NIS2 im Mittelstand: Ein nachweisbares internes Kontrollsystem aufbauen
NIS2 im Mittelstand: Wer betroffen ist und wie ein nachweisbares IKS ohne eigene Compliance-Abteilung gelingt. Jetzt informieren.
Kontrolle dokumentiert
Statt nur im Kopf
Zugriff protokolliert
Wer, wann, was
Prüf-Erinnerung
Automatisch, wiederkehrend
Audit-Trail abrufbar
Auf Knopfdruck
Von Christian Loth · Enterprise Architect & Automatisierungsexperte · Leipzig
Hinweis vorab: Dieser Artikel ist eine praktische Einordnung, keine Rechtsberatung. Ob und in welchem Umfang euer Unternehmen von NIS2 betroffen ist, hängt von Branche, Größe und Einzelfall ab – das solltet ihr mit einem Rechtsanwalt oder eurer zuständigen Behörde klären. Hier geht es um die praktische Frage danach: Wie baut man, sobald klar ist, dass man handeln muss, ein internes Kontrollsystem auf, das im Ernstfall auch etwas vorzeigen kann?
Ein Geschäftsführer hat vor ein paar Wochen von NIS2 gehört – vom Steuerberater, von einem Branchenverband, aus einem Zeitungsartikel. Was er nicht weiß: Betrifft das seine GmbH überhaupt? Und falls ja – was genau soll er tun? "Internes Kontrollsystem" klingt nach etwas, das große Konzerne mit eigener Compliance-Abteilung haben. Er hat 40 Mitarbeiter und niemanden, der sich hauptamtlich damit beschäftigt.
Die eigentliche Angst dahinter ist selten "wir machen etwas falsch". Es ist eher: "Wir machen im Grunde vieles richtig – aber wenn jemand fragt, können wir es nicht belegen."
Bin ich überhaupt betroffen?
NIS2 ist eine EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in Kraft ist und deutlich mehr Unternehmen erfasst als die Vorgängerregelung – unter anderem, weil sie zwischen "wesentlichen" und "wichtigen" Einrichtungen unterscheidet und dabei auch auf Unternehmensgröße und Branche abstellt. Die nationale Umsetzung in Deutschland war zum Zeitpunkt dieses Artikels noch nicht in allen Details final abgeschlossen – das ist selbst ein Teil der Unsicherheit, mit der viele Mittelständler gerade zu kämpfen haben.
Grob gilt: Betroffen sind in der Regel Unternehmen ab einer bestimmten Mitarbeiterzahl bzw. Umsatzgröße in als kritisch eingestuften Sektoren – etwa Energie, Gesundheit, Transport, digitale Infrastruktur, aber auch Zulieferer und Dienstleister für diese Branchen können mittelbar betroffen sein. Eine pauschale Aussage "unter X Mitarbeitern betrifft euch das nicht" wäre unseriös – die Einordnung hängt am konkreten Geschäftsmodell und sollte im Zweifel individuell geprüft werden, zum Beispiel mit einem auf IT-Recht spezialisierten Anwalt oder über die zuständige Aufsichtsbehörde.
Was aber unabhängig von der genauen rechtlichen Einordnung sinnvoll ist: Ein Unternehmen, das seine internen Kontrollen ohnehin nicht nachweisbar dokumentiert hat, sollte das nachholen – unabhängig davon, ob am Ende NIS2 in voller Strenge greift oder "nur" gute Praxis gefragt ist.
Was "nachweisbares IKS" in der Praxis bedeutet
Ein internes Kontrollsystem (IKS) ist nicht in erster Linie eine Frage der Technik, sondern der Nachvollziehbarkeit. Es reicht nicht zu sagen "wir haben klare Prozesse" – im Ernstfall muss belegbar sein, dass diese Prozesse tatsächlich gelebt werden. Drei Beispiele aus dem Alltag eines typischen Mittelständlers:
Zugriffsrechte. Wer darf auf welche Systeme zugreifen, und warum genau diese Person? Wenn ein Mitarbeiter die Abteilung wechselt oder das Unternehmen verlässt – wird der Zugriff dann tatsächlich entzogen, und ist dokumentiert, wann das passiert ist?
Änderungsnachverfolgung. Wenn an einer wichtigen Konfiguration oder einem kritischen Prozess etwas geändert wird – wer hat das gemacht, wann, mit welcher Begründung? "Das war schon immer so eingestellt" ist im Prüfungsfall keine belastbare Antwort.
Vorfallsmanagement. Wenn etwas schiefläuft – ein Sicherheitsvorfall, ein Systemausfall, ein Datenleck – gibt es einen dokumentierten Ablauf, wer informiert wird, was zu tun ist, und wird dieser Ablauf im Nachhinein auch protokolliert?
Das Prinzip dahinter: Nicht nur wissen, was zu tun ist, sondern belegen können, dass es getan wurde – mit Datum, Verantwortlichkeit und nachvollziehbarer Historie.
Warum das ohne System scheitert
In der Praxis läuft das in vielen Betrieben über eine Excel-Liste, die irgendwann angelegt und danach nur unregelmäßig gepflegt wurde. Zugriffsrechte werden vergeben, aber selten wieder entzogen. Wer für welchen Kontrollpunkt zuständig ist, weiß meistens eine Person – meist diejenige, die es schon seit Jahren macht.
Das eigentliche Risiko zeigt sich beim Personalwechsel: Verlässt diese eine Person das Unternehmen, verlässt mit ihr auch das Wissen, wie und ob die Kontrollen tatsächlich durchgeführt wurden. Übrig bleibt eine Excel-Datei mit veralteten Einträgen – und niemand, der zweifelsfrei sagen kann, ob die letzte Überprüfung vor drei Monaten oder vor anderthalb Jahren stattgefunden hat.
Der Medienbruch liegt genau zwischen "wissen, was zu tun ist" und "nachweisen können, dass es getan wurde". Und dieser zweite Teil ist es, der bei einer Prüfung tatsächlich zählt.
Wie ein digitales IKS aussieht
Der Grundgedanke ist keine neue Sicherheitsabteilung, sondern eine zentrale, versionierte Dokumentation der Kontrollen – ergänzt um automatisierte Erinnerungen, damit wiederkehrende Prüfungen nicht von der Erinnerung Einzelner abhängen.
Zentrale, versionierte Dokumentation. Jede Kontrolle – Zugriffsrechte-Review, Backup-Test, Vorfallsprüfung – wird an einer Stelle dokumentiert, mit Datum und Verantwortlichkeit. Änderungen sind nachvollziehbar, statt in E-Mails oder Kopfnotizen zu verschwinden.
Automatisierte Erinnerungen. Statt darauf zu hoffen, dass jemand an die vierteljährliche Zugriffsrechte-Prüfung denkt, erinnert ein automatisierter Workflow rechtzeitig – und dokumentiert gleichzeitig, wann die Erinnerung ausgelöst wurde und wann die Prüfung tatsächlich erfolgte.
Audit-Trail statt Gedächtnis. Im Prüfungsfall lässt sich auf Knopfdruck zeigen, wann welche Kontrolle durchgeführt wurde, von wem und mit welchem Ergebnis – statt in alten E-Mails und Excel-Versionen danach suchen zu müssen.
Wie sich Freigabe- und Verantwortlichkeits-Schritte in einem solchen System technisch abbilden lassen, zeige ich im Artikel Approval-Workflow mit Telegram am Beispiel eines konkreten Freigabeprozesses. Und wie durchgängige Fehler- und Ereignisprotokollierung – ein zentraler Baustein eines Audit-Trails – technisch aufgebaut wird, beschreibe ich im Artikel Fehler-Monitoring für automatisierte Workflows. Wer sich zusätzlich fragt, wie es um die Sicherheits-Governance bei KI-gestützten Systemen im eigenen Unternehmen steht, findet im Abschnitt "Governance & Sicherheit" auf der KI-Workspace-Seite eine weiterführende Einordnung.
Was ein Tool nicht lösen kann
Ehrlich gesagt: Software allein macht kein NIS2-konformes Unternehmen. Zwei Dinge kann ein IKS-Tool nicht ersetzen.
Erstens: die rechtliche Bewertung, ob und in welchem Umfang euer Unternehmen überhaupt betroffen ist. Das ist und bleibt eine Frage für einen spezialisierten Anwalt oder die zuständige Behörde – keine Software kann diese Einschätzung seriös automatisieren.
Zweitens: eine gelebte Sicherheitskultur im Unternehmen. Wenn Mitarbeiter Passwörter auf Zetteln notieren oder Kontrollen nur pro forma "abgehakt" werden, ohne sie ernst zu nehmen, hilft die beste Dokumentation nichts. Ein digitales IKS macht Kontrollen sichtbar und nachvollziehbar – es ersetzt nicht die Entscheidung, sie tatsächlich ernsthaft durchzuführen.
Was ein Erstgespräch bringt
Ich beschäftige mich beruflich mit Enterprise-Architektur und Informationssicherheit in großen, regulierten Strukturen – und übertrage dieses Wissen bei CLX Digital auf Mittelständler, die sich keine eigene Compliance-Abteilung leisten können. Im kostenlosen Erstgespräch schauen wir uns eure aktuelle Situation an: welche Kontrollen es schon gibt, wo die größten Lücken liegen, und ob und wie sich ein digitales IKS für euren Betrieb lohnt.
Zur Klarheit: Das Erstgespräch ersetzt keine rechtliche Prüfung eurer NIS2-Betroffenheit. Es geht um die praktische Umsetzung, sobald klar ist, dass gehandelt werden muss – oder auch unabhängig davon, wenn ihr eure internen Kontrollen einfach besser dokumentieren wollt.
Häufige Fragen zu NIS2 im Mittelstand
Was ist NIS2 genau?
NIS2 ist eine EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in Kraft ist und im Vergleich zur Vorgängerregelung deutlich mehr Unternehmen erfasst. Sie verlangt unter anderem risikobasierte Sicherheitsmaßnahmen und ein nachweisbares internes Kontrollsystem. Die genaue nationale Umsetzung in Deutschland war zum Zeitpunkt dieses Artikels noch nicht in allen Details final abgeschlossen.
Betrifft mich das als kleine GmbH überhaupt?
Das hängt von Branche, Größe und Geschäftsmodell ab – eine pauschale Aussage lässt sich seriös nicht treffen. Betroffen sind tendenziell Unternehmen in als kritisch eingestuften Sektoren sowie deren Zulieferer und Dienstleister. Eine individuelle rechtliche Prüfung wird empfohlen.
Was ist ein internes Kontrollsystem (IKS) konkret?
Ein IKS ist die dokumentierte, wiederholbare Durchführung von Kontrollen – zum Beispiel Zugriffsrechte-Prüfungen, Änderungsnachverfolgung und Vorfallsmanagement. Entscheidend ist nicht nur, dass Prozesse existieren, sondern dass ihre Durchführung nachweisbar ist – mit Datum, Verantwortlichkeit und nachvollziehbarer Historie.
Ersetzt eine IKS-Software die Rechtsberatung?
Nein. Software kann helfen, Kontrollen zu dokumentieren und nachweisbar zu machen. Die rechtliche Bewertung, ob und in welchem Umfang NIS2 auf ein bestimmtes Unternehmen zutrifft, kann sie nicht ersetzen – das gehört in die Hände eines spezialisierten Anwalts oder der zuständigen Behörde.
Was passiert, wenn ich bei einer Prüfung keine Nachweise vorlegen kann?
Die konkreten Konsequenzen hängen vom Einzelfall und der zuständigen Aufsichtsbehörde ab und lassen sich hier seriös nicht pauschal beziffern. Grundsätzlich gilt: Wer zwar korrekt handelt, dies aber nicht dokumentieren kann, hat im Prüfungsfall eine deutlich schwächere Position als ein Unternehmen mit nachvollziehbarer Dokumentation.
Klingt nach deinem Problem?
Kurze Nachricht genügt – ich melde mich innerhalb von 24 Stunden.
Direkt Termin buchen