Falle ich unter NIS2? 5 Fragen für Unternehmen in Ostfriesland
Viele Unternehmen warten beim Thema NIS2 aktuell erst einmal ab. Das ist nachvollziehbar, kann später aber problematisch werden. Nicht unbedingt, weil morgen eine Behörde vor der Tür steht, sondern weil Kunden, Versicherer und Lieferketten oft schneller Anforderungen stellen, als viele Betriebe erwarten.
Ein typisches Szenario: Der größte Kunde schickt plötzlich einen Lieferantenfragebogen. Darin wird nach Multi-Faktor-Authentifizierung, Backup-Konzept, Sicherheitsvorfällen, Patch-Management und Zuständigkeiten gefragt. Oder eine Ausschreibung verlangt konkrete Sicherheitsnachweise. Spätestens dann wird aus einer abstrakten Richtlinie eine sehr praktische Frage: Können Sie ruhig und nachvollziehbar erklären, wie Ihr Betrieb mit Informationssicherheit umgeht?
Genau dafür ist dieser Quickcheck gedacht. Er ersetzt keine Rechtsberatung und keine formale Einzelfallprüfung. Er hilft Ihnen aber, die wichtigsten Fragen in der richtigen Reihenfolge zu stellen.
Denn bei NIS2 Pflicht Unternehmen geht es nicht nur um Technik, sondern um Verantwortung, Risikomanagement, Nachweise und die Frage, wie widerstandsfähig Ihr Betrieb im Ernstfall ist.
Kurz gesagt: Wenn Ihr Betrieb in einem relevanten Sektor arbeitet, eine bestimmte Größe erreicht, kritische Dienstleistungen erbringt oder für betroffene Kunden tätig ist, sollten Sie NIS2 nicht abwarten. Sie sollten prüfen, was konkret auf Sie zukommen kann.
Warum NIS2 jetzt Chefsache ist
Die EU-Richtlinie NIS2 verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union zu erreichen. Sie ist damit keine reine IT-Vorgabe, sondern Teil eines größeren Rahmens: Unternehmen sollen ihre Cyberresilienz verbessern und besser auf Cyberangriffe, Ausfälle und Störungen vorbereitet sein. Das betrifft heute nahezu jeden Betrieb, weil E-Mail, Warenwirtschaft, Buchhaltung, Cloud-Dienste, Fernzugriffe und Kundendaten fast überall geschäftskritisch sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt NIS2 ausdrücklich als Thema für die Geschäftsführung. Auf der BSI-Seite heißt es in einem Zitat der BSI-Präsidentin Claudia Plattner:
„Die NIS-2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.“
Für Unternehmen in Leer, Ostfriesland und dem Emsland bedeutet das: IT-Sicherheit darf nicht mehr nur als technische Detailfrage behandelt werden. Wenn ein Betrieb ausfällt, sind Aufträge, Kundendaten, Termine, Rechnungen und Lieferfähigkeit betroffen. Eine NIS2-Prüfung ist deshalb nicht nur Compliance, sondern auch ein Beitrag zur Business Continuity.
Die 5 Fragen im Überblick
Bevor wir in die Details gehen, hilft ein schneller Überblick. Die folgenden fünf Fragen zeigen, ob eine vertiefte Prüfung angebracht ist. Je mehr Fragen Sie mit „Ja“ beantworten, desto eher sollten Sie strukturiert handeln.
| Prüffrage | Worum geht es? | Warum das wichtig ist |
|---|---|---|
| 1. Gehört Ihr Betrieb zu einem NIS2-relevanten Sektor? | Branche und wirtschaftliche Rolle | NIS2 knüpft stark an Sektoren an |
| 2. Erreicht Ihr Unternehmen relevante Größenkriterien? | Mitarbeitende, Umsatz, Bilanzsumme | Größe kann über direkte Betroffenheit entscheiden |
| 3. Erbringen Sie eine kritische oder wichtige Dienstleistung? | Bedeutung für Kunden, Versorgung, Lieferketten | Auch regionale Betriebe können wichtig sein |
| 4. Bestehen bereits Sicherheits- oder Nachweispflichten? | KRITIS, ISO 27001, BSI-Grundschutz, Kundenanforderungen | Vorhandene Pflichten sind ein Warnsignal |
| 5. Sind Sie als Zulieferer indirekt betroffen? | Anforderungen von Auftraggebern | NIS2 wirkt oft über Lieferketten weiter |
Frage 1: Gehört Ihr Betrieb zu einem relevanten Sektor?
Die erste Frage lautet: In welcher Branche arbeitet Ihr Unternehmen? Nach Angaben des BSI betrifft NIS2 Einrichtungen aus bestimmten Sektoren, die im BSI-Gesetz als wichtige oder besonders wichtige Einrichtungen eingeordnet werden können. Dazu gehören unter anderem Bereiche wie Energie, Verkehr, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, bestimmte IT- und Kommunikationsdienste, Verwaltung sowie weitere wirtschaftlich relevante Sektoren.
Für Betriebe in Ostfriesland und im Emsland ist diese Frage nicht abstrakt. Denken Sie an Logistik, maritime Wirtschaft, Energie, Maschinenbau, Lebensmittel, Gesundheit, kommunale Dienstleister, Handwerk mit kritischen Kunden oder spezialisierte technische Dienstleister. Ein Unternehmen muss nicht groß auftreten, um in einer wichtigen Kette zu stehen.
| Sektor oder Umfeld | Beispiel aus der Region | Erste Einschätzung |
|---|---|---|
| Energie und Versorgung | Dienstleister für Energieanlagen, technische Wartung, Steuerungssysteme | NIS2-Relevanz prüfen |
| Gesundheit | Praxisverbünde, Dienstleister für Gesundheitsbetriebe, Labor- oder Abrechnungsprozesse | besondere Sensibilität bei Daten und Verfügbarkeit |
| Logistik und Verkehr | Lager, Spedition, Hafen- oder Transportumfeld | Lieferfähigkeit und Ausfallrisiko beachten |
| Digitale Dienste und IT | IT-Dienstleistung, Hosting, Netzwerkbetrieb, Fernwartung | erhöhte Verantwortung möglich |
| Produktion und Zulieferung | Maschinenbau, Lebensmittel, technische Komponenten | indirekte Anforderungen wahrscheinlich |
Wenn Sie sich in dieser Tabelle wiederfinden, heißt das nicht automatisch, dass Ihr Betrieb vollständig reguliert ist. Es heißt aber, dass eine Einordnung sinnvoll ist. Genau an diesem Punkt wird NIS2 Pflicht Unternehmen zu einer praktischen Managementfrage: Nicht „Sind wir groß genug?“, sondern „Welche Rolle spielen wir für andere?“
Frage 2: Welche Größe hat Ihr Unternehmen?
NIS2 arbeitet nicht nur mit Branchen, sondern auch mit Größenmerkmalen. Das BSI erklärt, dass Einrichtungen aus bestimmten Sektoren abhängig von Mitarbeitendenzahl, Umsatz und Jahresbilanzsumme betroffen sein können. In der Praxis bedeutet das: Ein Betrieb sollte nicht nur die Branche betrachten, sondern auch die wirtschaftlichen Kennzahlen und die jeweilige Unternehmensstruktur.
Viele kleinere Betriebe machen an dieser Stelle den Fehler, zu früh abzuwinken. „Wir sind doch nur regional unterwegs“ oder „Wir haben keine eigene IT-Abteilung“ ist keine belastbare Prüfung. Für Geschäftskunden in Leer, Ostfriesland und dem Emsland ist entscheidend, ob sie in einem relevanten Umfeld tätig sind, welche Kunden sie bedienen und ob sie als Teil einer größeren Lieferkette gelten.
| Größenfrage | Warum sie relevant ist | Was Sie intern prüfen sollten |
|---|---|---|
| Wie viele Mitarbeitende hat der Betrieb? | Größenklassen können für die Einordnung entscheidend sein | aktuelle Beschäftigtenzahl und verbundene Unternehmen |
| Wie hoch sind Umsatz und Bilanzsumme? | wirtschaftliche Größe kann Betroffenheit beeinflussen | letzte Jahresabschlüsse und Unternehmensstruktur |
| Gibt es mehrere Standorte oder Gesellschaften? | Konzern- und Verbundstrukturen können wichtig sein | rechtliche Einheiten und Verantwortlichkeiten |
| Gibt es Kunden in regulierten Sektoren? | indirekte Anforderungen sind möglich | wichtigste Kunden und Vertragsanforderungen |
Wenn die Größenfrage unklar ist, sollten Sie nicht raten. Sammeln Sie die wichtigsten Daten und lassen Sie die Einordnung nachvollziehbar prüfen. Das spart später Zeit und verhindert, dass Sicherheitsmaßnahmen entweder zu klein oder unnötig groß geplant werden.
Frage 3: Erbringen Sie eine kritische Dienstleistung?
Nicht jede kritische Rolle ist auf den ersten Blick sichtbar. Ein Betrieb kann regional, überschaubar und trotzdem wichtig sein. Wenn Ihr Ausfall dazu führt, dass Kunden nicht produzieren, liefern, behandeln, abrechnen oder kommunizieren können, ist Ihre IT-Sicherheit nicht nur Ihr internes Problem.
Ein Beispiel aus Ostfriesland: Ein technischer Dienstleister betreut Produktionsanlagen oder Netzwerktechnik für mehrere Gewerbebetriebe. Fällt dieser Dienstleister durch einen Cyberangriff aus, können Wartungen, Fernzugriffe oder Ersatzteilprozesse stocken. Ein anderes Beispiel: Ein Unternehmen in Leer betreut digitale Prozesse für einen Kunden im Gesundheits- oder Versorgungsumfeld. Dann kann Informationssicherheit schnell Teil von Verträgen, Audits und Nachweispflichten werden.
Praxisregel: Je stärker andere Unternehmen von Ihrer digitalen Arbeitsfähigkeit abhängen, desto wichtiger ist eine strukturierte Prüfung Ihrer NIS2-Relevanz.
Hier lohnt sich ein Vergleich zwischen formaler und praktischer Betroffenheit.
| Sichtweise | Frage | Typische Folge |
|---|---|---|
| Formal | Fallen wir nach Gesetz und Sektor unter NIS2? | rechtliche Einordnung und mögliche Registrierung |
| Praktisch | Verlangen Kunden Sicherheitsnachweise? | Fragebögen, Audits, Vertragsklauseln |
| Operativ | Was passiert, wenn unsere IT ausfällt? | Notfallplanung, Backup, Wiederanlauf |
| Strategisch | Wird Sicherheit zum Verkaufsargument? | Vertrauen, Ausschreibungen, Wettbewerbsvorteil |
Frage 4: Haben Sie bereits bestehende Pflichten oder Standards?
Wenn Ihr Betrieb bereits mit KRITIS, Datenschutzanforderungen, ISO 27001, BSI-Grundschutz, Versicherungsauflagen oder Sicherheitsanforderungen großer Kunden zu tun hat, ist das ein deutliches Signal. Solche Anforderungen zeigen, dass Informationssicherheit für Ihr Unternehmen bereits geschäftlich relevant ist.
Der BSI IT-Grundschutz liefert hierfür ein solides fachliches Fundament. Das BSI beschreibt ihn als Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe. Dabei werden nicht nur technische Aspekte betrachtet, sondern auch organisatorische, personelle und infrastrukturelle Themen.
Für Geschäftsführer ist das ein wichtiger Punkt: NIS2 verlangt nicht einfach den Kauf eines bestimmten Produkts. Es geht um Risikomanagement. Praktisch heißt das: Wer darf worauf zugreifen? Gibt es getestete Backups? Was passiert bei einem Angriff? Wer entscheidet im Ernstfall? Und wie wird dokumentiert, dass die Maßnahmen wirklich umgesetzt sind?
| Vorhandener Hinweis | Was das bedeuten kann | Sinnvoller nächster Schritt |
|---|---|---|
| Kunden fragen nach Sicherheitsnachweisen | Lieferkette wird stärker abgesichert | Nachweisliste und Maßnahmenübersicht erstellen |
| Cyberversicherung stellt Anforderungen | Versicherer erwartet Mindestschutz | Police und technische Anforderungen prüfen |
| ISO 27001 wird in Ausschreibungen genannt | systematisches Sicherheitsmanagement wird erwartet | Lückenanalyse vorbereiten |
| Datenschutzvorfälle wären kritisch | sensible Daten müssen besonders geschützt werden | Zugriffe, Backups und Reaktionsplan prüfen |
| IT-Ausfall stoppt den Betrieb | Verfügbarkeit ist geschäftskritisch | Business-Continuity-Plan erstellen |
Hier zeigt sich, warum NIS2 Pflicht Unternehmen nicht isoliert betrachtet werden sollte. Die sinnvollste Vorbereitung verbindet NIS2 mit vorhandenen Themen wie BSI-Grundschutz, Backup, Firewall, Patch-Management und Multi-Faktor-Authentifizierung.
Frage 5: Sind Sie als Zulieferer indirekt betroffen?
Die indirekte Betroffenheit wird oft unterschätzt. Auch wenn Ihr Unternehmen formal nicht unter NIS2 fällt, können Auftraggeber Sicherheitsnachweise verlangen. Das ist besonders relevant für Dienstleister, Handwerksbetriebe, technische Zulieferer, IT-nahe Unternehmen und Firmen, die regelmäßig für größere Organisationen arbeiten.
NIS2 betrachtet ausdrücklich auch Risiken in der Lieferkette. Für regionale Unternehmen im Emsland und in Ostfriesland kann das bedeuten: Kunden fragen nach Supply-Chain-Angriffen, Zugriffsschutz, Datensicherung, Notfallreaktion oder sicheren Fernzugängen. Wer darauf vorbereitet ist, kann schneller antworten und wirkt professioneller.
| Alltagssituation | Was dahintersteht | Gute Vorbereitung |
|---|---|---|
| Der größte Kunde fragt plötzlich: „Nutzen Sie MFA?“ | Schutz vor gestohlenen Passwörtern | MFA für zentrale Konten aktivieren |
| Eine Ausschreibung verlangt Sicherheitsnachweise | Compliance und Lieferantenbewertung | Maßnahmenübersicht und Verantwortlichkeiten dokumentieren |
| Die Cyberversicherung fordert konkrete Maßnahmen | Reduzierung von Schadensrisiken | Anforderungen prüfen und Lücken schließen |
| Ein Kunde schickt einen Lieferantenfragebogen | Lieferkettenrisiko wird abgefragt | Backup, Patch-Prozess und Incident Response beschreiben |
| Ein Sicherheitsvorfall muss schnell bewertet werden | Reaktionsfähigkeit zählt | klare Melde- und Entscheidungswege festlegen |
Auswertung: Was bedeutet Ihr Ergebnis?
Wenn Sie keine der fünf Fragen mit Ja beantworten, ist eine direkte Betroffenheit weniger wahrscheinlich. Trotzdem sollten Basismaßnahmen vorhanden sein, denn Cyberangriffe richten sich nicht nur nach Gesetzesgrenzen.
Wenn Sie zwei oder mehr Fragen mit Ja beantworten, sollten Sie eine strukturierte Prüfung einplanen. Das bedeutet nicht automatisch, dass Ihr Betrieb vollständig unter NIS2 fällt. Es bedeutet aber, dass die Wahrscheinlichkeit für direkte oder indirekte Anforderungen steigt. Bei vier oder fünf Ja-Antworten ist eine vertiefte Einordnung dringend sinnvoll.
| Ihr Ergebnis | Bedeutung | Empfehlung |
|---|---|---|
| 0–1 Ja-Antworten | geringe erkennbare NIS2-Nähe | Basis-Sicherheitscheck durchführen |
| 2–3 Ja-Antworten | mögliche direkte oder indirekte Relevanz | NIS2-Erstcheck und Maßnahmenliste erstellen |
| 4–5 Ja-Antworten | hohe Relevanz wahrscheinlich | Einordnung, Verantwortlichkeiten und Projektplan festlegen |
Das BSI stellt eine eigene Betroffenheitsprüfung bereit. Wichtig ist jedoch: Die Prüfung ist laut BSI nur eine Orientierungshilfe und rechtlich nicht bindend. Sie ersetzt nicht die Selbst-Identifizierung und keine Einzelfallprüfung.
Was jetzt konkret zu tun ist
Die gute Nachricht: Sie müssen nicht alles auf einmal erledigen. Sinnvoll ist ein klarer, pragmatischer Start. Das BSI beschreibt für die Umsetzung eine Roadmap mit Analyse und Grundsatzklärung, Organisation und Verantwortung, Ist-Zustand und Risikobewertung, Ressourcenplanung, Umsetzung von Kernmaßnahmen sowie Verstetigung und Verbesserung.
Für einen Betrieb in Leer, Ostfriesland oder dem Emsland lässt sich daraus ein einfacher Startplan ableiten.
| Schritt | Ziel | Konkrete Aufgabe |
|---|---|---|
| 1. Einordnung | Klarheit zur Betroffenheit | Branche, Größe, Kunden und Lieferketten prüfen |
| 2. Verantwortlichkeit | Entscheidungssicherheit schaffen | Geschäftsführung und Zuständige benennen |
| 3. Ist-Zustand | Lücken sichtbar machen | Konten, Geräte, Backups, Firewall, Updates prüfen |
| 4. Priorisierung | nicht verzetteln | wichtigste Risiken zuerst schließen |
| 5. Dokumentation | Nachweise schaffen | Maßnahmen, Zuständigkeiten und Prüfungen festhalten |
| 6. Wiederholung | Sicherheit aktuell halten | regelmäßige Prüfung und Verbesserung einplanen |
Welche Maßnahmen fast immer sinnvoll sind
Unabhängig von der endgültigen Einordnung gibt es Maßnahmen, die für fast jedes Unternehmen sinnvoll sind. Sie helfen nicht nur bei NIS2, sondern auch gegen Ransomware, Phishing, Datenverlust, Sicherheitsvorfälle und Ausfälle.
| Maßnahme | Warum sie sinnvoll ist | |
|---|---|---|
| Multi-Faktor-Authentifizierung | schützt Konten auch bei gestohlenen Passwörtern | |
| getestete Backups | ermöglicht Wiederherstellung nach Ausfall | |
| Firewall prüfen | reduziert unnötige Angriffsflächen | |
| Patch-Management | schließt bekannte Sicherheitslücken | |
| Vorfallsplan | sorgt für klare Abläufe im Ernstfall | |
| Rechte prüfen | begrenzt Schaden bei kompromittierten Konten | |
| Wiederanlauf planen | schützt den Geschäftsbetrieb nach Störungen |
Häufige Missverständnisse zur NIS2 Pflicht
Viele Betriebe schieben das Thema auf, weil sie von falschen Annahmen ausgehen. Die drei häufigsten Missverständnisse lauten: „Wir sind zu klein“, „Unser IT-Dienstleister macht das schon“ und „Wir warten, bis uns jemand offiziell anschreibt“.
„Zu klein“ ist keine sichere Antwort, wenn Kundenanforderungen oder Lieferketten ins Spiel kommen. „Der IT-Dienstleister macht das schon“ greift zu kurz, weil Geschäftsführung, Verantwortung, Dokumentation und Risikobewertung nicht vollständig ausgelagert werden können. Und Abwarten kostet Zeit, wenn später kurzfristig Nachweise gefordert werden.
| Missverständnis | Warum es riskant ist | Bessere Sichtweise |
|---|---|---|
| „Wir sind zu klein.“ | indirekte Anforderungen können trotzdem greifen | Rolle in Branche und Lieferkette prüfen |
| „Das ist nur Technik.“ | NIS2 betrifft Verantwortung und Organisation | Geschäftsführung einbeziehen |
| „Wir warten auf offizielle Post.“ | Kunden fragen oft früher als Behörden | Vorbereitung proaktiv starten |
| „Ein Virenscanner reicht.“ | moderne Angriffe nutzen Konten, E-Mail und Fernzugänge | mehrere Schutzschichten kombinieren |
Wie Hainke Computer beim NIS2-Erstcheck unterstützt
Hainke Computer unterstützt Geschäftskunden in Leer, Ostfriesland und dem Emsland dabei, NIS2 verständlich einzuordnen. Im ersten Schritt klären wir gemeinsam Branche, Größe, Kundenstruktur, digitale Abhängigkeiten und mögliche Lieferkettenanforderungen. Danach prüfen wir den aktuellen Stand Ihrer IT-Sicherheit.
Dabei geht es nicht um Fachchinesisch, sondern um klare Antworten: Welche Konten sind kritisch? Gibt es MFA? Sind Backups getestet? Ist die Firewall sinnvoll eingerichtet? Werden Updates regelmäßig eingespielt? Gibt es einen Ablauf, wenn ein Sicherheitsvorfall passiert? Welche Nachweise können Sie Kunden bereits zeigen?
Der Vorteil eines solchen Erstchecks liegt in der Priorisierung. Statt viele Einzelmaßnahmen nebeneinander zu starten, entsteht ein nachvollziehbarer Plan. Manche Maßnahmen lassen sich schnell umsetzen. Andere gehören in ein strukturiertes Projekt. Wichtig ist, dass Sie wissen, womit Sie beginnen und warum.
Klarheit ist besser als Abwarten
NIS2 ist kein Thema, das Geschäftsführer kleinerer und mittlerer Betriebe ignorieren sollten. Nicht jedes Unternehmen ist automatisch direkt betroffen. Aber viele Unternehmen in Leer, Ostfriesland und dem Emsland können über Branche, Größe, Kundenstruktur oder Lieferketten mit Anforderungen in Berührung kommen.
Der beste Start ist eine saubere Einordnung. Prüfen Sie Branche, Größe, kritische Dienstleistungen, vorhandene Pflichten und indirekte Betroffenheit als Zulieferer. Wenn mehrere Punkte zutreffen, ist ein NIS2-Erstcheck sinnvoll.
Viele Unternehmen wissen aktuell nicht, ob sie direkt betroffen sind oder Anforderungen über Kunden und Lieferketten bekommen. Genau dafür ist ein strukturierter Erstcheck sinnvoll: Er schafft Klarheit, zeigt die wichtigsten Lücken und hilft Ihnen, die nächsten Schritte realistisch zu planen.
Vereinbaren Sie jetzt ein kostenloses NIS2-Erstgespräch mit Hainke Computer. Wir prüfen gemeinsam, ob Ihr Betrieb betroffen sein kann, welche Anforderungen realistisch relevant werden und welche Maßnahmen zuerst sinnvoll sind.
Christian Hainke ist Geschäftsführer der Hainke Computer GmbH – dem IT-Systemhaus in Ostfriesland für zuverlässige IT-Sicherheit, smarte Microsoft 365-Lösungen und moderne Infrastruktur. Mit über 20 Jahren Erfahrung und einem klaren Fokus auf kleine und mittelständische Unternehmen unterstützt er mit seinem Team Unternehmen dabei, IT einfach, sicher und effizient zu gestalten.
Sein Motto: „Sicherheit beginnt mit Klarheit – und die liefern wir.“
