syslog.eu
ČeskyDeutschEnglishFrançais
NIS2/syslog.eu·

Fällt Ihre Organisation unter NIS2? Ein praxisnaher Leitfaden für Unternehmen und öffentliche Stellen

Praxisleitfaden zur ersten NIS2-Einordnung: typische Fehlannahmen, relevante Faktoren und welche Unterlagen Sie vor rechtlicher oder regulatorischer Prüfung vorbereiten sollten.

Eine der häufigsten Fragen rund um NIS2 ist zugleich eine der am schlechtesten gestellten: "Gilt das für uns?" Viele Organisationen suchen nach einem einzigen Auslöser, etwa Mitarbeiterzahl, Branchenschlagwort oder einem unscharfen Bild von "kritisch". In der Praxis hilft ein anderer Einstieg deutlich mehr: die eigene Leistung, den Sektor, die Größe und die operative Rolle sauber einzuordnen.

Eine interne Ersteinschätzung ist dabei kein Ersatz für juristische Bewertung. Sie ist ein Mittel, um drei Gruppen zu unterscheiden: Organisationen mit hoher Wahrscheinlichkeit direkter Betroffenheit, Organisationen mit Klärungsbedarf und Organisationen, die vor allem durch Kunden- und Lieferkettenanforderungen unter Druck geraten. Diese Unterscheidung hilft der Geschäftsleitung bei Prioritäten und der IT bei der Entscheidung, offensichtliche Evidenzlücken nicht bis zur letzten juristischen Gewissheit aufzuschieben.

Dieser Inhalt stellt keine Rechtsberatung dar. Er dient als praktischer Rahmen für eine interne Ersteinschätzung und die Vorbereitung auf eine vertiefte rechtliche oder regulatorische Einordnung.

Für wen diese Seite gedacht ist

Diese Seite ist besonders relevant für:

  • Geschäftsführungen und Management,
  • IT-Leitungen und Infrastrukturverantwortliche,
  • Rollen aus Compliance, Risikomanagement und Informationssicherheit,
  • externe Administratoren und MSPs, die Kunden bei der ersten Einordnung unterstützen,
  • Organisationen, die eine direkte Betroffenheit vermuten, aber noch keine belastbare Einschätzung haben.

Was Sie mitnehmen sollten

Nach dem Lesen sollten Sie besser einschätzen können:

  • warum NIS2 nicht über ein einziges Kriterium entschieden wird,
  • wie sich direkte Regulierung von Kunden- und Lieferkettendruck unterscheidet,
  • wie eine sinnvolle interne Ersteinschätzung aussieht,
  • warum Logging und Nachweise schon vor der endgültigen juristischen Klärung wichtig sind.

Warum viele Organisationen die falsche Frage stellen

Die häufige Frage lautet: "Sind wir eine kritische Einrichtung oder nicht?" Für eine erste Bewertung ist das meist zu grob. Nützlicher sind Fragen wie:

  • Welche Leistung erbringen wir tatsächlich?
  • Fällt diese Leistung in einen regulierungsrelevanten Sektor?
  • Erreichen wir relevante Größenkriterien?
  • Gehören wir zu einer Gruppe, die die Bewertung verändert?
  • Sind wir für regulierte Kunden operativ so wichtig, dass daraus zumindest faktischer Druck entsteht?

Die Differenz zwischen allgemeinem Interesse an NIS2 und direkter Betroffenheit ist groß. Viele Organisationen sollten sich mit NIS2 befassen, auch wenn sie letztlich nicht dem vollen Regime unterliegen. Umgekehrt ist es riskant, sich allein mit dem Argument "zu klein" oder "nicht öffentlich" in Sicherheit zu wiegen.

Allgemeines Interesse an NIS2 versus direkter regulatorischer Wirkung

Viele Organisationen beschäftigen sich mit NIS2, obwohl sie am Ende nicht unmittelbar in den formalen Anwendungsbereich fallen. Der Grund ist einfach: Regulierte Kunden, Versicherer und Partner erwarten zunehmend belastbare Nachweise zu Cyber-Resilienz, Vorfallsbereitschaft und Nachvollziehbarkeit.

Das bedeutet in der Praxis:

  • mehr Sicherheitsfragebögen von Kunden,
  • höhere Anforderungen an Audit-Trail und Logging,
  • strengere vertragliche Erwartungen im Lieferantenmanagement,
  • mehr Druck auf Evidenz und belastbare Reaktionsfähigkeit.

Deshalb lohnt sich das Thema auch dann frühzeitig, wenn die direkte Reichweite der Regulierung noch nicht endgültig geklärt ist.

Welche Sektoren und Organisationstypen typischerweise relevant sind

Auf EU-Ebene betrifft NIS2 Organisationen in Sektoren, die für Wirtschaft, Gesellschaft oder öffentliche Dienste besonders wichtig sind. Typische Beispiele sind:

  • Energie,
  • Verkehr,
  • Gesundheitswesen,
  • digitale Infrastruktur,
  • öffentliche Verwaltung,
  • bestimmte digitale Dienste,
  • Wasser, Abwasser und Abfallwirtschaft,
  • ausgewählte Produktions- und Industriesegmente.

Das heißt aber nicht, dass jede Organisation innerhalb eines breiten Sektors automatisch in gleicher Weise betroffen ist. Entscheidend ist nicht nur das Branchenetikett, sondern die konkrete Leistung und Rolle.

Größe ist wichtig, aber nicht die ganze Antwort

NIS2 erfasst typischerweise mittlere und größere Organisationen, doch Größe allein entscheidet nicht. Für eine interne Ersteinschätzung sollten Sie prüfen:

  • Mitarbeiterzahl,
  • Umsatz oder Bilanzsumme,
  • Zugehörigkeit zu einer Unternehmensgruppe,
  • Einordnung der tatsächlichen Leistung,
  • mögliche Besonderheiten aufgrund operativer Bedeutung.

Die Größe ist also ein Filter, kein vollständiges Urteil.

Warum die Kombination der Faktoren zählt

Viele Missverständnisse entstehen, wenn sich eine Organisation an einem einzigen Entlastungsargument festhält:

  • "Wir sind zu klein",
  • "Wir sind nur Zulieferer",
  • "Wir sind keine Behörde",
  • "Wir machen nur IT-Services",
  • "Unsere lokale Einheit ist klein".

Eine brauchbare Einschätzung muss typischerweise mehrere Aspekte zugleich betrachten:

  • Sektor,
  • Art der Leistung,
  • Größe,
  • Gruppenstruktur,
  • operative Relevanz,
  • Abhängigkeit regulierter Kunden,
  • nationale Umsetzungsdetails.

Deshalb sollte eine interne Ersteinschätzung Fakten und Annahmen strukturieren, nicht ein kategorisches Rechtsurteil simulieren.

Häufige Fehlannahmen

"Wir sind ein kleines Unternehmen, also betrifft es uns nicht"

Viele mittelständische Organisationen sind durchaus potenziell betroffen. Außerdem werden Gruppen- oder Beteiligungsstrukturen häufig unterschätzt.

"Wir sind nur Unterauftragnehmer"

Das kann direkte Betroffenheit ausschließen, beseitigt aber nicht den Druck regulierter Kunden. Wer kritische Betriebs- oder IT-Leistungen erbringt, wird in der Praxis häufiger Nachweise liefern müssen.

"Es kommt nur auf die Branche an"

Nein. Die konkrete Leistung zählt genauso stark wie der Sektor.

"Wenn wir uns nicht sicher sind, warten wir erst einmal ab"

Abwarten ist selten die beste Strategie. Auch ohne direkte Betroffenheit werden Anforderungen an Logging, Nachvollziehbarkeit und Evidenz oft durch Kunden oder Vorfälle sehr schnell relevant.

Wie Sie eine interne Ersteinschätzung durchführen

Das Ziel einer Ersteinschätzung ist nicht, Rechtsberatung zu ersetzen. Sie soll Fakten ordnen und die Frage beantworten, ob das Thema schnell eskaliert werden muss.

1. Beschreiben Sie die Leistung operativ

Was liefert Ihre Organisation tatsächlich, wer hängt davon ab und was wären die Folgen von Ausfall oder Kompromittierung?

2. Ordnen Sie die Leistung einem Sektor zu

Nutzen Sie keine Marketing-Sprache, sondern eine belastbare betriebliche Einordnung.

3. Prüfen Sie Größe und Gruppenstruktur

Berücksichtigen Sie:

  • Mitarbeiterzahl,
  • Umsatz,
  • Bilanzsumme,
  • Mutter-, Schwester- und Tochtergesellschaften,
  • mögliche Aggregationsregeln.

4. Bewerten Sie Abhängigkeitsbeziehungen

Sind regulierte Kunden auf Ihre Systeme, Services, Konnektivität, Identitätsdienste oder Betriebsunterstützung angewiesen?

5. Identifizieren Sie kritische Systeme und Evidenzlücken

Wenn eine direkte Betroffenheit plausibel ist: Welche Systeme müssten Audit, Nachvollziehbarkeit und Incident Analysis stützen? Welche Identitäten, Server, Netzwerkkontrollen und Cloud-Dienste sind entscheidend? Welche Nachweise existieren heute bereits zentral und welche nur lokal auf den Quellsystemen?

Das führt direkt zu Welche Logs Sie für Audit und NIS2 brauchen.

Welche Unterlagen Sie vorbereiten sollten

Wenn die nächste Einschätzungsrunde produktiv sein soll, sollten Sie mindestens bereithalten:

  • eine kurze Beschreibung Ihrer Leistungen,
  • Basisinformationen zu Kunden und Abhängigkeiten,
  • Mitarbeiter- sowie Umsatz- oder Bilanzdaten,
  • Informationen zur Gruppenstruktur,
  • eine Liste kritischer Systeme und Plattformen,
  • einen groben Überblick über vorhandenes Logging und Retention,
  • Hinweise darauf, welche Nachweise regulierte Kunden heute schon verlangen.

Gerade der Logging-Punkt wird regelmäßig unterschätzt. Sobald direkte Betroffenheit plausibel wird, lautet die nächste operative Frage meist: Was können wir heute tatsächlich belegen? Wenn die Antwort lautet "unsere Logs liegen verstreut auf Geräten und Servern", startet die Organisation aus einer schwachen Position.

Warum Management-Verantwortung Teil derselben Diskussion ist

Die Frage nach der Betroffenheit ist kein rein analytisches Thema für Rechtsabteilung oder Compliance. Sie ist auch eine Führungsfrage: Wer übernimmt die Verantwortung, welches Tempo ist nötig und wo muss Budget freigegeben werden?

Deshalb sollte die interne Ersteinschätzung schnell mit Fragen verbunden werden wie:

  • Wer trägt das Thema auf Leitungsebene?
  • Wer bereitet die nächste Phase vor?
  • Wie schnell braucht die Organisation ein Mindestniveau an Evidenz?
  • Welche operativen Lücken sind bereits jetzt offensichtlich?

Dazu passt die Seite NIS2 für die Geschäftsleitung.

Warum offizielle Hilfsmittel und Leitlinien wichtig sind

Eine interne Ersteinschätzung ist nützlich, sollte aber, wo immer möglich, gegen offizielle Leitlinien gespiegelt werden. Das bedeutet:

  • Primärquellen statt nur Sekundärartikel,
  • nationale Hinweise der zuständigen Behörden,
  • sektor- oder länderspezifische Einordnungshilfen,
  • im Zweifel formale Beratung statt improvisierter Interpretation.

Für international aufgestellte Organisationen ist besonders wichtig: Die Richtlinie ist europäisch, die Umsetzung bleibt national konkret. Details können sich deshalb je nach Land unterscheiden.

Praktische nächste Schritte

Wenn Ihre Organisation unsicher ist, ist diese Reihenfolge sinnvoll:

  1. Führen Sie eine kurze interne Ersteinschätzung zu Leistung, Sektor, Größe und Gruppenstruktur durch.
  2. Identifizieren Sie kritische Systeme, Identitäten und den aktuellen Stand des Loggings.
  3. Prüfen Sie Ihre Annahmen gegen offizielle Leitlinien.
  4. Eskalieren Sie das Thema an die Geschäftsleitung, wenn direkte Betroffenheit plausibel ist oder Kundendruck bereits sichtbar wird.
  5. Beginnen Sie mit dem Aufbau eines belastbaren Evidenz-Minimums, noch bevor die endgültige rechtliche Bewertung abgeschlossen ist.

So vermeiden Sie zwei typische Fehler: Überreaktion ohne Fakten und zu langes Warten auf vollständige Gewissheit.

FAQ

Wir sind Zulieferer einer regulierten Organisation. Fallen wir damit automatisch unter NIS2?

Nein. Aber es bedeutet oft, dass Kunden von Ihnen stärkere Cyber-Nachweise, bessere Vorfallsbereitschaft und klarere Audit-Trails erwarten.

Reicht die Mitarbeiterzahl aus, um die Betroffenheit zu beurteilen?

Nein. Neben der Größe zählen Sektor, konkrete Leistung, Gruppenstruktur und nationale Umsetzungsregeln.

Sollten wir uns so früh schon mit Logging beschäftigen?

Ja. Wenn direkte Betroffenheit plausibel ist oder regulierte Kunden bereits stärkere Anforderungen stellen, werden Logging und Evidenz sofort zu praktischen Themen.

Ersetzt diese Ersteinschätzung eine juristische Bewertung?

Nein. Sie dient dazu, Fakten zu ordnen, Verwirrung zu reduzieren und die Organisation auf eine fundiertere Entscheidung vorzubereiten.

Nächster Schritt

  • Checkliste herunterladen für die interne Ersteinschätzung zum NIS2-Scope.
  • Bereitschaftseinschätzung anfordern mit Fokus auf Scope, Evidenz und Logging-Minimum.
  • Erste Orientierungskonsultation anfragen für den Weg von Unsicherheit zu einer belastbaren nächsten Phase.
← Back to NIS2 overview