dynexo
Gespräch vereinbaren

NIS2-Readiness im Mittelstand — was wir aus drei Mandaten gelernt haben

Drei Mittelstands-Mandate, drei Wege zur NIS2-Konformität. Was tatsächlich funktioniert, wo Audit-Vorbereitung scheitert und warum Dokumentation wichtiger ist als das nächste Tool.

·6 Min. ·dynexo
NIS2 Compliance Audit Mittelstand

Worum es geht

NIS2 ist seit Oktober 2024 nationales Recht. Im Q4 2025 haben wir drei Mittelstandsmandate auditfähig gemacht — ein Maschinenbauer (220 MA), ein Energieversorger (kommunal, 90 MA) und eine Beratungs­gesellschaft (180 MA). Diese Notiz fasst zusammen, was funktioniert hat und wo Geld verbrannt wurde.

Was tatsächlich funktioniert

Dokumentation vor Werkzeug. Alle drei Mandate hatten bereits sinnvolle Sicherheits­bausteine — Patching, Endpoint-Detection, MFA. Was fehlte, war die belastbare Dokumentation: Wer ist verantwortlich, wer entscheidet im Vorfall, wie lange dauert die Eskalation? NIS2-Auditoren prüfen Prozesse, nicht Logos.

Vorfälle simulieren. Drei Tabletops in drei Monaten brachten mehr Klarheit als neue Tools. Im Tabletop fällt auf, dass der Eskalationspfad „CISO anrufen" nicht funktioniert, wenn die CISO-Rolle nicht besetzt ist. Schnell behoben — wir übernehmen das in unserem Virtual-CISO-Modell.

Lieferkette dokumentieren. Die NIS2-Anforderung an Lieferanten-Sicherheit wird unterschätzt. Wir haben jedem Mandat ein einfaches Lieferanten-Register angelegt (kritische Anbieter, Vertragsklauseln, Kontaktpfade) und die Top-10 Lieferanten mit Sicherheits-Fragebögen abgedeckt. Auditoren waren danach zufrieden.

Wo Geld verbrannt wurde

„Compliance-Tool" gekauft, das niemand pflegt. Ein Mandat hatte eine GRC-Plattform abonniert, die niemand nutzt. Solche Tools sind ohne Owner wertlos. Wir haben sie abgeschaltet und stattdessen ein Confluence-Space + ein Audit-Log unserer Nova9-Plattform genommen — günstiger und gepflegt.

Penetrationstests vor der Hygiene. Ein Mandat wollte einen Pentest, bevor Basis-Hygiene saß. Ergebnis: hundert Findings, davon achtzig in den ersten zwei Wochen mit Hardening behebbar. Wir empfehlen heute: Härtung erst, dann Pentest — sonst zahlt man für eine Mängelliste, die man auch ohne Pentest hätte.

Was Nova9 dazu beigetragen hat

Die Audit-Trails unserer Plattform decken NIS2-Artikel 21 (Berichtspflicht von Vorfällen) ohne Zusatzaufwand ab — jede Agenten-Aktion ist signiert, zeit­gestempelt und durchsuchbar. Bei einem der Audits hat genau das den Auditor überzeugt, dass die Reaktions­zeit (24h) belegbar eingehalten wird.

Konkrete Empfehlung

Wenn Sie noch nicht angefangen haben:

  1. Verantwortlichkeiten klären. Wer trägt die Vorfalls-Verantwortung? Wer informiert die Aufsicht? Schreiben Sie es auf.
  2. Top-5-Vorfälle simulieren. Tabletop, eine Stunde pro Szenario.
  3. Lieferanten-Register anlegen. Nicht Excel-Hölle, ein einfaches Markdown reicht.
  4. Audit-Trail aktivieren. Auf jedem System, das produktiv arbeitet.

Wenn Sie unsere Vorlage für das Lieferanten-Register oder den Tabletop-Leitfaden wollen, schreiben Sie uns. Wir geben beides kostenfrei raus.