Wie du wirklich herausfindest, ob du NIS2-pflichtig bist – und was du sofort tun kannst, um unter Auflagen „temporär compliant“ zu werden
Kennst du das? Du scrollst durch LinkedIn, öffnest das zehnte „NIS2 Explained“-Posting und denkst dir: „Cool. Schon wieder ein Text darüber, wie wichtig NIS2 ist. Und wieder sagt niemand, ob ich eigentlich betroffen bin und was ich JETZT tun muss.“ Genau darum geht’s heute: real talk, humorvoll, aber technisch sauber – ohne Marketingnebel, ohne Buzzword-Bingo. Als Security Architekt und Compliance-Mensch mit einer gewissen Allergie gegen nutzlose Prozess-PowerPoints zeige ich dir, wie du schnell und zuverlässig herausfindest, ob du NIS2-pflichtig bist – und was du kurzfristig tun kannst, um unter Auflagen durchzukommen, bis dein NIS2-Programm richtig steht.
Der erste Schritt: Bin ich überhaupt NIS2-pflichtig?
Klingt trivial, ist aber für viele die erste Überraschung: Nicht jedes Unternehmen ist NIS2-pflichtig – aber deutlich mehr, als viele glauben. Der pragmatischste Einstieg ist deshalb: Prüfen, ob dein Unternehmen gemäß NACE-/WZ-Code in einer NIS2-relevanten Branche tätig ist.
Warum gerade der NACE-/WZ-Code?
Ganz einfach: NIS2-Relevanz wird über NACE-Codes (in Deutschland: WZ-Codes) bestimmt. Diese Codes sind die offizielle wirtschaftliche Tätigkeit eines Unternehmens. Keine esoterische EU-Erfindung, sondern ein klarer statistischer Schlüssel, der entscheidet:
- ob du automatisch als „kritisch“ eingestuft wirst
- ob Behörden dich anschreiben
- ob du meldepflichtig bist
- ob ein NIS2-Aufsichts- oder Kontrollverfahren auf dich zukommt
Kurz gesagt: Wenn dein NACE-/WZ-Code zu einem NIS2-Sektor gehört → Game over, du bist drin. Und ja – viele Unternehmen merken das erst, wenn der Brief vom Bundesamt kommt. Muss nicht sein.
Die Frage aller Fragen: Woher bekomme ich meinen offiziellen NACE-/WZ-Code?
Das ist der Teil, bei dem viele falsch abbiegen. Die häufigsten Fehlerquellen:
- „IHK weiß das doch.“
- „Steht bestimmt im Handelsregister.“
- „Unser Steuerberater hat doch was eingetragen.“
- „Das Gewerbeamt hat uns schon einen Code gegeben.“
Alles hilfreich – aber keine einzige dieser Stellen ist hoheitlich zuständig. Die einzige Instanz, die rechtlich verbindlich ist:
Das Statistische Bundesamt (Destatis) und die Statistischen Landesämter der Bundesländer. Diese Behörden:
- ordnen Unternehmen wirtschaftlich ein
- vergeben den offiziellen WZ-/NACE-Code
- korrigieren falsche Klassifikationen
- geben auditfeste, verbindliche Auskünfte
Wenn du also sicher sein willst – richtig sicher –, dann führt an diesen Behörden kein Weg vorbei. Und wie kommt man nun an seinen offiziellen Code? Ganz einfach: Schreibe eine Email an:
klassifikation@destatis.de Betreff: Offizielle WZ-/NACE-Klassifikation für NIS2-Relevanz mit einem Text wie:
„Wir benötigen zur Einordnung unserer NIS2-Relevanz die offizielle Bestätigung bzw. Korrektur unseres WZ-/NACE-Codes. Welche Klassifikation trifft auf unsere wirtschaftliche Tätigkeit zu?“
Ja, das funktioniert. Ja, sie antworten. Und ja – schnell, präzise und verbindlich. Ich habe es mehrfach erlebt. Wenn dein Code unklar ist oder du eine Fehleinstufung vermutest, dann kann zusätzlich das Statistische Landesamt deines Bundeslandes deinen Code offiziell anpassen. Diese Ämter entscheiden im Zweifel final. Gewerbeamt, IHK oder Steuerberater? Nett, unterstützend, aber nicht entscheidend.
Was, wenn herauskommt, dass du tatsächlich NIS2-relevant bist?
Wenn du jetzt denkst: „Oh nein, wir sind drin – und wir sind vollkommen unvorbereitet…“ Dann atme einmal tief durch. Man kann innerhalb von 7 Tagen so weit kommen, dass ein Auditor sagt:
„Das Unternehmen ist in Umsetzung und unter Auflagen vorläufig compliant.“
Natürlich ersetzt das keinen vollwertigen NIS2-Aufbau – aber es schafft Rechtssicherheit und Handlungsfähigkeit, bis alles professionell steht.Und hier kommt der 7-Tage-Plan, diesmal ausführlich und mit mehr Substanz.
Dein 7-Tage-„Wir sind nicht perfekt, aber auditfähig“-Programm
Tag 1 – Verantwortlichkeiten schriftlich festlegen
Der erste Tag dreht sich um Klarheit und Governance. NIS2 liebt Verantwortlichkeiten – genauer gesagt: schriftliche Verantwortlichkeiten. Es ist die Stelle, an der viele Unternehmen scheitern, bevor überhaupt etwas beginnt. Was du tust:
- Offizielle Benennung eines CISO, ISB oder externen Security-Verantwortlichen
- Schriftliche Bestätigung durch die Geschäftsführung
- Definition von Rollen wie Incident Manager, Risk Owner, Compliance Lead
Warum das wichtig ist? Weil NIS2 ohne Management-Verantwortung schlicht nicht existiert. Kein Auditor akzeptiert „Wir waren uns intern einig“. Schriftlich oder gar nicht.
Tag 2 – Scope definieren
Jetzt bestimmst du den Rahmen deiner NIS2-Umsetzung. Du dokumentierst:
- alle betroffenen Standorte
- kritische Services
- IT- und Cloud-Systeme
- OT-Elemente (falls vorhanden)
- externe Abhängigkeiten
Ein klar definierter Scope ist die Grundlage jeder Entscheidung. Er verhindert Chaos und unnötigen Aktionismus. Er erlaubt dir, Ressourcen dort einzusetzen, wo sie wirklich benötigt werden.
Tag 3 – Mini-Risikobewertung & Gap-Analys
Heute geht es um Transparenz. Nicht perfekt – aber sichtbar. Du erstellst eine einfache, aber strukturierte Übersicht:
- Welche Systeme existieren?
- Welche Bedrohungen sind relevant?
- Welche Schwachstellen gibt es?
- Welche Kontrollen hast du bereits?
- Welche fehlen im Vergleich zu NIS2?
Eine Excel-Tabelle reicht. Wirklich. Denn Dokumentation schlägt Perfektion – zumindest in Woche 1.
Tag 4 – Quick-Wins umsetzen (Top 10)
Jetzt wird’s technisch. Und ja: du kannst viel davon an einem Tag anstoßen. Die Top-10-Quick-Wins umfassen:
- MFA aktivieren
- EDR/XDR einführen
- Backups überprüfen, Offline-/Immutable aktivieren
- Patch-Management sicherstellen
- Awareness Training starten
- Netzwerk segmentieren
- SOC-Monitoring (auch extern) aktivieren
- Incident Playbook erstellen
- Privileged Access kontrollieren
- Zentral Logging sicherstellen
Wenn du fünf dieser Punkte aktiv umsetzt, erreichst du bereits über 50 % der Basisanforderungen. Warum Quick Wins? Weil Auditoren nicht Perfektion verlangen – sondern Fortschritt, Kontrolle und Risikoreduktion.
Tag 5 – Incident-Reporting-Mechanik dokumentieren
NIS2 verlangt: Meldung schwerwiegender Vorfälle innerhalb von 24 Stunden. Das bedeutet:
- definierte Eskalationswege
- benannte Ansprechpartner
- klare Prioritäten
- ein Prozess für Erstmeldung, Zwischenbericht, Abschlussmeldung
- Kontakt zu CERT/SOC
Damit kannst du im Ernstfall reagieren – und das ist der gesamte Punkt.
Tag 6 – Lieferanten bewerten
Was viele unterschätzen: Du kannst selbst NIS2-konform sein – aber wenn dein Dienstleister es nicht ist, bist du mit im Feuer. Heute erstellst du:
- eine tabellarische Lieferantenliste
- Kritikalitätsbewertung
- erstes Sicherheitsrating
- Anforderungen an kritische Partner
Mehr braucht Woche 1 nicht.
Tag 7 – Offizielles NIS2-Programm erstellen
Das finale Dokument. Der Lackmustest. Die Grundlage, auf die Auditoren schauen. Dein 5–10-seitiges NIS2-Programm umfasst:
- Scope
- Risikoüberblick
- Gap-Analyse
- Maßnahmenübersicht
- Roadmap für 6–12 Monate
- Verantwortlichkeiten
- Budgetplanung
Dieses Dokument zeigt: „Wir haben verstanden, wir handeln, wir kontrollieren.“ Das reicht, um temporär compliant zu sein – unter Auflagen.
Fazit: NIS2 ist komplex – aber die Frage „Bin ich betroffen?“ ist es nicht
Alles, was du brauchst:
- deinen NACE-/WZ-Code
- die NIS2-Sektorliste
- deine Unternehmensgröße
- deine Rolle in der Wertschöpfungskette
Und wenn dein NACE-/WZ-Code fehlt oder falsch ist: Destatis & die Landesämter – nicht IHK, nicht Gewerbeamt – sind die einzigen Stellen, die offiziell Auskunft geben. Auditfest. Prüfbar. Rechtssicher. Wenn du willst, kann ich dir einen „7-Day NIS2 Survival Excel Map“ samt Anleitung bauen. Sag Bescheid.
Euer Simon
#NIS2, #CyberSecurity, #Compliance, #Governance, #SecurityArchitecture, #ITSecurity, #RiskManagement, #CISO, #SecurityAwareness, #Kritis
