NIS2 und Kritis-Dachgesetz – Was Sicherheitsunternehmen jetzt wissen müssen

Ein Gespräch mit Andrea Bartunek, Geschäftsführerin von Senpro

Im Rahmen unseres Podcasts „SicherBlick“ hatten wir die Gelegenheit, mit Andrea Bartunek von Senpro über ein Thema zu sprechen, das aktuell viele Unternehmen beschäftigt – auch wenn es gerne als Buzzword abgetan wird: die NIS2-Richtlinie und das bevorstehende Kritis-Dachgesetz.

Andrea Bartunek ist eine von zwei Geschäftsführerinnen des IT-Dienstleisters Senpro. Sie verantwortet dort Vertrieb und Marketing und bringt langjährige Beratungserfahrung mit – gerade im Mittelstand. Senpro unterstützt Unternehmen dabei, sich organisatorisch und technisch aufzustellen, um aktuellen und künftigen Anforderungen im Bereich IT-Sicherheit gerecht zu werden.

Warum NIS2 und das Kritis-Dachgesetz (k)ein Buzzword sind

NIS2 ist mehr als ein Schlagwort – es ist eine europäische Richtlinie, die in nationales Recht umgesetzt wird und die Anforderungen an Cybersicherheit drastisch verschärft. Das geplante Kritis-Dachgesetz in Deutschland wird diese Anforderungen ergänzen und regeln, welche Unternehmen als „kritisch“ eingestuft werden.

Viele Geschäftsführer und Betriebsverantwortliche fragen sich: Betrifft mich das überhaupt? Die kurze Antwort lautet: Es ist komplizierter, als es auf den ersten Blick scheint.

Wer ist betroffen – und warum das oft nicht so eindeutig ist

Natürlich gibt es formale Kriterien wie mehr als 50 Mitarbeiter und mindestens 10 Millionen Euro Umsatz. Auch bestimmte Branchen wie Energieversorgung, Logistik, Finanzwesen oder Lebensmittelproduktion sind klar adressiert. Doch das reicht nicht.

Andrea Bartunek erklärt: „Die eigentliche Komplexität liegt darin, dass NIS2 auch die Lieferketten in den Blick nimmt. Selbst wenn ein Unternehmen nicht direkt unter die Regelung fällt, kann es als Zulieferer verpflichtet sein, bestimmte IT-Sicherheitsstandards nachzuweisen.“

Das bedeutet konkret:

  • Ein kleiner Maschinenbauer, der nur ein Bauteil liefert, kann betroffen sein, wenn sein Abnehmer ein KRITIS-Unternehmen ist.
  • Ein Logistikdienstleister, der für die Bundeswehr arbeitet, muss ebenfalls bestimmte Vorgaben erfüllen.
  • Auch Dienstleister in der Sicherheitswirtschaft, etwa Anbieter von Videoüberwachungstürmen, müssen prüfen, welche Daten sie verarbeiten und wie sie diese schützen.

Lieferkette als Einfallstor: Die unterschätzte Gefahr

Im Gespräch wurde deutlich: Cyberkriminelle suchen den schwächsten Punkt. Wenn große Unternehmen ihre Sicherheit ausbauen, werden Zulieferer zur bevorzugten Angriffsfläche. Selbst scheinbar harmlose Daten – wie Geländepläne für den Aufstellort eines Videoüberwachungsturms – können ein wertvolles Angriffsziel sein.

Andrea Bartunek verdeutlicht: „Die IT-Sicherheitsvorgaben gelten nicht nur für die großen Player. Auch kleinere Anbieter müssen nachweisen können, dass sie bestimmte Mindeststandards einhalten.“

Meldepflichten und Bußgelder – warum es ernst wird

Eine weitere Besonderheit der geplanten Gesetzgebung: Keine Übergangsfristen. Sobald das Gesetz im Bundesgesetzblatt veröffentlicht ist, gilt es. Unternehmen haben dann keine Zeit mehr, sich erst ab diesem Stichtag vorzubereiten.

Hinzu kommen strenge Meldepflichten:

  • Bei einem Sicherheitsvorfall muss innerhalb von 24 Stunden das BSI informiert werden.
  • Wer das versäumt, riskiert hohe Bußgelder und persönliche Haftung der Geschäftsführung.

Andrea Bartunek bringt es auf den Punkt: „Viele wissen gar nicht, dass sie überhaupt meldepflichtig sind. Aber das interessiert im Schadensfall niemanden mehr.“

Ein Praxisbeispiel: Sicherheitsvorfall beim Maschinenbauer

Um die Risiken greifbar zu machen, teilt Andrea Bartunek ein reales Beispiel aus ihrem Kundenkreis:
Ein mittelständischer Maschinenbauer mit internationalen Standorten wurde Opfer eines Angriffs. Das Einfallstor? Eine kleine, kaum beachtete Auslandseinheit. Die Schadsoftware verbreitete sich in kürzester Zeit auf alle Systeme. Es dauerte Monate und verschlang erhebliche Kosten, um den Normalbetrieb wiederherzustellen.

Die Lektion daraus: IT-Sicherheit ist nicht verhandelbar – und betrifft die gesamte Lieferkette.

Gap-Analyse als erster Schritt: Ein praktikabler Ansatz

Viele Unternehmen schrecken vor hohen Investitionen zurück. Nicht jedes Unternehmen kann oder muss sofort eine ISO 27001-Zertifizierung anstreben. Aber Nichtstun ist keine Option.

Ein möglicher Ansatz: die Gap-Analyse.
Andrea Bartunek beschreibt das so:

„Wir machen mit unseren Kunden eine strukturierte Bestandsaufnahme. Dabei prüfen wir verschiedene Controls und dokumentieren, wo Handlungsbedarf besteht. Am Ende steht ein klarer Fahrplan.“

Die Vorteile:

  • Kurze Projektdauer (meist 3–4 Tage inklusive Abschlusspräsentation)
  • Überschaubare Kosten
  • Konkrete To-dos für IT-Abteilungen
  • Grundlage für spätere Zertifizierungen oder Verbesserungen

Besonders wichtig für die Sicherheitswirtschaft: Diese Gap-Analyse ist ein echter Wettbewerbsvorteil. Denn Auftraggeber müssen ihre Lieferanten zunehmend auf Sicherheitsstandards überprüfen. Wer vorbereitet ist, gewinnt Vertrauen und Aufträge.

Awareness-Schulungen: Menschliche Schwachstellen schließen

Ein weiterer entscheidender Faktor in der IT-Sicherheit ist der Faktor Mensch.
Phishing-Angriffe sind heute so professionell gemacht, dass selbst technisch versierte Mitarbeiter darauf hereinfallen.

Andrea Bartunek warnt:

„Das banalste Einfallstor ist oft der Mensch. Awareness-Schulungen sind keine Kür, sondern Pflicht.“

Für Unternehmen in der Sicherheitswirtschaft bedeutet das:

  • Schulung der eigenen Teams
  • Sensibilisierung für Social Engineering und Phishing
  • Aufbau klarer Kommunikations- und Notfallpläne

Vorbereitung ist alles – und das Zeitfenster wird knapp

Das Fazit des Gesprächs ist eindeutig:
Jetzt handeln, bevor es zu spät ist.
Denn sobald die NIS2-Umsetzung in nationales Recht gegossen ist, gibt es kein Aufschieben mehr.

David Smyczek fasst es im Podcast so zusammen:

„Lieber jetzt eine Gap-Analyse machen und vorbereitet sein, als später in einer Hauruck-Aktion reagieren müssen.“

Andrea Bartunek ergänzt:

„Es ist kein Hexenwerk. Aber man muss es eben tun.“

Beratung und Unterstützung

Bei Senpro helfen wir Unternehmen aus der Sicherheitswirtschaft, sich auf die kommenden Anforderungen vorzubereiten – von der ersten Risikoanalyse bis zur Umsetzung.

Wer mehr über Senpro und Andrea Bartunek erfahren möchte:

Den gesamten Podcast findet ihr in unserem Format „SicherBlick“ auf Spotify und Apple Podcasts.

Fazit

NIS2 und das Kritis-Dachgesetz sind keine Schreckgespenster, sondern notwendige Maßnahmen für mehr Sicherheit – auch in der Sicherheitswirtschaft. Unternehmen, die sich jetzt vorbereiten, schützen nicht nur ihre eigene Existenz, sondern stärken auch ihre Marktposition.

Jetzt ist der richtige Zeitpunkt, um Verantwortung zu übernehmen.