NIS2 im Mittelstand: IT-Sicherheit wird zur Bedingung für Aufträge

NIS2 im Mittelstand: IT-Sicherheit wird zur Bedingung für Aufträge

Die NIS2-Richtlinie verschärft die Anforderungen an die Cybersicherheit massiv. Auch wenn viele Handwerksbetriebe rechtlich nicht direkt reguliert sind, wird die Umsetzung hoher Sicherheitsstandards zur „Eintrittskarte“ für die Zusammenarbeit mit größeren Auftraggebern und der Industrie.

Die EU-Richtlinie NIS2 (Network and Information Security 2) zielt darauf ab, das allgemeine Sicherheitsniveau von Unternehmen in Europa zu erhöhen. Was zunächst nach einem Thema für Energieversorger oder Großkonzerne klingt, erreicht nun über die Lieferkette den Mittelstand. Das Gesetz sieht vor, dass kritische Sektoren auch ihre Zulieferer auf Sicherheitsrisiken prüfen müssen.

Konkret bedeutet das für Unternehmen im Handwerk und Baugewerbe: Wer als Subunternehmer für Industriebetriebe, öffentliche Träger oder Infrastrukturdienstleister tätig ist, muss künftig nachweisen, dass die eigene IT ausreichend geschützt ist. Die Cybersicherheit wandelt sich damit von einer rein technischen Aufgabe zu einer harten Voraussetzung für die Marktteilnahme und das Haftungsmanagement der Geschäftsführung.

Besonders betroffen sind Gewerke, die in sensiblen Bereichen arbeiten – etwa Elektrotechnik im Schaltanlagenbau, HKLS-Betriebe in der öffentlichen Verwaltung oder spezialisierte Dienstleister für Logistikzentren. Aber auch kleinere Betriebe stehen vor neuen Herausforderungen: Wenn ein großer Partner ein Audit verlangt, müssen Dokumentationen zur IT-Sicherheit und Notfallpläne vorliegen.


Technisch bedeutet dies, dass Insellösungen am Ende sind. Eine Branchensoftware wie pds muss in ein ganzheitliches Sicherheitskonzept eingebettet sein, das auch mobile Endgeräte auf der Baustelle und den Datenaustausch via Cloud umfasst. Die Branche ist aktuell verunsichert, da die genauen Schwellenwerte oft unklar scheinen – doch der Marktdruck durch die Lieferkette überholt hier oft die gesetzliche Frist. Wer seine Hausaufgaben bei der IT-Infrastruktur nicht macht, riskiert, bei Ausschreibungen schlicht nicht mehr berücksichtigt zu werden.


Orientierungsfragen 

Prüfen Sie Ihre Betroffenheit und Ihren Vorbereitungsstand mit diesen Fragen:

  1. Sind wir als Zulieferer oder Dienstleister für Unternehmen tätig, die zur „kritischen Infrastruktur“ (z.B. Energie, Wasser, Gesundheit, Transport) gehören?


  2. Wurden wir von Kunden bereits nach unseren IT-Sicherheitsstandards oder Zertifizierungen gefragt?


  3. Gibt es in unserem Betrieb einen dokumentierten Prozess, wie wir bei einem Ransomware-Angriff oder Datenverlust reagieren (Business Continuity)?


  4. Sind unsere Schnittstellen zur Projektsoftware (pds) und zur mobilen Zeiterfassung nach aktuellem Stand der Technik abgesichert?


  5. Ist der Geschäftsführung bewusst, dass die Haftung für IT-Sicherheitsversäumnisse durch NIS2 deutlich persönlicher und strenger geregelt wird?


Handlungsschritte

  1. Lieferketten-Check: Analysieren Sie Ihre Kundenstruktur. Welche Auftraggeber könnten aufgrund von NIS2 in den nächsten Monaten Sicherheitsnachweise von Ihnen fordern?

  2. Risikoanalyse durchführen: Identifizieren Sie die kritischen Punkte in Ihren Büroabläufen. Was passiert, wenn die Server für die Projektsteuerung einen Tag ausfallen?

  3. Sicherheitsstandards etablieren: Setzen Sie Basismaßnahmen wie Multi-Faktor-Authentisierung (MFA) und regelmäßige, verschlüsselte Backups konsequent um.

  4. Dokumentation starten: Beginnen Sie damit, Ihre IT-Struktur und die getroffenen Schutzmaßnahmen schriftlich festzuhalten – das ist die Basis für jeden Nachweis gegenüber Partnern.

  5. Mitarbeiter schulen: Sensibilisieren Sie Ihr Team für Phishing und den sicheren Umgang mit mobilen Geräten im Feld.


Analyse-Angebot Möchten Sie klären, welche Auswirkungen diese Entwicklung auf Ihre spezifischen Prozesse hat? Unsere Experten unterstützen Sie bei einer strukturierten Analyse Ihrer IT- und Softwarelandschaft. Wir helfen Ihnen dabei, die Anforderungen Ihrer Auftraggeber zu verstehen und Ihre IT so aufzustellen, dass sie kein Risiko, sondern einen Wettbewerbsvorteil darstellt. Gemeinsam sorgen wir für eine Bestandsaufnahme, die Ihren Betrieb zukunftssicher macht.


Hinweis: Dies ist eine IT-fachliche Einordnung der aktuellen Sicherheitslage und stellt keine Rechtsberatung dar.