NIS2 - betrifft das mein KMU ueberhaupt?
Wie oesterreichische KMU in wenigen Schritten klaeren, ob sie unter NIS2 fallen - ohne Panik und ohne teures Gutachten.
NIS2 hat viele Geschaeftsfuehrungen verunsichert. Die Regelung ist breiter gefasst als ihre Vorgaengerin, und ploetzlich fuehlen sich auch Unternehmen angesprochen, die mit kritischer Infrastruktur auf den ersten Blick nichts zu tun haben. Bevor man in Aktionismus verfaellt, hilft eine nuechterne Reihenfolge.
Zuerst: Faellt mein Unternehmen ueberhaupt darunter?
Die Betroffenheit haengt an drei Fragen: Branche, Unternehmensgroesse und Rolle in der Lieferkette. Viele mittlere Unternehmen sind neu erfasst, oft als Zulieferer groesserer, klar regulierter Betriebe. Wer an einen betroffenen Kunden liefert, wird haeufig vertraglich in die Pflicht genommen, selbst wenn die eigene Branche nicht direkt gelistet ist.
Diese Frage laesst sich in der Regel ohne Gutachten beantworten. Entscheidend ist, sie ehrlich zu stellen, statt sie zu verdraengen.
Dann: Wer hat den Hut auf?
NIS2 verlangt nicht nur Technik, sondern Verantwortung. Es braucht eine benannte Person, die fuer die Umsetzung zustaendig ist - intern oder mit einem Partner an der Seite. Ohne diese Zuordnung versandet jedes Projekt zwischen Geschaeftsfuehrung und IT.
Erst danach: die Massnahmen
Multi-Faktor-Authentifizierung, ein dokumentierter Prozess fuer Sicherheitsvorfaelle, getestete Backups - das sind keine exotischen Anforderungen. Eine richtig konfigurierte Microsoft-365-Umgebung deckt die zentralen technischen Punkte ab. Der haeufigste Fehler ist nicht fehlende Technik, sondern fehlender Nachweis.
Was das praktisch heisst
Wer die Betroffenheit kennt, eine verantwortliche Person benennt und die Massnahmen dokumentiert, hat den groessten Teil geschafft. Genau in dieser Reihenfolge gehen wir es mit unseren Kunden an - in der Regel in 90 Tagen, zum Festpreis.