- ICT-Dienstleister im B2B-Bereich sind in NIS2 als eigener Sektor hoher Kritikalität gelistet (Anhang I) und damit direkt betroffen.
- MSPs stehen vor einer Doppelrolle: Sie müssen ein eigenes ISMS aufbauen und gleichzeitig ihre Kunden bei der NIS2-Umsetzung beraten.
- Die Supply-Chain-Verantwortung macht MSPs zum Dreh- und Angelpunkt der NIS2-Compliance ihrer Kunden.
- ISMS als Managed Service ist ein attraktives Geschäftsmodell mit planbaren Recurring-Umsätzen und hoher Kundenbindung.
- Ein MSP mit 60 Mitarbeitern und 50 Kunden kann mit strukturiertem Vorgehen beide Seiten der Medaille in 12 Monaten abdecken.
Warum MSPs bei NIS2 besonders im Fokus stehen
Managed Service Provider und IT-Dienstleister haben bei NIS2 eine Sonderstellung, die viele zunächst unterschätzen. Anders als ein Maschinenbauer oder ein Logistikunternehmen, das NIS2 als regulatorische Pflicht betrachtet und dann jemanden sucht, der bei der Umsetzung hilft, sitzen MSPs auf beiden Seiten des Tisches. Sie sind gleichzeitig Betroffene und potenzielle Berater, reguliertes Unternehmen und Lösungsanbieter.
Diese Doppelrolle ist kein Zufall. Die EU hat bei der Ausarbeitung der NIS2-Richtlinie bewusst entschieden, ICT-Dienstleister im B2B-Bereich als eigenen Sektor hoher Kritikalität aufzunehmen. Der Grund liegt auf der Hand: Ein kompromittierter Managed Service Provider gefährdet nicht nur sein eigenes Unternehmen, sondern potenziell dutzende oder hunderte Kundenunternehmen gleichzeitig. Der Kaseya-Angriff von 2021 hat eindrucksvoll gezeigt, wie sich ein einziger Angriffsvektor über einen MSP auf tausende Endkunden ausbreiten kann. Supply-Chain-Angriffe dieser Art gehören zu den größten Bedrohungen der letzten Jahre.
ICT-Dienstleister als eigener Sektor in Anhang I
In Anhang I der NIS2-Richtlinie findest du den Sektor "Verwaltung von IKT-Diensten (Business-to-Business)" als Sektor hoher Kritikalität. Das NIS2-Umsetzungsgesetz hat diese Zuordnung übernommen. Betroffen sind Unternehmen, die folgende Dienste für andere Unternehmen erbringen:
- Managed Service Provider (MSP): Unternehmen, die IT-Infrastruktur, Netzwerke, Anwendungen oder Sicherheitssysteme für Kunden betreiben und verwalten
- Managed Security Service Provider (MSSP): Spezialisierte Anbieter, die Sicherheitsüberwachung, Incident Response oder Vulnerability Management als Dienst anbieten
- IT-Outsourcing-Anbieter: Unternehmen, die IT-Abteilungen ihrer Kunden teilweise oder vollständig ersetzen
Die Einordnung ist eindeutig: Wenn du als Dienstleister IT-Systeme für andere Unternehmen betreibst oder verwaltest und die Größenschwellen erreichst (50 Mitarbeiter oder 10 Mio. Euro Umsatz), fällst du unter NIS2. Da ICT-Dienstleister in Anhang I stehen, gehörst du zu den Sektoren hoher Kritikalität. Je nach Unternehmensgröße wirst du als wesentliche oder wichtige Einrichtung eingestuft.
Warum die Einstufung als Sektor hoher Kritikalität bedeutsam ist
Die Unterscheidung zwischen Anhang I (hohe Kritikalität) und Anhang II (sonstige kritische Sektoren) hat praktische Konsequenzen. Große Unternehmen in Anhang-I-Sektoren werden als wesentliche Einrichtungen klassifiziert und unterliegen einer strengeren Aufsicht:
| Aspekt | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Aufsicht | Proaktiv (regelmäßige Prüfungen) | Reaktiv (anlassbezogen) |
| Bußgeld | Bis 10 Mio. € oder 2 % Umsatz | Bis 7 Mio. € oder 1,4 % Umsatz |
| Prüfungen | Vor-Ort-Inspektionen möglich | Nachträgliche Prüfungen |
Für einen MSP mit 60 Mitarbeitern bedeutet das in der Regel eine Einstufung als wichtige Einrichtung. Aber auch hier gelten sämtliche inhaltlichen Anforderungen des Artikels 21 in vollem Umfang.
Die Doppelrolle: Eigenes ISMS und Kunden beraten
Die besondere Herausforderung für MSPs liegt in der Doppelrolle. Du musst zwei Dinge gleichzeitig leisten, die beide komplex und ressourcenintensiv sind.
Seite 1: Dein eigenes ISMS aufbauen
Als NIS2-betroffenes Unternehmen brauchst du selbst ein funktionierendes Informationssicherheitsmanagementsystem. Das umfasst alle zehn Mindestmaßnahmen aus Artikel 21, angepasst auf die spezifischen Risiken eines IT-Dienstleisters.
Und genau hier wird es spannend, denn die Risikolandschaft eines MSP unterscheidet sich deutlich von der eines produzierenden Unternehmens. Deine kritischen Assets sind nicht Produktionsmaschinen, sondern Remote-Management-Tools, Kundenzugänge, Monitoring-Systeme und die Infrastruktur, über die du Kundennetzwerke administrierst.
Die Risikobewertung muss diese Besonderheiten abbilden. Typische Hochrisiko-Assets eines MSP:
- RMM-Plattform (Remote Monitoring & Management): Kompromittierung bedeutet Zugriff auf alle Kundensysteme
- PSA-System (Professional Services Automation): Enthält Kundendaten, Verträge, Zugangsinformationen
- Backup-Infrastruktur: Wenn du Backups für Kunden verwaltest, liegt hier enorme Verantwortung
- VPN- und Fernzugriffslösungen: Jeder Tunnel zu einem Kunden ist ein potenzieller Angriffsvektor
- Ticketsystem und Dokumentation: Enthält oft Passwörter, Netzwerkpläne und andere sensible Informationen
- Privileged Access Management: Wer hat Admin-Zugang zu welchen Kundensystemen?
Ein Sicherheitsvorfall in deiner RMM-Plattform ist nicht nur ein Problem für dich. Er ist ein Sicherheitsvorfall bei jedem einzelnen Kunden, der über diese Plattform verwaltet wird. Genau deshalb hat die EU ICT-Dienstleister in Anhang I aufgenommen.
Seite 2: Kunden bei der NIS2-Umsetzung unterstützen
Viele deiner Kunden sind ebenfalls von NIS2 betroffen, sei es als Unternehmen im verarbeitenden Gewerbe, in der Logistik, im Gesundheitswesen oder in anderen regulierten Sektoren. Diese Kunden erwarten von ihrem IT-Dienstleister nicht nur, dass er die eigene Sicherheit im Griff hat, sondern auch, dass er ihnen bei der Umsetzung hilft.
Das ist einerseits eine Pflicht (deine Kunden werden dich im Rahmen der Supply-Chain-Bewertung ohnehin danach fragen), andererseits eine riesige Geschäftschance. Denn welcher Berater kennt die IT-Infrastruktur des Kunden besser als der MSP, der sie täglich betreut?
Supply-Chain-Verantwortung: Du bist der Lieferant
Artikel 21 Absatz 2 Buchstabe d der NIS2-Richtlinie fordert die "Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern". Für einen MSP hat das zwei Konsequenzen.
Du wirst bewertet
Jeder deiner Kunden, der unter NIS2 fällt, muss seine Lieferkette bewerten. Und als IT-Dienstleister bist du einer der kritischsten Lieferanten. Erwarte daher Folgendes von deinen Kunden:
- Sicherheitsfragebögen: Detaillierte Fragen zu deinen Sicherheitsmaßnahmen, Zertifizierungen, Incident-Response-Prozessen und Backup-Konzepten
- Vertragliche Anforderungen: Ergänzende Klauseln in bestehenden Verträgen zu Sicherheitsstandards, Meldepflichten bei Vorfällen und Audit-Rechten
- Nachweispflichten: Kunden werden regelmäßig Nachweise verlangen, dass du deine Sicherheitsmaßnahmen einhältst
- Audit-Rechte: Einige Kunden werden sich das Recht vorbehalten, deine Sicherheitsmaßnahmen vor Ort zu prüfen oder durch Dritte prüfen zu lassen
Wenn du kein eigenes ISMS hast und keine strukturierten Nachweise liefern kannst, wird es für deine Kunden schwierig, ihre Supply-Chain-Pflichten zu erfüllen, ohne dich als Risiko zu dokumentieren. Im schlimmsten Fall suchen sie sich einen anderen Dienstleister.
Du musst deine eigene Lieferkette bewerten
Gleichzeitig musst du als NIS2-betroffenes Unternehmen deine eigenen Lieferanten bewerten. Welche Tools setzt du ein? Wo liegen die Daten deiner Kunden? Welche Cloud-Dienste nutzt du? Welche Softwareanbieter haben Zugang zu deinen Systemen?
Für einen typischen MSP sieht die eigene Lieferkette ungefähr so aus:
| Lieferant | Risiko | Bewertungsmaßnahmen |
|---|---|---|
| RMM-Anbieter | Sehr hoch | Sicherheitszertifizierung prüfen, SLA und Incident-Meldepflichten vertraglich fixieren |
| Backup-Lösung | Hoch | Verschlüsselungsstandards prüfen, Speicherort und Zugriffsrechte dokumentieren |
| Cloud-Provider | Hoch | Compliance-Nachweise (SOC 2, ISO 27001), Datenstandort, Subunternehmer |
| Ticketsystem | Mittel | Zugriffskontrollen, Verschlüsselung, Hosting-Standort |
| Hardware-Lieferanten | Mittel | Lieferkettensicherheit, Firmware-Integrität |
ISMS als Dienstleistung anbieten
Hier kommt der strategisch interessante Teil. Wenn du als MSP sowieso ein eigenes ISMS aufbauen musst und gleichzeitig Kunden bei der Umsetzung beraten sollst, liegt es nahe, ISMS als Managed Service anzubieten. Statt einmalig zu beraten und dann wieder zu verschwinden, baust du ein kontinuierliches Dienstleistungspaket auf.
Warum ISMS as a Service funktioniert
Die meisten NIS2-betroffenen Mittelständler haben weder die personellen Ressourcen noch das Know-how, um ein ISMS eigenständig aufzubauen und dauerhaft zu betreiben. Ein interner Informationssicherheitsbeauftragter (ISB) kostet als Vollzeitstelle schnell 80.000 bis 100.000 Euro pro Jahr, und selbst dann fehlt oft die Erfahrung mit regulatorischen Anforderungen.
Als MSP hast du mehrere Vorteile:
- Skaleneffekte: Du entwickelst Richtlinienvorlagen, Risikobewertungsmethoden und Prozesse einmal und nutzt sie für viele Kunden
- Bestehende Infrastrukturkenntnis: Du kennst die IT-Landschaft deiner Kunden bereits aus dem Tagesgeschäft
- Vertrauensbasis: Deine Kunden vertrauen dir bereits ihre IT an, der Schritt zum ISMS-Service ist naheliegend
- Technische Kompetenz: Viele NIS2-Maßnahmen (MFA, Verschlüsselung, Patch-Management, Backup) bietest du ohnehin schon an
- Kontinuierliche Beziehung: ISMS ist kein Projekt, sondern ein laufender Prozess, das passt zum MSP-Modell
Was der ISMS-Service umfasst
Ein gut strukturierter ISMS-Managed-Service für NIS2-betroffene Kunden könnte folgende Bausteine enthalten:
Basis-Paket (NIS2-Compliance):
- Betroffenheitsanalyse und Registrierung beim BSI
- Initiale Risikoanalyse für die kritischen IT-Systeme des Kunden
- Erstellung der Kernrichtlinien (Informationssicherheitsleitlinie, Passwort-Richtlinie, Incident-Response-Plan, Backup-Richtlinie)
- Einrichtung und Pflege des Asset-Inventars
- Quartalsweise Risiko-Reviews
- Jährliches internes Audit
- Schulungskonzept und Awareness-Maßnahmen
- Externe ISB-Funktion (Teilzeit)
Erweitertes Paket (NIS2 + Operatives):
- Alles aus dem Basis-Paket
- Incident-Response-Bereitschaft (Erstreaktion, BSI-Meldung innerhalb von 24h)
- Monatliche Schwachstellenscans und Patch-Reporting
- Lieferantenbewertung und Vertragsprüfung
- Business-Continuity-Planung und jährliche Tests
- Management-Reviews vorbereiten und moderieren
- Audit-Vorbereitung und Begleitung bei externen Prüfungen
Premium-Paket (ISMS + SOC):
- Alles aus dem erweiterten Paket
- Kontinuierliches Security Monitoring
- SIEM-Integration und Log-Analyse
- Regelmäßige Penetrationstests
- Vorbereitung auf ISO-27001-Zertifizierung
Pricing-Modell für den ISMS-Service
Die Preisgestaltung hängt von der Kundengröße, der Komplexität der IT-Landschaft und dem gewählten Paket ab. Hier ein realistisches Modell, das sich in der Praxis bewährt hat:
Einmalige Setup-Kosten:
| Kundengröße | Basis-Paket | Erweitertes Paket | Premium-Paket |
|---|---|---|---|
| 50-100 MA | 8.000-12.000 € | 15.000-20.000 € | 25.000-35.000 € |
| 100-250 MA | 12.000-18.000 € | 20.000-30.000 € | 35.000-50.000 € |
| 250-500 MA | 18.000-25.000 € | 30.000-45.000 € | 50.000-75.000 € |
Monatliche Managed-Service-Kosten:
| Kundengröße | Basis-Paket | Erweitertes Paket | Premium-Paket |
|---|---|---|---|
| 50-100 MA | 800-1.200 €/Monat | 1.500-2.500 €/Monat | 3.000-5.000 €/Monat |
| 100-250 MA | 1.200-2.000 €/Monat | 2.500-4.000 €/Monat | 5.000-8.000 €/Monat |
| 250-500 MA | 2.000-3.000 €/Monat | 4.000-6.000 €/Monat | 8.000-12.000 €/Monat |
Diese Zahlen sind Orientierungswerte. Der tatsächliche Preis hängt von vielen Faktoren ab: Branche des Kunden, regulatorische Zusatzanforderungen (z.B. DSGVO-Schnittstellen), vorhandene Sicherheitsmaßnahmen und regionale Marktsituation.
Für einen MSP mit 50 Kunden, von denen 20 NIS2-betroffen sind und das Basis-Paket buchen, ergibt sich ein monatlicher Recurring Revenue von 16.000 bis 24.000 Euro allein aus dem ISMS-Service. Dazu kommen einmalige Setup-Gebühren von 160.000 bis 240.000 Euro im ersten Jahr. Das ist ein substanzielles Geschäftsfeld. Und die Tool-Kosten bleiben überschaubar: ISMS Lite bietet ein MSP-Paket für 10.000 Euro einmalig mit unbegrenzten Instanzen, sodass du alle Kunden-ISMS auf einer Plattform betreiben kannst.
Praxisbeispiel: MSP mit 60 Mitarbeitern und 50 Kunden
Schauen wir uns an, wie ein konkreter MSP die NIS2-Umsetzung in der Doppelrolle angehen kann.
Ausgangslage:
NetCare IT Services (fiktives Beispiel) ist ein Managed Service Provider mit 60 Mitarbeitern und einem Jahresumsatz von 8,5 Millionen Euro. Das Unternehmen betreut rund 50 Kunden im Raum Süddeutschland, hauptsächlich mittelständische Unternehmen aus dem verarbeitenden Gewerbe, dem Gesundheitswesen und dem Dienstleistungssektor. Die Mitarbeiterzahl liegt zwar bei 60, aber der Umsatz übersteigt 10 Millionen Euro nicht. Allerdings liegt die Bilanzsumme bei 11 Millionen Euro, wodurch die Größenschwelle dennoch erreicht wird.
NetCare bietet klassische MSP-Dienste an: Netzwerkmanagement, Server-Administration, Backup-Management, Helpdesk, Endpoint-Protection und Cloud-Migration. Ein strukturiertes ISMS existiert bisher nicht, wenngleich die grundlegenden technischen Sicherheitsmaßnahmen solide sind.
Phase 1: Eigene NIS2-Compliance aufbauen (Monat 1-4)
Monat 1-2: Grundlagen schaffen
NetCare benennt den technischen Leiter als internen ISB mit 40 % Zeitanteil für die ISMS-Aufgaben. Die Geschäftsführung übernimmt formal die Genehmigungsrolle und lässt sich in einem halbtägigen Workshop über ihre Pflichten und die persönliche Haftung schulen.
Das Asset-Inventar wird erstellt. Bei einem MSP mit 60 Mitarbeitern und 50 Kunden umfasst das nicht nur die eigene Infrastruktur, sondern auch die Management-Schnittstellen zu den Kundensystemen. NetCare identifiziert 45 eigene IT-Assets und dokumentiert die Zugangswege zu den 50 Kundenumgebungen.
Die Registrierung beim BSI erfolgt über die vorgesehene Plattform. NetCare meldet sich als wichtige Einrichtung im Sektor ICT-Dienstleister.
Monat 3-4: Risikoanalyse und Kernprozesse
Die Risikoanalyse konzentriert sich auf die MSP-spezifischen Hochrisiko-Bereiche:
| Risikoszenario | Eintritt | Auswirkung | Risikobewertung | Maßnahme |
|---|---|---|---|---|
| Kompromittierung der RMM-Plattform | Mittel | Sehr hoch | Kritisch | MFA, IP-Whitelisting, Privilege Escalation Monitoring |
| Ransomware-Angriff auf Backup-Infrastruktur | Mittel | Sehr hoch | Kritisch | Air-Gapped Backups, Immutable Storage, regelmäßige Restore-Tests |
| Abfluss von Kundenzugangsdaten | Mittel | Hoch | Hoch | PAM-Lösung, Passwort-Rotation, Zugriffs-Logging |
| Social Engineering gegen Helpdesk | Hoch | Mittel | Hoch | Verifizierungsprozess, Schulungen, Eskalationswege |
| Ausfall der zentralen Monitoring-Infrastruktur | Niedrig | Hoch | Mittel | Redundanz, Failover, Incident-Plan |
Parallel erstellt NetCare die Kernrichtlinien. Besonders wichtig für einen MSP ist der Incident-Response-Plan, denn ein Sicherheitsvorfall bei NetCare muss nicht nur ans BSI gemeldet werden, sondern auch alle betroffenen Kunden informiert werden. Der Kommunikationsplan definiert daher zwei Meldeströme: einen regulatorischen (BSI innerhalb von 24 Stunden) und einen kundenorientierten (betroffene Kunden innerhalb von 4 Stunden nach Feststellung).
Phase 2: ISMS-Service entwickeln (Monat 3-6)
Parallel zur eigenen Compliance entwickelt NetCare das ISMS-Service-Angebot. Das Team nutzt die Erfahrungen aus dem eigenen ISMS-Aufbau direkt als Blaupause für den Kundenservice.
Richtlinien-Templates erstellen: Aus den eigenen Richtlinien werden branchenübergreifende Templates abgeleitet, die sich mit geringem Aufwand auf verschiedene Kunden anpassen lassen. Die Informationssicherheitsleitlinie, Passwort-Richtlinie, Incident-Response-Plan, Mobile-Device-Richtlinie und Backup-Richtlinie werden als modulare Vorlagen aufbereitet.
Risikobewertungsmethodik standardisieren: NetCare entwickelt einen standardisierten Risikobewertungsprozess, der bei jedem Kunden angewendet wird: Asset-Katalog erstellen, Bedrohungsszenarien durchspielen, Schutzbedarfsfeststellung, Risikobehandlung definieren. Das Vorgehen ist immer gleich, nur die konkreten Assets und Risiken variieren.
Tooling aufsetzen: Für die Verwaltung mehrerer Kunden-ISMS braucht NetCare eine skalierbare Plattform. Warum dabei eine Self-Hosted-Architektur pro Kunde oft die bessere Wahl ist als eine zentrale Cloud-Lösung, hängt mit Datentrennung, Kundensouveränität und regulatorischen Anforderungen zusammen. ISMS Lite wird als zentrales System eingerichtet, mit separaten Mandanten für jeden Kunden. So kann das Team Risiken, Maßnahmen, Audits und Dokumente kundenübergreifend verwalten, ohne dass Daten vermischt werden.
Service-Level definieren: NetCare definiert drei Pakete (Basis, Erweitert, Premium) mit klaren Leistungsbeschreibungen, SLAs und Preisen. Die Vertriebsunterlagen werden erstellt und das Sales-Team geschult.
Phase 3: Kunden onboarden (Monat 5-10)
Von den 50 NetCare-Kunden sind nach einer ersten Analyse 22 von NIS2 betroffen. Das Team priorisiert das Onboarding nach Dringlichkeit und Kundengröße.
Welle 1 (Monat 5-7): Die fünf größten und am stärksten regulierten Kunden
Hier geht es um Kunden, bei denen die NIS2-Compliance am dringendsten ist, etwa weil sie als wesentliche Einrichtung eingestuft werden oder weil sie bereits Anfragen von Aufsichtsbehörden erhalten haben. Für jeden Kunden führt NetCare einen zweitägigen Onboarding-Workshop durch: Betroffenheitsanalyse, initiale Risikoanalyse, Richtlinien-Anpassung und Maßnahmenplanung.
Welle 2 (Monat 7-9): Die nächsten zehn Kunden
Mit den Erfahrungen aus Welle 1 ist der Prozess bereits eingespielt. Die Workshops werden effizienter, weil viele Fragestellungen ähnlich sind und die Templates schon erprobt wurden. NetCare kann jetzt zwei Kunden pro Woche onboarden.
Welle 3 (Monat 9-10): Die restlichen sieben Kunden
Die letzten Kunden sind oft kleinere Unternehmen, die knapp über den Schwellenwerten liegen. Hier ist das Basis-Paket die richtige Wahl: pragmatisch, fokussiert auf die Mindestanforderungen, bezahlbar.
Phase 4: Laufender Betrieb (ab Monat 6)
Ab Monat 6 beginnt der laufende ISMS-Betrieb für die ersten Kunden parallel zum weiteren Onboarding.
Monatliche Aktivitäten pro Kunde (Basis-Paket):
- Risikostatus prüfen und bei Bedarf aktualisieren (1-2 Stunden)
- Maßnahmenverfolgung und Dokumentation (1-2 Stunden)
- Schwachstellenberichte auswerten und Handlungsempfehlungen geben (1 Stunde)
- Kommunikation mit dem Kunden-Ansprechpartner (0,5-1 Stunde)
Quartalsweise Aktivitäten:
- Risiko-Review mit dem Kunden (halber Tag)
- Schulungsmaßnahmen koordinieren oder durchführen
- Richtlinien auf Aktualität prüfen
Jährliche Aktivitäten:
- Internes Audit durchführen (1-2 Tage pro Kunde)
- Management-Review vorbereiten und moderieren (halber Tag)
- Lieferantenbewertung aktualisieren
Ressourcenplanung bei NetCare
Für den ISMS-Service baut NetCare ein dediziertes Team auf:
| Rolle | Umfang | Aufgabe |
|---|---|---|
| ISMS-Teamleiter | Vollzeit | Gesamtverantwortung, große Kunden, Audit-Leitung |
| ISMS-Consultant 1 | Vollzeit | Onboarding neuer Kunden, Risikobewertungen |
| ISMS-Consultant 2 | Vollzeit | Laufende Betreuung, Richtlinien-Pflege, Schulungen |
| Interner ISB | 40 % | Eigenes ISMS von NetCare |
Das sind effektiv 3,4 Vollzeitäquivalente für den ISMS-Bereich. Bei einem monatlichen Revenue von rund 20.000 Euro aus dem ISMS-Service (20 Kunden im Basis-Paket) plus Setup-Gebühren ist das Modell ab dem zweiten Halbjahr profitabel.
Typische Stolperfallen für MSPs bei NIS2
Aus der Arbeit mit IT-Dienstleistern haben sich einige wiederkehrende Fehler herauskristallisiert, die du vermeiden solltest.
Eigene Compliance vernachlässigen
Der häufigste Fehler: MSPs stürzen sich auf die Kundenberatung, weil sie dort Umsatz sehen, und vergessen dabei ihr eigenes ISMS. Das ist gefährlich aus zwei Gründen. Erstens haftest du als Geschäftsführer eines NIS2-betroffenen Unternehmens persönlich. Zweitens werden deine Kunden dich früher oder später nach deinem eigenen Sicherheitsstatus fragen. Wenn du keine strukturierten Nachweise liefern kannst, verlierst du Glaubwürdigkeit und schlimmstenfalls den Kunden.
Kunden-Zugangsdaten nicht systematisch verwalten
Viele MSPs speichern Kundenzugänge in Excel-Listen, geteilten Passwort-Managern ohne granulare Zugriffsrechte oder sogar in Ticket-Notizen. Das ist eines der größten Risiken überhaupt. Eine Privileged-Access-Management-Lösung ist für MSPs keine optionale Luxusanschaffung, sondern eine Grundvoraussetzung. Jeder Zugriff auf Kundensysteme muss nachvollziehbar, zeitlich begrenzt und auf das notwendige Minimum beschränkt sein.
Incident-Response-Kommunikation nicht planen
Wenn dein RMM-Tool kompromittiert wird, hast du gleichzeitig 50 Krisenkommunikationen zu führen. Das kann niemand improvisieren. Du brauchst einen durchgeplanten Kommunikationsablauf: Wer informiert welchen Kunden? Über welchen Kanal (denn dein E-Mail-System könnte kompromittiert sein)? Mit welchem Wortlaut? Wer koordiniert die BSI-Meldung?
Zu viel versprechen, zu wenig liefern
Die Versuchung ist groß, den ISMS-Service als Rundum-Sorglos-Paket zu verkaufen. Aber NIS2-Compliance ist kein Produkt, das man kauft und dann hat. Der Kunde bleibt verantwortlich, die Geschäftsführung des Kunden haftet weiterhin persönlich. Kommuniziere klar, was dein Service leistet und wo die Verantwortung des Kunden beginnt. Dokumentiere diese Abgrenzung vertraglich. Die NIS2-Bußgelder und Haftungsregelungen gelten für den Kunden weiterhin persönlich.
Standardisierung vs. Individualisierung falsch gewichten
Einerseits brauchst du standardisierte Prozesse und Templates, um skalieren zu können. Andererseits hat jeder Kunde individuelle Risiken und Anforderungen. Die Kunst liegt in der Balance: Ein standardisiertes Framework mit modularen Bausteinen, die kundenspezifisch angepasst werden. Die Informationssicherheitsleitlinie folgt immer dem gleichen Aufbau, aber die konkreten Risiken und Maßnahmen sind individuell.
Vertragliche Absicherung als MSP
Ein Aspekt, der oft unterschätzt wird: Die vertragliche Gestaltung deiner Kundenbeziehungen muss an NIS2 angepasst werden. Das betrifft sowohl deine bestehenden MSP-Verträge als auch die neuen ISMS-Service-Verträge.
In bestehenden MSP-Verträgen ergänzen:
- Meldepflichten bei Sicherheitsvorfällen, die Kundensysteme betreffen können
- Mitwirkungspflichten bei Kunden-Audits (mit angemessenem Vorlauf und Kostenregelung)
- Mindest-Sicherheitsstandards für die von dir eingesetzten Tools und Systeme
- Haftungsbegrenzungen und Verantwortungsabgrenzungen
- Regelungen zum Umgang mit Kundendaten nach Vertragsende
In ISMS-Service-Verträgen definieren:
- Klare Abgrenzung der Verantwortlichkeiten (wer macht was?)
- Leistungsbeschreibung mit konkreten Deliverables und Zeitrahmen
- Mitwirkungspflichten des Kunden (Zugang zu Informationen, Teilnahme an Reviews, Freigaben)
- Haftungsbegrenzung für die Beratungsleistung (du übernimmst keine Compliance-Garantie)
- Vertraulichkeitsregelungen für die im ISMS-Kontext geteilten Informationen
- Exit-Regelungen: Was passiert mit den ISMS-Dokumenten, wenn der Vertrag endet?
Wirtschaftliche Perspektive: ISMS als Wachstumstreiber
NIS2 ist für viele MSPs zunächst ein Kostenthema. Das eigene ISMS aufzubauen kostet Zeit und Geld. Aber langfristig ist es einer der stärksten Wachstumshebel der letzten Jahre für die MSP-Branche.
Die Rechnung ist einfach: NIS2 betrifft schätzungsweise 30.000 Unternehmen in Deutschland. Die allermeisten davon haben weder das Personal noch das Wissen, um ein ISMS eigenständig aufzubauen. Externe Berater sind teuer und verschwinden nach dem Projekt wieder. Der MSP, der bereits die IT des Kunden kennt und betreut, ist der natürliche Partner für den ISMS-Aufbau.
Dazu kommt ein wichtiger strategischer Effekt: Ein Kunde, dessen ISMS du betreibst, wechselt nicht so schnell den IT-Dienstleister. Die Wechselkosten steigen erheblich, weil ein neuer MSP das gesamte ISMS-Wissen erst aufbauen müsste. ISMS as a Service erhöht die Kundenbindung deutlich stärker als klassische MSP-Dienste wie Helpdesk oder Server-Management.
Und noch ein Punkt: Dein eigenes ISMS wird zunehmend zum Wettbewerbsvorteil. Wenn Kunden im Rahmen ihrer Supply-Chain-Pflichten IT-Dienstleister bewerten müssen, gewinnt der MSP mit nachgewiesenem ISMS gegenüber dem Wettbewerber, der nur mündlich versichert, dass "die Sicherheit schon stimmt".
Was du jetzt tun solltest
Als MSP oder IT-Dienstleister empfiehlt sich folgendes Vorgehen:
Kurzfristig (nächste 4 Wochen):
- Eigene Betroffenheit formal klären und beim BSI registrieren
- Geschäftsführungs-Workshop durchführen (eigene Pflichten und Haftung)
- Kundenportfolio analysieren: Welche Kunden sind von NIS2 betroffen?
Mittelfristig (nächste 3 Monate): 4. Eigenes ISMS aufbauen, beginnend mit Asset-Inventar und Risikoanalyse 5. ISMS-Service-Pakete und Preismodell entwickeln 6. Erste Kundengespräche zum ISMS-Service führen
Langfristig (nächste 12 Monate): 7. Eigene NIS2-Compliance abschließen 8. ISMS-Service ausrollen und Kunden onboarden 9. Laufenden ISMS-Betrieb für Kunden etablieren 10. Optional: Eigene ISO-27001-Zertifizierung anstreben (stärkt die Marktposition)
Die Doppelrolle als Betroffener und Berater ist anspruchsvoll, aber sie bietet eine einmalige Chance, das eigene Geschäftsmodell zukunftssicher aufzustellen. NIS2 geht nicht wieder weg. Die Anforderungen werden eher steigen als sinken. Und der Bedarf an kompetenten Partnern, die Mittelständlern bei der Umsetzung helfen, wird in den nächsten Jahren weiter wachsen.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- AVV prüfen und Dienstleister bewerten: So erfüllst du deine Sorgfaltspflicht
- NIS2-Bußgelder: Wer haftet und wie hoch sind die Strafen?