Krisenmanagement, Schwachstellenbehandlung, Zugriffskontrolle und Verschlüsselung. Die deutsche Umsetzung im BSIG überträgt diese Anforderungen ins nationale Recht. Anders als die organisatorischen Pflichten sind sie technisch messbar und damit im Audit überprüfbar.
Verwandt:NIS2-Audit: Wo die Vendor-Liste in zwei Stunden zerbricht / Adaptive MFA als Zero-Trust-Hebel im Mittelstand
Was NIS2 technisch verlangt
NIS2 schreibt keine Produkte vor. Die Richtlinie nennt Schutzziele und überlässt den Weg dem Unternehmen. Das klingt nach Spielraum, verschiebt aber die Beweislast: Wer eine Maßnahme nicht belegen kann, hat sie aus Sicht der Aufsicht nicht umgesetzt.
Der Kreis der betroffenen Einrichtungen ist mit der deutschen Umsetzung deutlich größer geworden. Schätzungen aus dem Umfeld von BSI und BMI gehen von einer fünfstelligen Zahl pflichtiger Stellen aus, viele davon im klassischen Mittelstand. Ein erheblicher Teil dieser Unternehmen hatte vor NIS2 keine formale Sicherheitsaufsicht.
Die organisatorischen Pflichten lassen sich mit einer Richtlinie und einem Beschluss erfüllen. Die technischen Anforderungen verlangen funktionierende Systeme. Das ist der Grund, warum die Lücken fast immer auf der technischen Seite liegen.
Fünf Lücken, die im Audit auffallen
Die folgenden fünf Punkte tauchen in NIS2-Readiness-Prüfungen am häufigsten als Befund auf. Keiner davon ist technisch anspruchsvoll. Alle fünf scheitern in der Praxis an Priorisierung, nicht an Komplexität.
Mehrfaktor-Authentifizierung nur teilweise ausgerollt
MFA ist in den meisten Unternehmen für das zentrale Identitätssystem aktiv. Die Lücken liegen an den Rändern: Fernwartungszugänge, Administratorkonten von Drittdienstleistern, alte VPN-Gateways. Ein Audit prüft nicht, ob MFA existiert, sondern ob es lückenlos greift. Ein einziger ungeschützter Admin-Zugang ist ein Befund. Wer den Schritt zu phishing-resistenten Verfahren plant, findet die Logik dahinter im Beitrag zu adaptiver MFA als Zero-Trust-Hebel.
Backups vorhanden, Wiederherstellung ungetestet
Fast jedes Unternehmen sichert Daten. Deutlich weniger Unternehmen haben die Wiederherstellung jemals unter realen Bedingungen geprüft. NIS2 fragt nach Krisenmanagement, nicht nach Backup-Existenz. Ein Backup, dessen Rückspielzeit unbekannt ist, ist im Audit kein prüffester Beleg. Ein dokumentierter Wiederherstellungstest pro Jahr schließt diese Lücke.
Schwachstellen-Management ohne festen Prozess
Patches werden eingespielt, aber selten nach einem dokumentierten Verfahren mit Fristen. NIS2 verlangt einen nachvollziehbaren Umgang mit Schwachstellen: Erfassung, Bewertung, Fristsetzung, Nachverfolgung. Ein Patch-Stand allein ist kein Prozess. Die Aufsicht will sehen, wie eine bekannte kritische Lücke vom Bekanntwerden bis zur Behebung gesteuert wurde.
Kein zentrales Logging, keine Detektion
Logdaten entstehen auf vielen Systemen, laufen aber selten an einer Stelle zusammen. Ohne zentrale Logsenke lässt sich ein Vorfall weder erkennen noch nachträglich rekonstruieren. NIS2 verlangt die Fähigkeit, Sicherheitsvorfälle zu entdecken und zu melden. Wer keine Detektionsschicht hat, kann die gesetzliche Meldefrist faktisch nicht einhalten. Open-Source-Wege dorthin zeigt der Beitrag zum Detection-Engineering ohne Vendor-Lock.
Asset-Inventar unvollständig
Schutzmaßnahmen greifen nur für bekannte Systeme. Viele Mittelständler haben kein vollständiges Verzeichnis ihrer Server, Dienste und Cloud-Konten. Was nicht im Inventar steht, wird nicht gepatcht, nicht überwacht und nicht abgesichert. Ein Audit beginnt regelmäßig mit der Frage nach der Asset-Liste. Ein unvollständiges Verzeichnis zieht Befunde durch alle anderen Bereiche.
Was bis zum Audit umsetzbar ist
Die fünf Lücken lassen sich nicht gleichzeitig schließen. Eine Priorisierung nach Risiko und Aufwand bringt mehr als ein paralleler Vollausbau.
Zuerst die Authentifizierung. MFA lückenlos auf alle Administrator- und Fernzugänge auszudehnen senkt das Übernahmerisiko sofort und ist in Wochen umsetzbar. Parallel ein dokumentierter Wiederherstellungstest: Er kostet einen Tag und liefert den belastbarsten Nachweis im gesamten Krisenmanagement.
Danach das Asset-Inventar. Es ist die Grundlage für Schwachstellen-Management und Detektion, deshalb gehört es vor diese beiden Punkte. Erst mit vollständigem Inventar lohnt der Aufbau eines festen Patch-Prozesses und einer zentralen Logsenke. Diese Reihenfolge verschwendet keinen Aufwand an Systeme, die noch gar nicht erfasst sind.
Wichtig ist die Dokumentation jeder Maßnahme. Eine Prüfung bewertet Nachweise, nicht Absichten. Wer MFA ausrollt, den Wiederherstellungstest protokolliert und das Inventar pflegt, hat nach wenigen Wochen die kritischsten Befunde geschlossen, lange bevor die erste Prüfung ansteht.
Häufige Fragen
Was ist die häufigste technische NIS2-Lücke im Mittelstand?
Die unvollständige Mehrfaktor-Authentifizierung. MFA ist meist für das zentrale Identitätssystem aktiv, fehlt aber an Fernwartungszugängen, Administratorkonten von Dienstleistern und alten VPN-Gateways. Ein Audit prüft die lückenlose Abdeckung, ein einzelner ungeschützter Admin-Zugang gilt bereits als Befund.
Reicht ein vorhandenes Backup für die NIS2-Anforderung?
Nein. NIS2 verlangt funktionierendes Krisenmanagement, nicht die bloße Existenz eines Backups. Ein Backup, dessen Wiederherstellung nie unter realen Bedingungen getestet wurde, ist im Audit kein belastbarer Nachweis. Ein dokumentierter Wiederherstellungstest pro Jahr schließt diese Lücke.
Welche Maßnahme sollte zuerst umgesetzt werden?
Die lückenlose Mehrfaktor-Authentifizierung auf allen Administrator- und Fernzugängen. Sie senkt das Risiko einer Kontoübernahme sofort und ist in wenigen Wochen umsetzbar. Parallel empfiehlt sich ein dokumentierter Wiederherstellungstest, der mit geringem Aufwand den stärksten Nachweis im Krisenmanagement liefert.
Warum ist das Asset-Inventar so wichtig für ein NIS2-Audit?
Schutzmaßnahmen greifen nur für bekannte Systeme. Ohne vollständiges Verzeichnis von Servern, Diensten und Cloud-Konten bleiben Komponenten ungepatcht und unüberwacht. Ein Audit beginnt regelmäßig mit der Asset-Liste. Ein unvollständiges Inventar zieht Folgebefunde durch Schwachstellen-Management und Detektion.
Was zählt im Audit als Nachweis einer Maßnahme?
Belegbare Wirksamkeit. Eine Richtlinie oder ein Beschluss allein genügt nicht. Die Aufsicht erwartet Logdaten, Testprotokolle, Konfigurationsnachweise oder Prozessdokumentation, die zeigen, dass eine Maßnahme nicht nur beschlossen, sondern wirksam betrieben wird.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Andre (px:28321968)
