Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes hat sich die IT-Sicherheit für weite Teile des deutschen Mittelstands von einer freiwilligen Präventionsmaßnahme zu einer gesetzlichen Compliance-Pflicht gewandelt. Das Zentrum dieser neuen Regulatorik bildet der risikobasierte Ansatz gemäß § 30 BSIG. Dieser fordert von Unternehmen nicht mehr nur den Einsatz punktueller technischer Schutzmaßnahmen, sondern eine umfassende, methodisch fundierte Bewertung der eigenen Bedrohungslage. In diesem Kontext fungieren der BSI IT-Grundschutz und der BSI-Standard 200-3 als entscheidende Bindeglieder: Sie liefern die notwendige Methodik, um die abstrakten gesetzlichen Forderungen nach „Verhältnismäßigkeit“ und „Wirksamkeit“ in einen operativen Prozess zu übersetzen.
Bedrohungslage spitzt sich zu
Die Notwendigkeit einer umfassenden und ehrlichen Auseinandersetzung mit der innerbetrieblichen IT-Sicherheit ist unbestreitbar gegeben. Der BSI-Lagebericht 2025 verdeutlichte bereits eine Eskalation: Mit durchschnittlich 119 neuen Sicherheitslücken pro Tag ist die Angriffsfläche für Unternehmen auf einem Allzeithoch. Besonders kritisch: Die Professionalisierung der Angreifer durch KI-gestützte Methoden hat dazu geführt, dass selbst einfache Phishing-Kampagnen eine Präzision erreicht haben, die technische Filter und menschliche Aufmerksamkeit gleichermaßen herausfordert.
Das Prinzip Verhältnismäßigkeit: Gesetzliche Vorgaben praxisnah umgesetzt
Angesichts dieser eskalierenden Gefahr stellt sich die Frage nach dem richtigen Maß an Prävention. Um das komplexe Feld der IT-Risikobewertung greifbar zu machen, hilft ein Blick auf ein alltägliches Objekt, das fast jeder von uns in der Tasche trägt: Fast jeder nutzt eine Schutzhülle. Warum? Weil wir das Risiko eines Displaybruchs intuitiv bewerten. Wie hoch ist die Eintrittswahrscheinlichkeit eines Schadens? Vermutlich recht hoch, es genügt das Smartphone einmal ungeschickt aus der Tasche zu ziehen. Und das Schadensausmaß? Ebenfalls hoch. Im schlimmsten Fall drohen eine teure Reparatur, Arbeitsausfall und Datenverlust. Die Entscheidung für die Schutzhülle wäre eine klassische Risikobehandlung. Sie kaufen aber wahrscheinlich keine gepanzerte Tresorkiste für Ihr Handy, die fünf Kilo wiegt, das wäre unverhältnismäßig. Genau diese Abwägung zwischen „Schutzbedarf“ und „Praktikabilität“ ist der Kern Ihrer Risikoanalyse. Wir investieren dort, wo der Schmerz am größten wäre.
Kommen wir nun zunächst zu den konkreten Gesetzesinhalten, die für das Risikomanagement relevant sind. In der deutschen Umsetzung der NIS2-Richtlinie ist der §30 das Herzstück für Unternehmen. Er legt fest, welche technischen und organisatorischen Maßnahmen zwingend umgesetzt werden müssen. Das Gesetz spricht hier von einem „risikobasierten Ansatz“. Das bedeutet: Sie müssen nicht alles machen, was technisch möglich ist, aber alles, was angesichts Ihres individuellen Risikos verhältnismäßig ist. Dazu gehören unter anderem ein strukturiertes Incident Management zur Bewältigung von Sicherheitsvorfällen, Konzepte zur Aufrechterhaltung des Geschäftsbetriebs, inklusive Backup-Management und Krisenplänen, sowie die Absicherung der Sicherheit in der Lieferkette. Letzteres ist besonders brisant, da Unternehmen nun gesetzlich verpflichtet sind, die IT-Sicherheit ihrer Zulieferer und Dienstleister aktiv zu bewerten. Zudem werden spezifische technische Standards wie die Nutzung von Multi-Faktor-Authentifizierung und moderne Verschlüsselungsverfahren zur unumgänglichen Baseline.
Die Bedeutung der revisionssicheren Dokumentation
Ein kritischer Aspekt, der den §30 flankiert, ist die Dokumentations- und Nachweispflicht. Es reicht nicht mehr aus, „sicher zu sein“; man muss die methodische Herleitung der Sicherheitsentscheidungen revisionssicher belegen können. Hier schließt sich der Kreis zum Risikomanagement: Nur wer seine Gefährdungslage systematisch analysiert hat, kann im Falle eines Audits oder Schadensereignisses darlegen, warum bestimmte Maßnahmen gewählt und andere verworfen wurden.
Gemäß §38 muss die Geschäftsführung die oben genannten Maßnahmen nicht nur absegnen, sondern deren Umsetzung auch überwachen. Bei Verstößen drohen nicht nur dem Unternehmen empfindliche Bußgelder, sondern die Geschäftsführung kann unter Umständen sogar persönlich in die Haftung genommen werden.
Methodik schlägt Vermutung: Den Kern des Unternehmens systematisch schützen
Die Risikoanalyse bildet das methodische Fundament jeder belastbaren IT-Sicherheitsstrategie. Im Kern geht es um folgende Frage: Welche Ereignisse können den Betrieb am härtesten treffen und wie wahrscheinlich ist deren Eintritt? Nach dem BSI-Standard 200-3 wird diese Analyse zum objektiven Kompass, der nicht nur die Anforderungen von NIS2 erfüllt, sondern knappe Ressourcen dort bündelt, wo sie den größten Schutz für die wertvollsten Unternehmenswerte bieten.
Ein wesentlicher Bestandteil der Risikoanalyse ist die Risikoanalyse-Matrix. Bevor ein einzelner Datenpunkt in die Matrix einfließt, müssen wir verstehen, welche Geschäftsprozesse, sei es die Just-in-time-Produktion, das ERP-System oder die Forschungsdaten, für das Überleben des Betriebs kritisch sind. Der BSI-Standard verlangt hier eine ehrliche Bestandsaufnahme: Was passiert, wenn dieser Prozess für 24 Stunden, eine Woche oder einen Monat stillsteht?
Die Matrix selbst spannt das Feld zwischen zwei entscheidenden Dimensionen auf: Dem Schadensausmaß und der Eintrittswahrscheinlichkeit. Im professionellen Risikomanagement nach BSI 200-3 definieren wir das Schadensausmaß nicht allein durch finanzielle Verluste. Wir betrachten eine mehrdimensionale Skala, die von „vernachlässigbar“ bis hin zu „existenzbedrohend“ reicht. Dabei werden Faktoren wie Verstöße gegen Gesetze, Beeinträchtigungen der persönlichen Unversehrtheit und der Verlust von Reputation oder Vertrauen am Markt systematisch bewertet. Ein mittelständischer Zulieferer in der Automobilindustrie wird ein Risiko ganz anders bewerten müssen, wenn ein Lieferstopp droht, als ein Dienstleistungsunternehmen, das primär mit internen Daten arbeitet.
Dem gegenüber steht die Eintrittswahrscheinlichkeit. Hier verlassen wir das Feld der bloßen Vermutung und nutzen die fundierten Gefährdungskataloge des BSI. Wir fragen uns: Wie attraktiv sind wir für Angreifer? Wie exponiert ist unsere Infrastruktur im Jahr 2026? Durch die Kombination dieser beiden Werte ergibt sich ein klares Bild in der Matrix. Ein Risiko, das „häufig“ auftritt, aber nur „begrenzten“ Schaden anrichtet, wird in der Matrix oft im gelben Bereich landen. Ein „seltenes“, aber „existenzbedrohendes“ Risiko, wie ein Totalausfall der Produktion durch Ransomware, leuchtet tiefrot.
Vom Umgang mit Risiken zur operativen Umsetzung im Mittelstand
Nachdem die Risikomatrix die kritischen Schwachstellen sichtbar gemacht hat, folgt der entscheidende Schritt: die Risikobehandlung. Im Wesentlichen stehen der Geschäftsführung vier Strategien zur Verfügung, um mit den identifizierten Gefährdungen umzugehen: Die Risikoreduzierung durch zusätzliche Sicherheitsmaßnahmen ist der klassische Weg, um die Eintrittswahrscheinlichkeit oder das Schadensausmaß zu senken. Erscheint ein Risiko für den Geschäftsprozess zu hoch und technisch nicht beherrschbar, bleibt die Risikovermeidung, etwa durch das Abschalten eines unsicheren Altsystems.
Alternativ kann ein Risikotransfer erfolgen, beispielsweise durch den Abschluss einer Cyberversicherung oder das Outsourcing an spezialisierte Dienstleister, um die finanzielle Last eines Vorfalls zu verlagern. Es ist jedoch zu beachten, dass man stets nur die Risikobehandlung abtreten kann, nie jedoch die Verantwortung, die sich aus einem Risiko ergibt. Die vierte Option, die Risikoakzeptanz, ist im Kontext von NIS2 besonders sensibel: Hierbei entscheidet sich das Management bewusst dazu, ein verbleibendes Restrisiko zu tragen, da weitere Schutzmaßnahmen unverhältnismäßig teuer wären. Wichtig für den Mittelstand: Jede dieser Entscheidungen muss im Sinne der Compliance nachvollziehbar dokumentiert werden. Die Risikobehandlung ist somit kein einmaliges IT-Projekt, sondern ein fortlaufender Steuerungsprozess, der sicherstellt, dass das Unternehmen trotz einer dynamischen Bedrohungslage stets innerhalb seiner definierten Akzeptanzgrenzen operiert.
Fazit
Für kleine und mittlere Unternehmen stellt die methodische Umsetzung von BSI-Standards wie dem Standard 200-3 oft eine personelle und finanzielle Hürde dar. Genau hier setzt das Projekt KMU.kompetent.sicher an. Es fungiert als operative Brücke zwischen komplexer Regulatorik und unternehmerischer Praxis, indem es die Anforderungen von NIS2 in handfeste, modulare Werkzeuge übersetzt. Durch Angebote wie das Management-Cockpit zur strategischen Planung und die integrierte NIS2-Kompetenzplattform erhalten Unternehmen eine klare Orientierung. Das Projekt bricht die komplexen Anforderungen in „Learning Nuggets“ und praxisnahe E-Learning-Module auf, die speziell auf zwei Ebenen ansetzen: Sie befähigen Führungskräfte zur systematischen Risikoanalyse und strategischen Steuerung, während Mitarbeitende durch gezielte Trainings für die tägliche Cyberhygiene sensibilisiert werden.
Verfasst von Tim Brinkmeier
Wissenschaftlicher Mitarbeiter | Lehrstuhl für Wirtschaftsinformatik an der Uni Paderborn
Tim Brinkmeier ist als wissenschaftlicher Mitarbeiter am Lehrstuhl für Wirtschaftsinformatik, insb. Nachhaltigkeit, an der Universität Paderborn tätig. In seiner Forschung macht er Cyberrisiken messbar, indem er die konkreten finanziellen und ökonomischen Schäden von IT-Sicherheitsvorfällen analysiert. Im Rahmen des Forschungsprojekts „KMU.kompetent.sicher.“ schlägt er die Brücke in die unternehmerische Praxis. Er analysiert die neue NIS2-Richtlinie aus einer fundierten IT-Sicherheitsperspektive und begleitet kleine und mittlere Unternehmen strategisch dabei, die komplexen regulatorischen Anforderungen pragmatisch und sicherheitsfördernd umzusetzen.
