Viele mittelständische Unternehmen unterschätzen ihre Betroffenheit durch NIS2 — und überschätzen gleichzeitig den Aufwand der Umsetzung. Beides führt zum selben Ergebnis: Es passiert nichts. Dabei lässt sich die Richtlinie mit einem strukturierten Vorgehen in planbaren Etappen umsetzen, ohne das Tagesgeschäft zu lähmen.
Phase 1: Betroffenheit sauber klären
Der erste Schritt ist immer die Betroffenheitsanalyse: Sektor, Unternehmensgröße und Rolle in der Lieferkette entscheiden über den Anwendungsbereich. Wer hier sauber dokumentiert — auch ein begründetes "nicht betroffen" —, schafft die Grundlage für alles Weitere und hat im Zweifel gegenüber Kunden und Behörden eine belastbare Antwort.
Phase 2: Gap-Analyse gegen die Mindestmaßnahmen
Danach folgt die Gap-Analyse gegen die zehn Mindestmaßnahmen der Richtlinie — vom Risikomanagement über Business Continuity bis zur Kryptografie. Erfahrungsgemäß sind 40–60 % der Anforderungen in gewachsenen ISMS-Strukturen bereits teilweise erfüllt; es fehlt meist an Nachweisbarkeit und an der OT-Abdeckung.
Phase 3: Risikobasiert priorisieren
Die Priorisierung sollte risikobasiert erfolgen: Meldeprozesse und Verantwortlichkeiten zuerst, denn sie sind bei einem Vorfall sofort prüfungsrelevant — die 24-Stunden-Frühwarnung funktioniert nur mit eingeübten Abläufen. Technische Härtung und Lieferkettenmanagement folgen in geplanten Wellen.
Phase 4 & 5: Umsetzen und verankern
In der Umsetzungsphase gilt: lieber wenige Maßnahmen vollständig und dokumentiert als viele halb. Den Abschluss bildet die organisatorische Verankerung — Schulung der Geschäftsleitung (Pflicht!), regelmäßige Wirksamkeitsprüfungen und ein Reviewzyklus, der das Thema dauerhaft im Management hält.
Fazit: NIS2 ist für den Mittelstand kein Hexenwerk, sondern ein Projekt mit klarem Anfang und Ende — vorausgesetzt, man startet strukturiert statt panisch. So bleibt das Budget kalkulierbar und das Tagesgeschäft unberührt.