Viele kleine und mittlere Unternehmen (KMU) sind direkt oder aufgrund einer „Lieferketten-Kaskade“ zur Umsetzung der seit Ende 2025 geltenden NIS-2-Anforderungen verpflichtet. Was in der Theorie klar klingt, erweist sich in der Praxis als massive Herausforderung. Was kann helfen?

Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 15. und 16. April 2026 war die NIS-2-Richtlinie und deren Umsetzung ein großes Thema. Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der Technischen Universität München mit der Umsetzung der NIS-2 bei KMU in Deutschland beschäftigt hatte, zeichnete in seinem Vortrag ein ernüchterndes Bild. Im Gegensatz zu Großunternehmen wird die Informationssicherheit in KMU oft als Sekundäraufgabe von der IT-Leitung verantwortet, was zu Ressourcenkonflikten und Überlastung führt. Externe Beratung wird zwar als notwendig erachtet, sprengt jedoch oft die verfügbaren Budgets. Viele der von ihm befragten Unternehmen sahen sich technisch bereits solide aufgestellt, nahmen aber die formalen Anforderungen der NIS-2-Richtlinie primär als administrative Last wahr. Dies deckt sich mit unseren Beobachtungen in der Praxis.

Personeller Kapazitätsmangel  

Unternehmensleitungen fehlt oft die Zeit, sich – neben allen anderen kaufmännischen und personalwirtschaftlichen Aufgaben – das konzeptionelle Verständnis der einzelnen Komponenten des Informationssicherheits-Managementsystems (ISMS) wie z.B. Netzsegmentierung, Active Directory oder Mobile Device Management anzueignen. Hinzu kommt, dass schon die Pflicht, einen Informationssicherheitsbeauftragten (CISO) zu benennen, zu einem regelrechten Kampf um hierfür qualifiziertes Personal führt. Kleinere Unternehmen haben oft das Nachsehen gegenüber Großkonzernen.

Unterschätzung der Dokumentationspflicht

Ein Phänomen ist auch die Diskrepanz zwischen gelebter IT-Praxis und rechtssicherer Dokumentation. Viele Administratoren leisten technisch gute Arbeit. Allerdings wird kaum etwas dokumentiert. Ohne schriftliche Leitlinien, Freigabeprozesse und Revisionslisten fehlt der Geschäftsführung die Grundlage für die notwendige Kontrolle und ggf. Exkulpation. Die Dokumentation ist eine zentrale gesetzliche Anforderung (§ 30 Abs. 1 BSIG). Es reicht nicht, dass Wissen über die Sicherheitsarchitektur nur in den Köpfen einzelner Mitarbeiter existiert.

IT-Grundschutz Standard des BSI als Lösung für KMU

Die praktischen Probleme sind vielfältig, aber lösbar. Eine besonders große Hilfe ist der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „IT-Grundschutz“ Standard, der oft als „das deutsche Kochbuch“ für Informationssicherheit bezeichnet wird. Für KMU ist er deshalb so attraktiv, weil er die abstrakten Anforderungen der ISO 27001 in konkrete Handlungsanweisungen übersetzt. Es ist rechtlich auch nicht erforderlich, immer die „High-End“-Lösung zu wählen. Ziel ist vielmehr eine verhältnismäßige, risikobasierte Optimierung.

Wer aber versucht, die komplexen Anforderungen eines ISMS über lose verteilte Einzeldateien, Word-Dokumente oder statische Excel-Listen abzubilden, wird schnell feststellen: Man verwaltet keine Sicherheit, sondern lediglich das Chaos. Ein ISMS benötigt eine „Single Source of Truth“ – ein zentrales Steuerungselement, das Verantwortlichkeiten, Fristen und Nachweise revisionssicher verknüpft.

Wenn intern die notwendige methodische Routine für den Aufbau und die dauerhafte Pflege eines ISMS fehlt oder sich kein interner CISO findet, bietet die Hinzuziehung externer Unterstützung einen entscheidenden Hebel. Erfahrene Experten bringen erprobte Frameworks und Best Practices mit, die den Implementierungsprozess massiv verkürzen.

KNPP bietet den Aufbau und die Pflege eines maßgeschneiderten zentralen ISMS-Steuerungselements auf der Basis des BSI IT-Grundschutz Standards an. Wir verwenden eine Plattform, über die sich die Darstellung hochflexibel an die spezifischen Strukturen jedes Unternehmens anpassen lässt.