Ein 50-Mio.-€-Hersteller, der seine Nische weltweit dominiert, betreibt seine gesamte Sicherheitsfunktion oft mit einem dreiköpfigen IT-Team, das nebenbei auch die Drucker repariert. Das ist der Mittelstand 2026 — und NIS2 macht daraus gerade ein rechtliches Problem.
Diese familiengeführten Hersteller, Präzisionsingenieure und Spezialzulieferer haben ihren Vorsprung durch Engineering aufgebaut, nicht durch Informationssicherheit. Hier klafft eine echte Sicherheitslücke, und NIS2 macht daraus aus einer Risikoentscheidung eine gesetzliche Pflicht. Die meisten sind nicht bereit.
Ich arbeite seit 15 Jahren mit deutschen Mittelständlern an Sicherheit und Compliance. Das Muster ist immer dasselbe: exzellente Produkte, exzellente Prozesse — aber Sicherheit wird als IT-Problem behandelt, nicht als Geschäftsfunktion. NIS2 verschiebt diese Gleichung.
Die Lücke verstehen
Die Lücke ist keine Frage von Bewusstsein oder Absicht. Diese Unternehmen wissen, dass Cybersicherheit zählt. Sie lesen über Ransomware-Angriffe. Sie sehen Wettbewerber zum Opfer fallen. Sie wollen sicher sein.
Das Problem ist struktureller Natur. Mittelständler stehen unter Zwängen, die Enterprise-Sicherheitsansätze unmöglich machen:
Ressourcenknappheit: Das durchschnittliche Mittelstands-IT-Team besteht aus 3 bis 5 Personen, die für alles zuständig sind — Infrastruktur, Anwendungen, Support, Entwicklung und ja, Sicherheit. Es gibt keine dedizierte Sicherheitsfunktion, weil es dafür keine Stelle gibt.
Budgetgrenzen: Sicherheit konkurriert mit Produktionsanlagen, F&E und Vertriebsausbau. Wenn Sie ein 50-Mio.-€-Hersteller sind, bedeuten 100.000 € für ein Security-Tool echte Abwägungen.
Expertenmangel: Der deutsche Security-Arbeitsmarkt ist hart umkämpft. Mittelständler können weder mit Enterprise-Gehältern mithalten noch die Karriereperspektiven bieten, die Top-Talente anziehen.
Laut Bitkom-Umfragen haben 73 % der deutschen Mittelständler keine dedizierte Sicherheitsrolle. Sicherheit ist die Zusatzaufgabe von jemandem, nicht sein Hauptfokus.
Warum Enterprise-Lösungen scheitern
Die Sicherheitsbranche bedient in erster Linie Großunternehmen. Produkte, Preise und Prozesse setzen große IT-Teams, dediziertes Sicherheitspersonal und üppige Budgets voraus. Wenn Mittelständler versuchen, diese Lösungen einzuführen, scheitern sie.
Preis-Missverhältnis: Enterprise-Security-Tools kosten über 100.000 € pro Jahr. Für ein mittelständisches Unternehmen entspricht das 2 bis 3 Vollzeitstellen. Die ROI-Rechnung geht nicht auf.
Komplexitäts-Overhead: Enterprise-Tools brauchen Spezialisten im Betrieb. Einführungsprojekte ziehen sich über Monate. Die laufende Administration verschlingt viel Zeit. Die Lücke wird größer, wenn ein Tool Ressourcen verlangt, die es nicht gibt.
Funktions-Überfrachtung: Enterprise-Produkte enthalten Funktionen, die Mittelständler nicht brauchen. Sie bezahlen und konfigurieren Features, die für Fortune-500-Anforderungen gebaut wurden.
Akzeptanz-Versagen: Tools, die Reibung erzeugen, werden umgangen. Ich habe teure Lösungen ungenutzt herumliegen sehen, während Teams zu Tabellen und E-Mail zurückkehrten, weil der „offizielle“ Prozess zu umständlich war.
Das BSI erkennt dieses Problem. Sein IT-Grundschutz enthält vereinfachte Profile für kleinere Organisationen — aber die Umsetzung setzt noch immer Ressourcen voraus, die den meisten Mittelständlern fehlen.
Der NIS2-Weckruf
NIS2 verändert für Mittelständler alles. Zum ersten Mal stehen mittelgroße Hersteller, Lebensmittelproduzenten und Chemiezulieferer vor verpflichtenden Cybersicherheitsanforderungen mit echten Strafen.
Das BSI schätzt, dass 29.500 deutsche Unternehmen in den NIS2-Anwendungsbereich fallen. Die meisten sind Mittelstand. Die meisten haben die oben beschriebene Sicherheitslücke. Die meisten haben bis Oktober 2026 Zeit, sie zu schließen.
Die Strafen sind erheblich: 10 Mio. € oder 2 % des weltweiten Umsatzes. Für ein 50-Mio.-€-Unternehmen sind das 1 Mio. € — potenziell existenzbedrohend. Die deutsche Umsetzung ergänzt eine persönliche Haftung der Geschäftsführung und macht das zur Chefsache, nicht nur zum IT-Thema.
Was einst eine Frage des Risikomanagements war, ist jetzt ein rechtliches Compliance-Versagen. Unternehmen können das Sicherheitsrisiko nicht länger bewusst in Kauf nehmen — der Staat hat für sie entschieden.
5 strukturelle Herausforderungen
Zu verstehen, warum die Lücke besteht, weist den Weg zur Lösung. Hier sind die fünf strukturellen Herausforderungen, die ich immer wieder sehe:
1. IT-Generalisten, keine Security-Spezialisten
Mittelstands-IT-Teams sind notgedrungen Generalisten. Die Person, die Active Directory verwaltet, kümmert sich auch um die Netzwerkinfrastruktur, den Anwendersupport und die Anwendungswartung. Sicherheit ist eine Aufgabe unter vielen, keine Spezialisierung.
Das schafft Kompetenzlücken. Sicherheit verlangt spezifisches Know-how — Bedrohungsanalyse, Incident Response, Compliance-Frameworks — und Generalisten können da nicht in die Tiefe gehen, während sie alles andere stemmen.
2. Komplexität der Produktionstechnik (OT)
Fertigungsunternehmen betreiben Operational Technology, die IT-Teams oft nicht vollständig verstehen. Produktionssysteme, SPS, SCADA — diese brauchen Spezialwissen, das eine Standard-IT-Ausbildung nicht abdeckt.
NIS2 verlangt Sicherheit für IT- und OT-Umgebungen gleichermaßen. Am gravierendsten ist die Lücke an der IT/OT-Grenze, wo Expertise am seltensten ist.
3. Lieferketten-Exposition
Mittelständler sind oft Zulieferer innerhalb größerer Wertschöpfungsketten. OEMs schieben Sicherheitsanforderungen nach unten durch. Ein Tier-2-Automobilzulieferer kann mit TISAX-Anforderungen konfrontiert sein, ohne die Ressourcen zu haben, sie zu erfüllen.
NIS2 schließt ausdrücklich Anforderungen an die Lieferkettensicherheit ein. Mittelständler müssen sowohl ihren eigenen Betrieb absichern ALS AUCH die Sicherheit ihrer Zulieferer bewerten — was die Compliance-Last vervielfacht.
4. Altlasten durch Legacy-Systeme
Viele Mittelständler betreiben Produktionssysteme, die Jahrzehnte alt sind. Diese Systeme funktionieren in der Fertigung tadellos, wurden aber nicht mit moderner Sicherheit im Blick gebaut. Sie lassen sich nicht ohne Weiteres patchen, überwachen oder segmentieren.
Legacy-Systeme zu ersetzen ist teuer und riskant, und Produktionsausfälle kosten echtes Geld. Ein Großteil der Lücke ist technische Schuld, deren Behebung kostspielig ist.
5. Lücke in der Dokumentationskultur
Deutsche Engineering-Exzellenz konzentriert sich auf Produkte, nicht auf Papierkram. Sicherheitsdokumentation — Richtlinien, Verfahren, Nachweise — fällt Organisationen, die aufs Bauen optimiert sind, nicht leicht.
NIS2 verlangt umfangreiche Dokumentation. Risikobewertungen, Incident-Verfahren, Schulungsnachweise, Audit-Trails. Unternehmen, die exzellente Produkte bauen, aber die Dokumentation überspringen, werden die Compliance nicht bestehen.
Die Lücke schließen
Die Lücke ist real, aber nicht unüberwindbar. Lösungen gibt es — aber sie müssen für die Zwänge des Mittelstands entworfen sein, nicht aus dem Enterprise-Bereich transplantiert:
Passend dimensionierte Tools: Security-Produkte, die für Mittelstands-Budgets und -Fähigkeiten gebaut sind. Schnelle Einführung, geringer Administrationsaufwand, fokussierte Funktionalität. Keine Enterprise-Tools mit Rabatt — zweckgebaute Lösungen.
Managed Services: Ausgelagerter Sicherheitsbetrieb für Unternehmen, die keine Spezialisten einstellen können. SOC-as-a-Service, Managed Detection and Response, Virtual-CISO-Modelle. Laut Branchenanalysen sind Managed Security Services das am schnellsten wachsende Segment — gerade wegen der Nachfrage aus dem Mittelstand.
Automatisierung: Den manuellen Aufwand durch automatisierte Dokumentation, Überwachung und Reaktion senken. Wenn Sicherheit weniger Handarbeit erfordert, erreichen kleinere Teams mehr.
Fokussierter Scope: Die risikoreichsten Bereiche priorisieren, statt überall Enterprise-Sicherheit zu jagen. Ein risikobasierter Ansatz konzentriert begrenzte Ressourcen dort, wo sie am meisten zählen.
Praxisnahe Schulung: Interne Kompetenz durch gezielte Schulungen aufbauen. Security-Awareness für alle Mitarbeitenden, tiefere Fähigkeiten für das IT-Team. Expertise über die Zeit entwickeln.
Ein anderer Ansatz
Ich habe meine Laufbahn damit verbracht, Mittelständlern durch Sicherheitsherausforderungen zu helfen. Die Lücke hat mich frustriert, weil bestehende Lösungen schlicht nicht zu ihrer Realität passten.
Deshalb habe ich FwChange gebaut — Firewall-Change-Management, entworfen für die Zwänge des Mittelstands. Schnelle Einführung, bezahlbare Preise, fokussierte Funktionalität. Die Compliance-Dokumentation, die Audits verlangen, automatisch erzeugt.
Der Markt braucht mehr Lösungen, die so gebaut sind. Security-Anbieter, die Enterprise-Deals hinterherjagen, lassen Mittelständler unterversorgt. NIS2 wird Veränderung erzwingen — entweder passen sich die Anbieter an, oder es entstehen neue Lösungen.
Der Weg nach vorn
Die NIS2-Frist ist Oktober 2026. Die Lücke schließt sich nicht über Nacht, aber Unternehmen können jetzt anfangen:
Ehrlich bewerten: Verstehen Sie, wo Sie gegenüber den NIS2-Anforderungen stehen. Gehen Sie nicht davon aus, dass Sie compliant sind — prüfen Sie es.
Rigoros priorisieren: Sie können nicht alles auf einmal beheben. Gehen Sie die risikoreichsten Lücken zuerst an.
Angemessen investieren: Sicherheit erfordert Investitionen, aber nicht unbedingt in Enterprise-Größenordnung. Passend dimensionierte Lösungen existieren.
Kompetenz aufbauen: Beginnen Sie, internes Know-how zu entwickeln. Selbst kleine Verbesserungen summieren sich über die Zeit.
Hilfe holen: Externe Expertise kann den Fortschritt beschleunigen. Berater, Managed Services, spezialisierte Tools — nutzen Sie die Erfahrung anderer.
Der deutsche Mittelstand hat seine globale Führungsrolle durch Exzellenz aufgebaut. Dieselbe Disziplin, auf Sicherheit angewandt, schließt die Lücke. NIS2 ist der Katalysator für eine Veränderung, die ohnehin überfällig war.
Die Unternehmen, die jetzt handeln, werden bereit sein. Die Unternehmen, die warten, werden hetzen. Wählen Sie klug.
Über den Autor
Nick Falshaw ist Sicherheitsberater mit über 15 Jahren Erfahrung in der Unterstützung deutscher Mittelständler bei Sicherheit und Compliance. Er ist Gründer von FwChange und baut Security-Tools, die für die Zwänge des Mittelstands entworfen sind. Vernetzen Sie sich auf LinkedIn.