Die NIS2-Richtlinie zwingt KMU zu mehr Sicherheit. Ohne Zero Trust, praxisnahe Unterstützung und Sicherheitskultur riskieren Unternehmen Überforderung, Bußgelder und fehlende Resilienz gegenüber zunehmend raffinierten Angriffen.
Die NIS2 verpflichtet KMU zu mehr Cybersicherheit. Zero Trust, praxisnahe Unterstützung und eine gelebte Sicherheitskultur machen Unternehmen resilient und compliant.
Ob Homeoffice, hybride Teams oder BYOD (Bring Your Own Device): Die digitale Arbeitswelt verändert sich rasant. Damit ändern sich auch die Anforderungen an Cybersicherheit. Viele Unternehmen, darunter insbesondere im Mittelstand, sind auf diese Entwicklung nicht ausreichend vorbereitet, wie beispielsweise die aktuelle Studie „Cybersecurity im Mittelstand” von Deloitte betont. Die Bedrohungslage nimmt zu, während gleichzeitig neue regulatorische Anforderungen wie NIS2 auf den Mittelstand zukommen. Was jetzt gefragt ist: ein Umdenken in Sachen Security – und ein stärkeres Sicherheitsbewusstsein auf allen Ebenen.
Früher war Sicherheit ein Thema für das Büro, heute ist Sicherheit ein Thema für jede Kaffeeküche, jeden Laptop im ICE, jedes Mobilgerät im Homeoffice. Der klassische Sicherheitsperimeter ist verschwunden. In einer Welt, in der Mitarbeitende von überall aus auf Unternehmenssysteme zugreifen, ist die digitale Identität zum neuen Schutzwall geworden.
Das bedeutet, dass Vertrauen nicht mehr automatisch entstehen darf, sondern bei jedem Zugriff aktiv geprüft werden muss. Dies ist ein Grundprinzip der “Zero-Trust-Architektur”. Diese Erkenntnis hat sich nur noch nicht flächendeckend durchgesetzt, und gerade kleine und mittlere Unternehmen sind häufig überfordert mit der operativen Umsetzung.
NIS2: Verpflichtung ohne Werkzeuge?
Mit der NIS2-Richtlinie wird Sicherheit zur gesetzlichen Pflicht, aber wo bleiben die praktikablen Werkzeuge für den Mittelstand? Aus Sicht der Net Group braucht es einen koordinierten Schulterschluss zwischen Politik, Wirtschaft und Interessenvertretungen, um dem Mittelstand praktikable und wirksame Hilfestellungen zur Umsetzung von NIS2 zu bieten. Regionale Industrie- und Handelskammern, IT-Bündnisse, Versicherungen und auch Berufsgenossenschaften könnten eine tragende Rolle übernehmen. Zum Beispiel durch praxisnahe Informationsangebote, branchenspezifische Leitfäden oder den Zugang zu qualifizierten IT-Security-Dienstleistern. Auch staatlich geförderte Awareness-Programme oder Beratungszuschüsse könnten helfen, die Einstiegshürden für KMU zu senken. Wichtig ist dabei: Es braucht keine neue Komplexität, sondern Umsetzungsbegleitung, die auf die realen Kapazitäten kleiner und mittlerer Unternehmen abgestimmt ist.
Damit die NIS2-Richtlinie nicht zur reinen Pflichterfüllung ohne Wirkung verkommt, braucht es gezielte Unterstützung, insbesondere für kleine und mittlere Unternehmen, die weder über spezialisierte Security-Teams noch über große IT-Budgets verfügen. Es ist nicht realistisch, die Anforderungen allein in den Betrieben umzusetzen. Hier sind mehrere Akteure gefragt: Industrie- und Handelskammern, Berufsverbände, Versicherer und regionale IT-Allianzen könnten als Multiplikatoren agieren: durch passgenaue Schulungsformate, Sicherheits-Audits oder standardisierte Servicepakete für typische Branchenrisiken. Auch die Politik muss stärker flankieren: mit Förderprogrammen für KMU, verpflichtenden Awareness-Kampagnen in wirtschaftsnahen Organisationen oder durch zentrale Beratungsstellen, die konkrete Unterstützung bei der Umsetzung leisten. Estland hat gezeigt, dass staatlich koordinierte IT-Sicherheitsstrategien kombiniert mit einem nutzerzentrierten digitalen Ökosystem gerade kleinen Unternehmen helfen können, Sicherheitsanforderungen nicht als Belastung, sondern als Teil ihres Erfolgsfaktors zu begreifen. Während große Unternehmen eigene IT-Abteilungen und Security-Teams aufbauen können, fehlen in KMU oft Ressourcen, Wissen und Zeit. Die Folge sind Unsicherheit, Frust oder ein Verharren im Status quo. Dabei ließe sich gerade hier mit den richtigen digitalen Werkzeugen viel erreichen.
Was es jetzt braucht, ist ein niedrigschwelliger Zugang zu professionellem Cybersicherheitsmanagement: Tools, die sensibilisieren, Risiken sichtbar machen und konkrete Maßnahmen vorschlagen, statt Unternehmen mit Checklisten und Bußgeldandrohungen allein zu lassen.
Damit die Umsetzung der NIS2-Richtlinie im Mittelstand nicht an Überforderung scheitert, braucht es eine gezielte Adressierung branchenspezifischer Herausforderungen. Die Bedrohungslage unterscheidet sich je nach Sektor erheblich, ebenso wie das digitale Reifegradniveau kleiner und mittlerer Unternehmen. Ein IT-Dienstleister im Gesundheitswesen hat andere Anforderungen als ein Maschinenbauer oder ein Handelsbetrieb. Deshalb sollten Unterstützungsangebote differenziert, modular und mit klarem Praxisbezug gestaltet werden. Denkbar wären etwa Branchen-Kits mit Vorlagen, Checklisten und Tools zur Selbsteinschätzung des Sicherheitsniveaus. Auch digitale Lernplattformen, die Wissen niedrigschwellig und bedarfsorientiert vermitteln, könnten eine Brücke schlagen zwischen Regulierung und realer Umsetzbarkeit. Nur wenn sich Unternehmen in ihrer konkreten Lage ernst genommen fühlen, wird aus regulatorischem Druck ein echter Sicherheitsgewinn.
Technische Lösungen sind wichtig, aber sie greifen zu kurz, wenn die Unternehmenskultur nicht mitzieht. In einer Zeit, in der KI auch im Bereich Cybercrime Einzug hält und Angriffe immer raffinierter werden, ist die Sicherheitskultur das entscheidende Unterscheidungsmerkmal.
Dabei geht es nicht nur um Tools, sondern um Haltung: Wie sehr ist Cybersicherheit Chefsache? Wird das Thema proaktiv angegangen, oder nur dann, wenn es bereits brennt? Und wie gut ist die Belegschaft darauf vorbereitet, Angriffe zu erkennen und darauf zu reagieren? Schulungen, klare Verantwortungen innerhalb des Unternehmens und Cybersecurity als Führungsaufgabe. Cybersecurity ist keine rein technische, sondern vor allem eine strategische Führungsaufgabe. Führungskräfte prägen durch ihr Vorbild, ihre Prioritätensetzung und klare Kommunikation das Sicherheitsbewusstsein im gesamten Unternehmen. Nur wenn die Unternehmensleitung Cybersicherheit als integralen Bestandteil der Unternehmenskultur verankert, kann eine widerstandsfähige Organisation entstehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Deutschland: Markt mit Potenzial und Nachholbedarf
Mit dem Einstieg bei Cloud Ahoi bringt die Net Group estnische Cyber-Expertise nach Deutschland. Deutschland ist technologisch stark, hat aber in Sachen digitaler Resilienz noch deutlichen Nachholbedarf. Estland gilt aufgrund der nicht enden wollenden russischen Cyberangriffe seit 2007 als Vorreiter in Sachen digitale Sicherheit. Mittlerweile ist das Land Sitz des NATO-Cyberabwehrzentrums und organisiert mit „Locked Shields“ die weltweit größte Cyberabwehrübung.
Cybersicherheit darf kein Expertenthema mehr sein. Sie ist längst ein Geschäftsrisiko und damit Chefsache. Die Bedrohungslage wächst, die Anforderungen steigen, und gleichzeitig fehlen Unternehmen Orientierung, Tools und Personal.
Wichtig sind jetzt:
1. Mehr Aufklärung über reale Risiken statt Panikmache
2. Konkrete, praxistaugliche Lösungen für KMU
3. Eine Sicherheitskultur, die nicht bei der IT endet
4. Regulatorische Anforderungen mit Umsetzungsunterstützung
5. Internationale Kooperation, die Best Practices teilt, statt neue Hürden schafft
Cybersicherheit darf kein Nischenthema bleiben. Sie ist Teil der digitalen Wettbewerbsfähigkeit und eine Frage der Resilienz unserer gesamten Wirtschaft. Sie sollte als zentrales Rückgrat jeder Organisation betrachtet werden.
Über den Autor: Priit Kongo ist CEO der estnischen Net Group, die auf sichere Weblösungen und E-Government spezialisiert ist. Mit der Mehrheitsbeteiligung an dem deutschen Unternehmen Cloud Ahoi bringt er estnische Cybersicherheitsexpertise nach Deutschland.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/a2/48a249f144445ea4b60d3e7a0032234f/0129122718v1.jpeg "Angreifer probierten wiederholt Schadsoftware auf einem Domain Controller zu platzieren, bis das EDR-System das Muster schließlich als harmlos einstufte. Fünf Stunden später begann die Verschlüsselung. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/da/83da562438dce687572cd0c63e3d0e70/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bd/2b/bd2b1d3014beda248f6be8114dd696fe/0125070878v1.jpeg "Es geht endlich voran mit der NIS2! Noch ist nicht klar, wann genau die Umsetzung in deutsches Recht erfolgt, aber dass sie kommt, ist klar. Genau wie bei Cyberangriffen, auf die man sich auch besser vorbereiten sollte. (Bild: © muhammadriaz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/c4/62c44271d4375ddce05dd15a7d43c271/0125174957v2.jpeg "Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/51/c751686510f49bec5115a55ab93b5fee/0124517652v1.jpeg "Laut Thomas Snor, Security Director bei A1 Digital, bietet die Umsetzung von NIS2 eine große Chance für Unternehmen, von einer „Check Box Compliance“ abzurücken. (Bild: A1 Digital)")
:quality(80)/p7i.vogel.de/wcms/b5/f5/b5f56e0278f0aa3ed213d82333203b09/0122892052v2.jpeg "Genauso wie sich Unternehmen vor anderen betrieblichen Risiken schützen, können sie sich gegen digitale Bedrohungen versichern. (Bild: Azar - stock.adobe.com)")