- NIS2 verlangt 10 Mindestmaßnahmen, aber nicht alle kosten gleich viel. Eine gezielte Priorisierung nach Aufwand und Wirkung spart Budget, ohne die Compliance zu gefährden.
- Quick Wins wie MFA-Aktivierung, Backup-Verifizierung und eine dokumentierte Passwort-Richtlinie kosten fast nichts und decken bereits wichtige NIS2-Anforderungen ab.
- Die größten Budgetfresser sind externe Beratung und spezialisierte Security-Tools. Beides lässt sich durch Eigenleistung, Open-Source-Lösungen und gezielte Paketbuchung erheblich reduzieren.
- Ein realistischer 12-Monats-Plan verteilt die Kosten gleichmäßig und vermeidet den Fehler, alles auf einmal umsetzen zu wollen.
- Förderprogramme von Bund und Ländern können 30-50 % der externen Beratungskosten abdecken. Die Beantragung muss vor Projektbeginn erfolgen.
Die Realität im Mittelstand: Pflicht ohne Mittel
NIS2 gilt, die Anforderungen sind klar, und die Bußgelder sind empfindlich. So weit die Theorie. Die Realität in vielen mittelständischen Unternehmen sieht anders aus: Es gibt keinen Chief Information Security Officer, kein dediziertes Security-Team und kein sechsstelliges Budget für Informationssicherheit. Der IT-Leiter hat das Thema „nebenbei" auf dem Tisch, neben dem Tagesgeschäft, der Digitalisierung und der Frage, warum der Drucker im dritten Stock schon wieder nicht funktioniert.
Das ist kein Jammern, das ist eine Zustandsbeschreibung. Rund 30.000 Unternehmen in Deutschland fallen unter NIS2, und ein großer Teil davon sind genau solche Mittelständler: zu groß, um ignoriert zu werden, und zu klein, um ein Enterprise-Security-Programm aufzusetzen.
Die gute Nachricht: NIS2-Konformität ist auch mit begrenztem Budget erreichbar. Die schlechte Nachricht: Es erfordert kluge Priorisierung, realistische Planung und die Bereitschaft, manche Dinge selbst in die Hand zu nehmen, statt für alles externe Berater zu engagieren. Dieser Artikel zeigt dir, wie das konkret funktioniert.
Die 10 Mindestmaßnahmen: Was wirklich Geld kostet und was nicht
Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die jede betroffene Einrichtung umsetzen muss. Diese Maßnahmen sind absichtlich technologieneutral formuliert, was Spielraum für die Umsetzung lässt. Nicht alle Maßnahmen kosten gleich viel, und nicht alle haben den gleichen Reifegrad-Hebel. Die folgende Tabelle ordnet sie nach dem Verhältnis von Aufwand zu Wirkung:
| Priorität | Maßnahme | Aufwand | Wirkung | Budget-Impact |
|---|---|---|---|---|
| 1 | Bewältigung von Sicherheitsvorfällen | Mittel | Sehr hoch | Gering |
| 2 | Business Continuity (Backup, Recovery) | Mittel | Sehr hoch | Gering bis mittel |
| 3 | Cyberhygiene und Schulungen | Gering | Hoch | Gering |
| 4 | Risikoanalyse und Sicherheitskonzepte | Hoch | Sehr hoch | Gering bis mittel |
| 5 | Zugriffskontrolle und Personalsicherheit | Mittel | Hoch | Gering |
| 6 | Kryptografie und Verschlüsselung | Gering | Mittel | Gering |
| 7 | Sicherheit der Lieferkette | Mittel | Hoch | Gering |
| 8 | Sicherheit bei Erwerb, Entwicklung, Wartung | Mittel | Mittel | Mittel |
| 9 | Bewertung der Wirksamkeit | Mittel | Hoch | Mittel |
| 10 | MFA und gesicherte Kommunikation | Gering | Hoch | Gering bis mittel |
Diese Reihenfolge weicht bewusst von der Nummerierung in Artikel 21 ab. Die Priorisierung richtet sich nicht nach der Systematik der Norm, sondern nach der Frage: Was bringt am meisten Sicherheit pro investiertem Euro und pro investierter Arbeitsstunde?
Quick Wins, die fast nichts kosten
Bevor du über große Investitionen nachdenkst, gibt es eine Reihe von Maßnahmen, die du mit minimalem Budget umsetzen kannst. Diese Quick Wins decken bereits einen signifikanten Teil der NIS2-Anforderungen ab und schaffen gleichzeitig die Grundlage für weitergehende Maßnahmen.
MFA überall aktivieren (Kosten: 0-500 Euro)
Multi-Faktor-Authentifizierung ist die einzelne Maßnahme mit dem besten Kosten-Wirkungs-Verhältnis in der gesamten IT-Sicherheit. Die allermeisten Systeme, die du bereits einsetzt, unterstützen MFA, ohne dass du dafür zusätzliche Lizenzen kaufen musst: Microsoft 365, Google Workspace, VPN-Zugänge, Cloud-Dienste.
Die Umsetzung dauert ein bis zwei Tage für die Konfiguration und ein bis zwei Wochen für das Rollout an alle Mitarbeiter. Die einzigen Kosten entstehen, wenn du Hardware-Token statt Authenticator-Apps einsetzen willst, was für Standardanwendungen nicht zwingend nötig ist. Authenticator-Apps wie Microsoft Authenticator oder Google Authenticator sind kostenlos.
Fang mit den kritischsten Systemen an: E-Mail, VPN, Cloud-Speicher, Admin-Zugänge. Dann weite MFA schrittweise auf alle geschäftskritischen Anwendungen aus.
Backup-Check durchführen (Kosten: 0 Euro)
Du hast vermutlich Backups. Aber weißt du, ob sie funktionieren? Ein Backup, das noch nie getestet wurde, ist kein Backup, sondern eine Hoffnung. NIS2 fordert nicht nur, dass du Backups hast, sondern dass du nachweisen kannst, dass deine Wiederherstellungsprozesse funktionieren.
Plane einen Nachmittag ein, um folgende Fragen zu beantworten:
- Werden alle geschäftskritischen Systeme gesichert?
- Wie alt ist das letzte Backup?
- Gibt es Offline-Backups oder unveränderliche (immutable) Backup-Kopien?
- Wann wurde der letzte Restore-Test durchgeführt?
- Wie lange würde eine vollständige Wiederherstellung dauern?
Dokumentiere die Ergebnisse. Wenn der Restore-Test zeigt, dass alles funktioniert, hast du einen soliden Nachweis. Wenn nicht, weißt du, wo du nachbessern musst, und das ist ebenfalls ein Ergebnis.
Passwort-Richtlinie dokumentieren (Kosten: 0 Euro)
Wahrscheinlich gibt es in deinem Unternehmen informelle Regeln für Passwörter. NIS2 fordert aber dokumentierte Sicherheitsrichtlinien. Eine Passwort-Richtlinie zu schreiben kostet nichts außer zwei bis drei Stunden Arbeit. Sie sollte Folgendes regeln:
- Mindestlänge (12 Zeichen empfohlen, besser 14 oder mehr)
- Komplexitätsanforderungen (oder besser: Passphrasen erlauben)
- Verbot von Passwort-Wiederverwendung
- Einsatz eines Passwort-Managers (empfohlen)
- Pflicht zur MFA (ergänzend zum Passwort)
- Vorgehen bei Verdacht auf kompromittierte Passwörter
Verteile die Richtlinie an alle Mitarbeiter und lass dir die Kenntnisnahme quittieren. Damit hast du einen dokumentierten Nachweis für gleich zwei NIS2-Bereiche: Cyberhygiene und Zugriffskontrolle.
Incident-Response-Prozess definieren (Kosten: 0 Euro)
Einen Incident-Response-Prozess aufzusetzen klingt aufwändig, muss es aber nicht sein. Für ein KMU reicht zunächst ein pragmatisches Dokument von fünf bis zehn Seiten, das die folgenden Fragen beantwortet:
Wer meldet was an wen? Definiere klare Meldewege. Jeder Mitarbeiter muss wissen, an wen er sich wendet, wenn er einen Sicherheitsvorfall vermutet. Das kann der IT-Leiter sein, eine dedizierte E-Mail-Adresse oder eine Telefonnummer. Hauptsache, es ist definiert und bekannt.
Was ist ein meldepflichtiger Vorfall? Nicht jede Spam-Mail ist ein Vorfall. Definiere Schwellenwerte: Ab welchem Schweregrad wird eskaliert? Was sind Beispiele für meldepflichtige Vorfälle im Sinne von NIS2?
Wie sieht die Eskalation aus? Wer entscheidet, ob der Vorfall an das BSI gemeldet werden muss? Wer informiert die Geschäftsleitung? Wer koordiniert die Reaktion?
Wie werden die NIS2-Meldefristen eingehalten? 24 Stunden für die Erstmeldung, 72 Stunden für die aktualisierte Meldung, ein Monat für den Abschlussbericht. Wer ist verantwortlich? Welche Vorlage wird verwendet?
Dieses Dokument ist die Grundlage, auf der du bei Bedarf aufbauen kannst. Es muss nicht perfekt sein. Es muss existieren, bekannt sein und im Ernstfall funktionieren.
Mitarbeiter-Awareness starten (Kosten: 0-1.000 Euro)
NIS2 fordert explizit Cyberhygiene-Schulungen für alle Mitarbeiter und spezifische Schulungen für die Geschäftsleitung. Die günstigste Variante: Eine interne Schulung, die der IT-Leiter oder ISB selbst durchführt. Eine Stunde reicht für den Einstieg, wenn du die richtigen Themen abdeckst:
- Phishing-Erkennung (mit aktuellen Beispielen)
- Sichere Passwörter und Passwort-Manager
- Umgang mit verdächtigen E-Mails und Links
- Meldewege bei Sicherheitsvorfällen
- Grundregeln für mobiles Arbeiten
Dokumentiere die Schulung: Datum, Inhalte, Teilnehmerliste. Das ist dein Nachweis für den Auditor. Für die Geschäftsleitung empfiehlt sich ein separater, kürzerer Termin, der die strategischen Aspekte betont: persönliche Haftung, Meldepflichten, Budgetverantwortung.
Wenn du etwas Budget hast, sind E-Learning-Plattformen eine skalierbare Alternative. Einige Anbieter bieten KMU-Pakete ab 500 Euro pro Jahr an, die automatisierte Phishing-Simulationen und Online-Schulungen beinhalten.
Was du selbst machen kannst vs. wo du Berater brauchst
Die Entscheidung, was du intern erledigst und wo du externe Hilfe hinzuziehst, hat den größten Einfluss auf dein Budget. Pauschal lässt sich sagen: Operative Maßnahmen kannst du meist selbst umsetzen, für strategische und regulatorische Fragen lohnt sich punktuelle externe Unterstützung.
Das kannst du selbst
Technische Maßnahmen umsetzen. MFA einrichten, Backup-Konzept prüfen, Festplattenverschlüsselung aktivieren, Firewall-Regeln überprüfen, Patch-Management-Prozess aufsetzen. Das ist klassisches IT-Handwerk, das dein IT-Team beherrscht oder sich aneignen kann.
Richtlinien schreiben. Im Internet gibt es zahlreiche Vorlagen für Sicherheitsrichtlinien, die du auf dein Unternehmen anpassen kannst. Eine Passwort-Richtlinie, eine Clean-Desk-Policy, Regeln für mobiles Arbeiten: Das sind keine Raketenwissenschaft. Wichtig ist, dass die Richtlinien realistisch sind und tatsächlich gelebt werden, nicht dass sie juristisch perfekt formuliert sind.
Schulungen durchführen. Die erste Awareness-Schulung kannst du selbst halten. Du kennst dein Unternehmen, deine Systeme und die typischen Risiken besser als jeder externe Trainer. Nutze frei verfügbare Ressourcen des BSI, der Allianz für Cybersicherheit oder von ENISA als Grundlage.
Asset-Inventar erstellen. Eine Liste aller IT-Systeme, Anwendungen und Datenbestände ist die Grundlage für die Risikobewertung. Das kann eine einfache Excel-Tabelle sein. Wichtig sind: Systemname, Verantwortlicher, Kritikalität, Standort und wesentliche Abhängigkeiten.
Lieferantenbewertung durchführen. Erstelle einen einfachen Fragebogen für deine wichtigsten IT-Dienstleister und Cloud-Anbieter: Haben sie ein ISMS? Sind sie zertifiziert? Wie gehen sie mit Sicherheitsvorfällen um? Wie sind die vertraglichen Regelungen zu Datensicherheit? Das kostet dich ein paar Stunden Arbeit und einen Nachmittag Telefonate.
Da lohnt sich externe Hilfe
Risikobewertungsmethodik. Die Risikobewertung ist das Herzstück des ISMS, und die Methodik muss konsistent und nachvollziehbar sein. Ein Berater, der Erfahrung mit NIS2 und ISO 27001 hat, kann dir in zwei bis drei Tagen eine Methodik aufsetzen, die du dann selbst anwendest. Das ist effektiver als wochenlang selbst an einem Framework zu basteln.
Gap-Analyse gegen NIS2-Anforderungen. Ein erfahrener Berater erkennt in ein bis zwei Tagen, wo du stehst und wo die größten Lücken sind. Diese Analyse spart dir Monate an Fehlversuchen und gibt dir eine belastbare Roadmap.
Internes Audit. Wenn du zum ersten Mal ein internes Audit durchführst, ist externe Unterstützung sinnvoll. Der Berater bringt Audit-Erfahrung mit und weiß, worauf Auditoren achten. Gleichzeitig trainierst du durch die Zusammenarbeit deine eigenen Leute, sodass du das nächste interne Audit selbst durchführen kannst.
Rechtliche Einordnung. Bist du tatsächlich NIS2-pflichtig? In welche Kategorie fällst du? Welche spezifischen Anforderungen gelten für deinen Sektor? Diese Fragen haben rechtliche Implikationen, und ein spezialisierter Berater oder Anwalt kann sie verbindlicher beantworten als du selbst.
So sparst du bei der Beratung
Pakete statt Tagessätze. Viele Berater bieten NIS2-Umsetzungspakete an, die günstiger sind als die Buchung einzelner Tage. Ein typisches KMU-Paket umfasst Gap-Analyse, Risikobewertung, Richtlinienvorlagen und Audit-Vorbereitung für 8.000 bis 15.000 Euro, deutlich weniger als dieselben Leistungen einzeln zum vollen Tagessatz.
Workshops statt Vollbetreuung. Statt den Berater das ISMS komplett aufbauen zu lassen, buchst du gezielte Workshops: einen Tag Risikobewertung, einen halben Tag Incident-Response, einen Tag Audit-Vorbereitung. Zwischen den Workshops arbeitest du selbst weiter. Das reduziert die Beratertage bei gleichbleibender Qualität.
Branchen-Zusammenschlüsse nutzen. In manchen Branchen bieten Verbände oder IHKs gemeinsame NIS2-Programme an, bei denen sich mehrere Unternehmen die Beratungskosten teilen. Frage bei deinem Branchenverband oder der lokalen IHK nach.
Kostenplanung über 12 Monate
Ein realistischer Budgetplan verteilt die Kosten gleichmäßig über das Jahr und vermeidet den Fehler, alles auf einmal machen zu wollen. Der folgende Plan ist für ein Unternehmen mit 50 bis 150 Mitarbeitern und einem Budget von 15.000 bis 25.000 Euro konzipiert.
Quartal 1: Grundlagen legen (Budget: 3.000-5.000 Euro)
| Maßnahme | Aufwand | Kosten |
|---|---|---|
| Gap-Analyse (extern, 1-2 Tage) | 2 Tage | 1.500-3.000 € |
| Asset-Inventar erstellen | 3-5 Tage (intern) | 0 € (Personalkosten) |
| MFA für alle kritischen Systeme aktivieren | 2-3 Tage (intern) | 0-500 € |
| Passwort-Richtlinie erstellen und verteilen | 1 Tag (intern) | 0 € |
| Backup-Check und erster Restore-Test | 1 Tag (intern) | 0 € |
| ISB formal benennen | 1 Stunde | 0 € |
Am Ende von Quartal 1 weißt du, wo du stehst, hast die wichtigsten Quick Wins umgesetzt und einen ISB benannt. Das sind solide Grundlagen, auf denen du aufbauen kannst.
Quartal 2: Risiken und Prozesse (Budget: 5.000-8.000 Euro)
| Maßnahme | Aufwand | Kosten |
|---|---|---|
| Risikobewertungsmethodik mit Berater aufsetzen | 2-3 Tage (extern) | 2.000-4.000 € |
| Risikobewertung für kritische Assets durchführen | 5-8 Tage (intern) | 0 € (Personalkosten) |
| Incident-Response-Prozess dokumentieren | 2-3 Tage (intern) | 0 € |
| Informationssicherheitsleitlinie erstellen | 1-2 Tage (intern) | 0 € |
| Erste Awareness-Schulung durchführen | 0,5 Tage (intern) | 0 € |
| ISMS-Tool einführen (optional) | 2-3 Tage (intern) | 2.000-4.000 €/Jahr |
Quartal 2 ist die inhaltlich anspruchsvollste Phase, weil die Risikobewertung intellektuelle Arbeit erfordert und nicht einfach nach Checkliste abgehakt werden kann. Die Investition in externe Unterstützung für die Methodik zahlt sich hier aus, weil du die Risikobewertung danach selbst weiterführen und aktualisieren kannst. Ein ISMS-Tool wie ISMS Lite bringt die Risikobewertungsmethodik mit 5×5-Matrix und Risikobehandlungsplan direkt mit und kostet 500 Euro pro Jahr, was sich auch bei einem begrenzten NIS2-Budget problemlos einplanen lässt.
Quartal 3: Technische Härtung und Lieferkette (Budget: 4.000-7.000 Euro)
| Maßnahme | Aufwand | Kosten |
|---|---|---|
| Patch-Management-Prozess definieren und umsetzen | 3-5 Tage (intern) | 0 € |
| Verschlüsselungsrichtlinie umsetzen | 2-3 Tage (intern) | 0-2.000 € (ggf. Lizenzen) |
| Lieferantenbewertung durchführen | 3-5 Tage (intern) | 0 € |
| Verträge mit IT-Dienstleistern prüfen/anpassen | 2-3 Tage (intern) | 0-2.000 € (ggf. Anwalt) |
| Netzwerksegmentierung prüfen und verbessern | 3-5 Tage (intern) | 0-3.000 € (ggf. Hardware) |
| Zweite Awareness-Schulung | 0,5 Tage (intern) | 0 € |
In Quartal 3 geht es um die technische Umsetzung und die Lieferkette. Viele dieser Maßnahmen kosten wenig oder gar nichts, erfordern aber Zeit und Expertise deines IT-Teams.
Quartal 4: Prüfen und Verbessern (Budget: 3.000-5.000 Euro)
| Maßnahme | Aufwand | Kosten |
|---|---|---|
| Internes Audit (extern begleitet) | 2-3 Tage (extern) | 2.000-4.000 € |
| Management Review durchführen | 0,5 Tage (intern) | 0 € |
| Korrekturmaßnahmen aus internem Audit umsetzen | 3-5 Tage (intern) | 0 € |
| Business-Continuity-Plan erstellen | 2-3 Tage (intern) | 0 € |
| BC-Plan testen (Tabletop-Übung) | 0,5 Tage (intern) | 0 € |
| Dokumentation finalisieren | 2-3 Tage (intern) | 0 € |
Am Ende von Quartal 4 hast du ein funktionierendes ISMS, das die wesentlichen NIS2-Anforderungen abdeckt. Es ist nicht perfekt, aber es ist nachweisbar und systematisch. Genau das erwartet der Gesetzgeber.
Gesamtübersicht: 12-Monats-Budget
| Kategorie | Minimum | Maximum |
|---|---|---|
| Externe Beratung (Gap-Analyse, Risiko, Audit) | 5.500 € | 11.000 € |
| Tools und Software | 2.000 € | 4.000 € |
| Technische Maßnahmen | 0 € | 7.000 € |
| Schulungen (extern, optional) | 0 € | 2.000 € |
| Rechtliche Beratung (optional) | 0 € | 2.000 € |
| Gesamt | 7.500 € | 26.000 € |
Der interne Personalaufwand kommt natürlich hinzu: Rechne mit 40 bis 60 Personentagen über das Jahr verteilt, die größtenteils auf den ISB und das IT-Team entfallen.
Fördermöglichkeiten, die du kennen solltest
Es gibt eine Reihe von Förderprogrammen, die KMU bei der Verbesserung ihrer IT-Sicherheit finanziell unterstützen. Die Förderlandschaft ist regional unterschiedlich und ändert sich regelmäßig, aber einige Programme sind besonders relevant:
Bundesförderung
BAFA: Förderung unternehmerischen Know-hows. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle fördert Beratungsleistungen für KMU mit bis zu 50 % der Beratungskosten (maximal 1.750 Euro für Unternehmen, die länger als zwei Jahre bestehen). Das Programm deckt auch IT-Sicherheitsberatung ab.
Digital Jetzt (BMWK). Dieses Investitionsförderprogramm unterstützt KMU bei der Digitalisierung, einschließlich IT-Sicherheit. Gefördert werden Hard- und Software-Investitionen sowie Qualifizierungsmaßnahmen. Die Förderhöhe liegt bei bis zu 50.000 Euro bei einer Förderquote von 30-50 %, abhängig von der Unternehmensgröße. Prüfe regelmäßig, ob Förderfenster geöffnet sind, da die Mittel begrenzt sind.
Landesförderung
Die meisten Bundesländer haben eigene Förderprogramme für Digitalisierung und IT-Sicherheit. Einige Beispiele:
- Bayern: Digitalbonus (bis zu 50.000 Euro, 50 % Förderquote)
- Baden-Württemberg: Digitalisierungsprämie (bis zu 10.000 Euro)
- NRW: MID-Digitalisierung (bis zu 15.000 Euro, 30-50 % Förderquote)
- Niedersachsen: Digitalbonus.Niedersachsen (bis zu 10.000 Euro)
Die konkreten Programme, Förderquoten und Antragsfristen ändern sich regelmäßig. Prüfe die aktuellen Konditionen auf den Websites der jeweiligen Landesförderbanken oder Wirtschaftsministerien.
IHK und Branchenverbände
Manche Industrie- und Handelskammern bieten kostenlose oder vergünstigte Erstberatungen zur IT-Sicherheit an. Branchenverbände stellen teilweise Vorlagen, Leitfäden und Webinare bereit, die den Beratungsbedarf reduzieren. Die Allianz für Cybersicherheit des BSI bietet ebenfalls kostenlose Ressourcen, Leitfäden und Veranstaltungen.
Wichtig bei allen Förderungen
Antrag vor Projektbeginn. Bei fast allen Förderprogrammen gilt: Der Antrag muss gestellt und bewilligt sein, bevor du mit dem geförderten Projekt beginnst. Wenn du zuerst den Berater buchst und dann den Förderantrag stellst, gehst du leer aus. Plane deshalb vier bis acht Wochen Vorlaufzeit für die Beantragung ein.
De-minimis-Regelung beachten. Staatliche Beihilfen für Unternehmen sind auf 300.000 Euro innerhalb von drei Jahren begrenzt (De-minimis-Verordnung). Wenn du bereits andere Förderungen in Anspruch genommen hast, kann das die Förderfähigkeit einschränken.
Dokumentation aufbewahren. Fördermittelgeber prüfen die zweckgemäße Verwendung der Mittel. Bewahre alle Rechnungen, Verträge und Nachweise sorgfältig auf.
Was du auf keinen Fall weglassen darfst
Bei begrenztem Budget ist die Versuchung groß, Maßnahmen zu streichen, die nicht unmittelbar technisch wirksam sind. Das kann teuer werden, denn NIS2-Prüfer und Auditoren achten auf bestimmte Elemente besonders:
Dokumentation der Risikobewertung. Du kannst die beste IT-Sicherheit der Welt haben, aber wenn du nicht dokumentiert hast, wie du zu deinen Maßnahmen gekommen bist, welche Risiken du identifiziert und wie du sie bewertet hast, fehlt die Nachvollziehbarkeit. Ein Auditor oder Prüfer will die Denklogik sehen: Risiko erkannt, bewertet, Maßnahme definiert, umgesetzt, überprüft.
Incident-Response-Fähigkeit. Die 24-Stunden-Meldefrist bei erheblichen Sicherheitsvorfällen ist keine optionale Empfehlung. Wenn du am Freitagabend einen Ransomware-Angriff entdeckst und bis Samstagnachmittag keine Meldung ans BSI rausgeht, verstößt du gegen geltendes Recht. Der Incident-Response-Prozess muss funktionieren, nicht nur auf dem Papier.
Management-Einbindung. NIS2 macht die Geschäftsleitung persönlich verantwortlich für die Cybersicherheit. Das bedeutet auch: Die Geschäftsleitung muss nachweisbar eingebunden sein. Ein Management Review, an dem die Geschäftsführung teilnimmt, eine dokumentierte Managemententscheidung über den Risikoappetit, eine Schulung für die Geschäftsleitung. Diese Elemente kosten fast nichts, sind aber für die Compliance essenziell.
Nachweise über Maßnahmen. Es reicht nicht, MFA einzuführen. Du musst nachweisen können, dass MFA für alle relevanten Systeme aktiviert ist. Es reicht nicht, eine Schulung durchzuführen. Du brauchst Teilnahmelisten und Inhaltsübersichten. Die Dokumentation von Maßnahmen ist keine Bürokratie, sondern dein Schutzschild bei einer Überprüfung.
Häufige Fehler bei der Budget-NIS2-Umsetzung
Einige Fehler sieht man immer wieder bei Unternehmen, die NIS2 mit begrenztem Budget umsetzen wollen:
Alles auf einmal machen wollen. Der Versuch, alle zehn Mindestmaßnahmen gleichzeitig anzugehen, führt zu Überlastung und halbfertigen Ergebnissen. Besser: Eine klare Priorisierung und quartalsweise Meilensteine. NIS2 fordert verhältnismäßige Maßnahmen, und ein nachvollziehbarer Umsetzungsplan zeigt, dass du das Thema ernst nimmst und strukturiert vorgehst.
Nur Technik, keine Prozesse. Du kannst 20.000 Euro in Security-Tools investieren, aber wenn du keinen Incident-Response-Prozess hast, keine Risikobewertung und keine Richtlinien, bist du trotzdem nicht NIS2-konform. NIS2 ist ein Managementsystem-Ansatz, kein Produktkatalog. Prozesse und Dokumentation sind mindestens genauso wichtig wie technische Maßnahmen.
Zu viel Beratung für die falsche Sache. Wenn du einen Berater fünf Tage lang eine Passwort-Richtlinie schreiben lässt, hast du 5.000 Euro ausgegeben für etwas, das du in drei Stunden selbst hättest machen können. Nutze externe Beratung dort, wo du echten Mehrwert bekommst: Methodik, Strategie, Auditierung. Operative Umsetzung kannst du selbst.
Förderungen nicht nutzen. Es liegt Geld auf dem Tisch, das viele Unternehmen nicht abholen. Die Beantragung ist oft einfacher als gedacht, und die Förderquoten von 30-50 % reduzieren die Beratungskosten erheblich. Der Aufwand für einen Förderantrag liegt bei wenigen Stunden, der finanzielle Vorteil kann mehrere tausend Euro betragen.
Kein interner Treiber. NIS2-Umsetzung funktioniert nicht nebenbei. Irgendjemand muss das Thema besitzen, vorantreiben und die Fäden zusammenhalten. Wenn niemand dedizierte Zeit dafür hat, versandet das Projekt nach der initialen Begeisterung. Selbst wenn es nur 20 % der Arbeitszeit sind: Ein formaler ISB mit klarem Mandat ist unverzichtbar.
Open-Source und günstige Alternativen
Du brauchst nicht für jede NIS2-Anforderung ein teures Enterprise-Tool. Für viele Bereiche gibt es kostenlose oder günstige Alternativen, die für KMU völlig ausreichend sind:
Dokumentation und Richtlinien: Ein Wiki (Confluence, BookStack, DokuWiki) oder ein strukturiertes SharePoint reichen für den Anfang. Hauptsache, die Dokumente sind versioniert und für die richtigen Personen zugänglich.
Risikomanagement: Eine gut strukturierte Excel-Tabelle kann eine Risikobewertung abbilden. Sie ist nicht so elegant wie ein dediziertes GRC-Tool, aber sie funktioniert und kostet nichts. Wenn du mehr willst, gibt es Open-Source-Alternativen wie Eramba Community Edition.
Schwachstellenmanagement: OpenVAS (jetzt Greenbone Community Edition) ist ein kostenloser Vulnerability Scanner, der für KMU ausreichend ist. Er deckt den Bereich „Sicherheit bei Erwerb, Entwicklung und Wartung" teilweise ab.
Monitoring und Logging: Graylog, Wazuh oder der ELK Stack (Elasticsearch, Logstash, Kibana) sind Open-Source-SIEM-Lösungen, die für ein KMU mit überschaubarer Infrastruktur funktionieren können. Der Aufwand für Setup und Betrieb ist allerdings nicht zu unterschätzen.
Schulungsressourcen: Das BSI, die Allianz für Cybersicherheit und ENISA stellen kostenlose Schulungsmaterialien, Leitfäden und Webinare bereit, die du für interne Schulungen nutzen kannst.
Nach 12 Monaten: Wie es weitergeht
Nach dem ersten Jahr hast du ein funktionierendes ISMS, das die wesentlichen NIS2-Anforderungen abdeckt. Das ist ein großer Schritt, aber kein Endpunkt. Die kontinuierliche Verbesserung ist keine leere Floskel, sondern eine gesetzliche Anforderung: NIS2 erwartet, dass du dein Sicherheitsniveau fortlaufend aufrechterhältst und an veränderte Bedrohungen anpasst.
Im zweiten Jahr verschieben sich die Schwerpunkte:
Risikobewertung aktualisieren. Die Bedrohungslage ändert sich, deine IT-Landschaft entwickelt sich weiter, neue Geschäftsprozesse kommen hinzu. Die Risikobewertung muss mindestens jährlich aktualisiert werden.
Wirksamkeit prüfen. Jetzt, wo alle Maßnahmen implementiert sind, kannst du systematisch prüfen, ob sie wirken. Penetrationstests, Phishing-Simulationen, Restore-Tests, Berechtigungsreviews. Das kostet Geld, ist aber der Nachweis, dass dein ISMS lebt.
Zertifizierung in Betracht ziehen. Wenn dein ISMS stabil läuft und Kunden zunehmend formale Nachweise fordern, kann eine ISO 27001 Zertifizierung der logische nächste Schritt sein. Du hast bereits den Großteil der Vorarbeit geleistet, und der zusätzliche Aufwand für die Zertifizierung ist überschaubar.
Budget konsolidieren. Die laufenden Kosten für die ISMS-Pflege sind deutlich geringer als der initiale Aufbauaufwand. Rechne mit 5.000 bis 10.000 Euro pro Jahr für Tools, Schulungen und gelegentliche externe Unterstützung, zuzüglich des internen Personalaufwands für den ISB.
NIS2-Konformität mit begrenztem Budget ist kein Widerspruch. Es erfordert klare Prioritäten, pragmatische Entscheidungen und die Bereitschaft, vieles selbst zu machen. Das Ergebnis ist nicht nur ein Häkchen hinter einer regulatorischen Anforderung, sondern ein Unternehmen, das seine Informationssicherheit tatsächlich verbessert hat. Und das ist letztlich mehr wert als jedes Budget.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- MFA im Unternehmen einführen: Technologien, Rollout und Akzeptanz
- Passwort-Richtlinie erstellen: Vorlage und Praxisleitfaden für KMU
- Risikobewertung im ISMS: Methoden, Skalen und Praxisbeispiele
- ISO 27001 Zertifizierung: Ablauf, Kosten und Aufwand für KMU