Beispiele aus der Praxis - NIS2 – Verpflichtung oder Chance?

Von Stefan Rössel 25. Juli 2025

Beispiele aus der Praxis - NIS2 – Verpflichtung oder Chance?

Interview mit Bernhard Schmid, Berater für IT-Infrastruktur und IT-Sicherheit bei der 4IoT GmbH

Mit seinem pragmatischen Blick und viel Erfahrung aus dem IT-Operations-Alltag bringt Bernhard Schmid einen frischen Zugang zum Thema NIS2. In Workshops mit mittelständischen Unternehmen wird schnell klar: Die EU-Richtlinie ist kein Papiertiger, sondern ein Hebel für mehr Sicherheit und Klarheit.

Bernhard Schmid ist seit knapp zwei Jahren bei 4IoT als Berater tätig. Davor war er viele Jahre als Systemadministrator und später als Leiter IT-Operations im Einsatz. Sein Studium der Informatik absolvierte er an der Hochschule Furtwangen. Neben seiner beruflichen Erfahrung bringt er auch viel Lebenserfahrung mit: verheiratet, vier Kinder, acht Enkelkinder - das sorgt für Gelassenheit und ein gutes Gespür dafür, worauf es wirklich ankommt. „Beratung ist für mich wie Großvatersein: Ich darf meine Erfahrung weitergeben, ohne erziehen zu müssen.“

Was ist NIS2 überhaupt?

NIS2 ist eine EU-Richtlinie, die in nationales Recht überführt werden muss. Ziel ist ein einheitliches, hohes Niveau an Cybersicherheit in Europa. Betroffen sind Unternehmen aus bestimmten Sektoren (wie Energie, Produktion, Gesundheitswesen), aber auch viele Mittelständler, die digital arbeiten oder kritische Prozesse betreiben.

Im Unterschied zu Standards wie ISO 27001 ist NIS2 gesetzlich verpflichtend. Und sie nimmt nicht nur die IT-Abteilung in die Pflicht, sondern auch Geschäftsführung, Einkauf, HR und weitere Bereiche.

Ist das nur Bürokratie?

“Ja, es kommt ein gewisser Overhead dazu,” sagt Schmid, “aber es lohnt sich.” Denn viele Unternehmen nutzen NIS2 als Anstoß, Informationssicherheit strukturiert und risikoorientiert anzugehen. Die Richtlinie lässt bewusst Spielraum, um die Anforderungen an die jeweilige Unternehmensgröße und Risikolage anzupassen.

Vor allem aber: Cybersicherheit ist kein Einmal-Projekt. Sie ist ein kontinuierlicher Prozess, der gepflegt, weiterentwickelt und an neue Rahmenbedingungen angepasst werden muss. Genau dabei hilft ein strukturierter Einstieg mit NIS2.

Typischer Workshop-Ablauf

  • Bestandsaufnahme vor Ort (~0,5 Tage)

  • Gap-Analyse & Abstimmung (~2 Stunden)

  • Empfehlungen & Management-Präsentation (optional, ~2 Stunden)

“Das ist für die Kunden meist ein Aufwand von ca. einem Tag - danach wissen sie, wo sie stehen und wo es Handlungsbedarf gibt.”

Erkenntnisse aus der Praxis

  • Verwundbarkeiten werden sichtbar – gerade bei vernetzten Produktionsanlagen

  • Fehlende Verantwortlichkeiten – oft ist nicht klar geregelt, wer für Informationssicherheit zuständig ist

  • Cybersicherheit ist ein Prozess, der dauerhaft gelebt werden muss – nicht nur ein Projekt mit Enddatum

  • Nicht Tools, sondern Prozesse sind entscheidend - und zwar keine zufälligen: Der oft gehörte Gedanke “Security by Opportunity” - also Sicherheit nach Gefühl oder bei Gelegenheit - funktioniert nicht. Es braucht einen strukturierten, kontinuierlichen Sicherheitsprozess.

Aufwand für den Mittelstand?

Wer seine Informationssicherheit im Griff hat, wird NIS2 ohne große Probleme umsetzen. Wer bislang wenig strukturiert vorgegangen ist, hat mehr Aufwand - bekommt aber auch klare Prioritäten durch die Risikobewertung.

Empfehlung von Bernhard Schmid

“Jetzt starten. Laut BSI ist der rechtliche Rahmen zu 95% fix. Wer weiß, wo er steht, kann zielgerichtet handeln. Wegschauen verbessert die Situation nicht.”