NIS2 - betrifft das mein KMU überhaupt?
Wie österreichische KMU in wenigen Schritten klären, ob sie unter NIS2 fallen - ohne Panik und ohne teures Gutachten.
NIS2 hat viele Geschäftsführungen verunsichert. Die Regelung ist breiter gefasst als ihre Vorgängerin, und plötzlich fühlen sich auch Unternehmen angesprochen, die mit kritischer Infrastruktur auf den ersten Blick nichts zu tun haben. Bevor man in Aktionismus verfällt, hilft eine nüchterne Reihenfolge.
Zuerst: Fällt mein Unternehmen überhaupt darunter?
Die Betroffenheit hängt an drei Fragen: Branche, Unternehmensgröße und Rolle in der Lieferkette. Viele mittlere Unternehmen sind neu erfasst, oft als Zulieferer größerer, klar regulierter Betriebe. Wer an einen betroffenen Kunden liefert, wird häufig vertraglich in die Pflicht genommen, selbst wenn die eigene Branche nicht direkt gelistet ist.
Diese Frage lässt sich in der Regel ohne Gutachten beantworten. Entscheidend ist, sie ehrlich zu stellen, statt sie zu verdrängen.
Dann: Wer hat den Hut auf?
NIS2 verlangt nicht nur Technik, sondern Verantwortung. Es braucht eine benannte Person, die für die Umsetzung zuständig ist - intern oder mit einem Partner an der Seite. Ohne diese Zuordnung versandet jedes Projekt zwischen Geschäftsführung und IT.
Erst danach: die Maßnahmen
Multi-Faktor-Authentifizierung, ein dokumentierter Prozess für Sicherheitsvorfälle, getestete Backups - das sind keine exotischen Anforderungen. Eine richtig konfigurierte Microsoft-365-Umgebung deckt die zentralen technischen Punkte ab. Der häufigste Fehler ist nicht fehlende Technik, sondern fehlender Nachweis.
Was das praktisch heißt
Wer die Betroffenheit kennt, eine verantwortliche Person benennt und die Maßnahmen dokumentiert, hat den größten Teil geschafft. Genau in dieser Reihenfolge gehen wir es mit unseren Kunden an - in der Regel in 90 Tagen, zum Festpreis.