„Die häufigste Frage, die uns gestellt wird: Sind wir betroffen?“
Wie die NIS-2-Anlaufstelle NRW KMU durch Orientierung und Erstberatung unterstützt.
„Die häufigste Frage die uns gestellt wird: Sind wir betroffen?“
Wie die NIS-2-Anlaufstelle NRW KMU durch Orientierung und Erstberatung unterstützt.Ein Gespräch mit Jana Knuth, Leiterin der NIS-2-Anlaufstelle NRW
Seit Ende 2024 gibt es in Nordrhein-Westfalen eine zentrale Anlaufstelle für Unternehmen, die sich auf die Anforderungen der neuen NIS-2-Richtlinie vorbereiten möchten: die NIS-2-Anlaufstelle NRW. Jana Knuth leitet das Projekt, das vom Land NRW gefördert wird. Im Gespräch mit dem KDW spricht sie über ihr Unterstützungsangebot, häufige Missverständnisse und darüber, warum es sich lohnt, frühzeitig aktiv zu werden.
Das Thema NIS-2 ist gerade in aller Munde – gleichzeitig hat man das Gefühl, es passiert noch nicht viel. Wie nimmst du das wahr?
Das trifft es ganz gut. Es tut sich was, aber eben langsam. Der Entwurf, noch von der alten Bundesregierung, musste nach dem Regierungswechsel komplett überarbeitet werden. Die Einbeziehung der Bundesländer und ein gerade abgeschlossener Konsultationsprozess kosten Zeit. Ob das Gesetz noch 2025 oder erst Anfang 2026 kommt, ist unklar – fest steht aber: Es wird kommen.
Solange das Gesetz nicht verabschiedet ist, sind viele Unternehmen verunsichert. Was bedeutet NIS-2 eigentlich für sie?
Die NIS-2-Richtlinie ist ein europäisches Rahmenwerk, das europaweit einheitliche Mindeststandards für Informations- und IT-Sicherheit schaffen soll. Diese müssen von jedem Mitgliedsstaat in nationales Recht umgesetzt werden – das geschieht gerade in Deutschland.
Wichtig ist: Solange das nationale Gesetz noch nicht in Kraft ist, gibt es für Unternehmen keine unmittelbare Verpflichtung. Die Vertragsverletzungsverfahren der EU betreffen in dieser Phase ausschließlich den Staat, nicht die Betriebe. Trotzdem ist es klug, sich jetzt schon mit dem Thema zu beschäftigen – denn wenn das Gesetz erst da ist, geht es schnell in die Umsetzung.
Und dabei stellt sich natürlich die Frage: Wer ist von der Richtlinie überhaupt betroffen?
Ganz genau – das ist eine der häufigsten Fragen, die uns gestellt wird. Und sie ist nicht immer leicht zu beantworten. Klar ist: Der Kreis der betroffenen Unternehmen hat sich im Vergleich zu früher deutlich erweitert. Mehr Sektoren, mehr Unternehmen – und gleichzeitig deutlich konkretere Anforderungen. So sind etwa Maßnahmen wie Notfallmanagement oder Zwei-Faktor-Authentifizierung nicht mehr nur empfohlen, sondern verbindlich vorgeschrieben.
Auch die möglichen Sanktionen wurden verschärft: Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes – je nachdem, was höher ist.
Dazu kommen enge Meldefristen: Bei einem erheblichen Sicherheitsvorfall muss innerhalb von 24 Stunden eine erste Meldung erfolgen, in Deutschland voraussichtlich an das BSI. Nach 72 Stunden folgt eine Statusmeldung, später ein Abschlussbericht. Die Spielräume werden also bewusst reduziert – um Reaktionszeiten zu verbessern und IT-Sicherheit auf ein neues Niveau zu heben.
Wie unterstützt ihr mit der NIS2-Anlaufstelle Unternehmen dabei, herauszufinden, ob sie betroffen sind – und wie sie sich aufstellen können?
Wir bieten eine sogenannte Erstberatung an, die mit einer Betroffenheitsprüfung beginnt. Dabei klären wir gemeinsam mit dem Unternehmen, ob es unter die NIS-2-Richtlinie fällt. Zur Unterstützung nutzen wir unter anderem den „Entscheidungsbaum“ des BSI, ein Entscheidungsdiagramm, das sehr übersichtlich durch die Kriterien führt.
Und wenn klar ist: Ja, das Unternehmen ist betroffen – was passiert dann?
Dann folgt Phase zwei: Für die weiterführende fachliche Beratung planen wir derzeit eine Ausschreibung, die voraussichtlich im August veröffentlicht wird. Darüber wollen wir ein externes Beraterteam beauftragen.
Wenn wir also gemeinsam festgestellt haben, dass ein Unternehmen betroffen ist, kann im nächsten Schritt eine vertiefende Analyse erfolgen: eine sogenannte Gap-Analyse. Dabei werden vorhandene Systeme untersucht – was ist schon vorhanden, welche Strukturen existieren bereits? Auf dieser Basis wird dann ein individueller Maßnahmenplan entwickelt.
Das klingt nach einem durchdachten Konzept. Aber ist es sinnvoll, sich schon jetzt damit zu beschäftigen – obwohl das Gesetz noch nicht beschlossen ist?
Unbedingt. Die Umsetzung wird kommen – wie genau und wann, ist aber noch offen. Es wäre also sinnvoll, sich bereits jetzt vorzubereiten, solange man noch ein wenig zeitlichen Spielraum hat.
Gerade kleinere und mittlere Unternehmen haben häufig noch keine etablierten Strukturen im Bereich Informationssicherheit. So etwas aufzubauen kostet Zeit – und wenn das Gesetz erst einmal gilt, wird es voraussichtlich nur eine kurze Umsetzungsfrist geben. Drei Monate stehen aktuell im Raum. Wer dann bei null beginnt, steht unter enormem Druck. Wer jetzt anfängt, kann strukturiert und mit Ruhe vorgehen.
Mit welchen Unsicherheiten kommen die Unternehmen typischerweise auf euch zu?
Viele Betriebe sind beim Thema IT-Sicherheit noch nicht auf dem neuesten Stand. Eine zentrale Herausforderung ist die fehlende Unterscheidung zwischen IT- und Informationssicherheit. Viele denken: „Das ist ein IT-Thema – dafür ist unsere IT-Abteilung zuständig.“ Aber das greift zu kurz. Informationssicherheit betrifft das ganze Unternehmen – vom Empfang bis zur Geschäftsführung. Es geht um ein Bewusstsein für digitale Abläufe und Risiken. Ich erkläre das gern mit einem einfachen Bild: Beim Geldautomaten verdecken wir automatisch das Tastenfeld – solche Sicherheitsroutinen lassen sich auch im digitalen Raum entwickeln.
Hinzu kommt die Sorge, dass IT-Sicherheit nur mit großem finanziellen oder technischen Aufwand zu schaffen ist. Und ja, je nach Ausgangslage kann das Investitionen bedeuten. Aber ich erlebe oft, dass die Angst vor dem Aufwand lähmt – statt anzufangen und sich Schritt für Schritt heranzutasten.
Ist es eher die Angst vor Cyberangriffen – oder eher die Sorge, dass der laufende Betrieb gestört wird?
Eher Letzteres. Viele fürchten, dass der gewohnte Ablauf durch notwendige Maßnahmen durcheinandergebracht wird – etwa durch Updates oder technische Umstellungen. Die Angst vor Angriffen ist dagegen oft diffus und nicht konkret genug.
Ich erinnere mich an ein Gespräch mit einem Aufzugsbauer: Dort hieß es sinngemäß, dass fehlende Sicherheitsupdates zwar Mängel bei der Prüfung erzeugen – aber man komme ja trotzdem durch den TÜV. Das hat mich ehrlich gesagt ein bisschen erschüttert. Gerade bei vernetzten Systemen ist IT-Sicherheit kein lästiger Zusatz, sondern entscheidend.
Wie kann man die Mitarbeitenden ins Boot holen? Schließlich sind sie oft das Einfallstor für Angriffe.
Schulungen sind ein zentraler Baustein – und sie betreffen nicht nur die Mitarbeitenden, sondern ausdrücklich auch die Geschäftsführung. Die Inhalte unterscheiden sich natürlich – aber grundsätzlich gilt: Informationssicherheit muss Teil der Unternehmenskultur werden. Sie sollte genauso selbstverständlich sein wie ein Jahresabschluss.
Was gibst du kleinen und mittleren Unternehmen in NRW mit auf den Weg, die sich von der Komplexität von NIS-2 noch abschrecken lassen?
Was ich den Unternehmen mitgeben möchte: Fangt einfach an. Lest den ersten Artikel – etwa vom BSI oder OpenKRITIS. Und wenn euch Fragen offenbleiben, nutzt die Angebote, die es bereits gibt. Wartet nicht zu lange – auch wenn das Gesetz noch nicht in Kraft ist, wird es bald so weit sein. Und wenn dann plötzlich alle gleichzeitig loslegen, könnten die Ressourcen knapp werden. Wer früh beginnt, ist klar im Vorteil.
Vielen Dank, Jana – für deine Zeit und das Gespräch!
Jana Knuth
Seit April 2025 leitet Jana Knuth die NIS2-Anlaufstelle NRW. Ihr größtes Anliegen ist es, das komplexe Thema Cybersicherheit greifbar und verständlich zu machen. Dabei ist es ihr wichtig, Unternehmen auf Augenhöhe zu begegnen – mit Klarheit, Offenheit und dem Anspruch, wirklich weiterzuhelfen und Unterstützung bieten zu können
