#59 Wer ist betroffen?
Fällt dein Unternehmen unter die NIS-2?
02.01.2026 30 min
Zusammenfassung & Show Notes
Wir starten ins neue Jahr in der users lounge mit der NIS-2. Wir ordnen ein, warum NIS-2 für Unternehmen so relevant ist, welche Rolle Cybersecurity spielt und wo noch Unsicherheiten bei der Frage der Betroffenheit bestehen. Außerdem geben wir Einblicke, wie Unternehmen ihre Betroffenheit prüfen können und sprechen über ein konkretes Beispiel.
Takeaways
Takeaways
- NIS2 betrifft nur ca. 1 % der Unternehmen in Deutschland.
- Jedes Unternehmen muss sich um Cybersecurity kümmern.
- Es ist wichtig zu wissen, ob man gesetzlich betroffen ist.
- Die Formulierungen im Gesetz sind oft unklar.
- Die Prüfung der Betroffenheit ist entscheidend.
- Dokumentation ist wichtig für rechtliche Absicherung.
- Die rechtlichen Anforderungen sind komplex und verwirrend.
- Unternehmen sollten sich extern beraten lassen.
Transkript
Ja, klappt auch im neuen Jahr wieder. Damit, Michael, herzlich willkommen im neuen Jahr.
Willst du jetzt echt so tun, als hätten wir das frisch im neuen Jahr aufgezeichnet?
Klar.
Ja, wir reden jetzt nicht daran, dass wir uns Ende des Jahres nochmal kurz zusammengeschlossen haben, sondern wir bleiben auf der Linie.
Recht haste. Willkommen im neuen Jahr. Ich hoffe, ihr seid alle genauso gut reingekommen wie wir.
Es war ein wunderschönes Silvester, hoffe ich.
Nachdem du es gerade verraten hast, musst du jetzt gar nicht mehr so anfangen.
Ich hoffe, ihr habt alle ein schönes Silvester gehabt haben werden, sollten tun sein.
Nein, wir wollten aber diese Episode nicht ausfallen lassen, auch wenn es so ganz am Anfang des Jahres ist. Von daher haben wir uns trotzdem nochmal einmal zusammengetan, um uns hier mit euch oder für euch auszutauschen.
Und wir hatten es in der letzten Folge auch schon angeteasert, dass wir Anfang des Jahres mit etwas ziemlich aktuellem starten. Wir halten es auch relativ kurz. Wir wollen alle in dem Zeitpunkt, wo das Ding veröffentlicht ist, noch so am Jahresanfang sein, noch ein bisschen gechillt aus den Feiertagen rauskommen.
Nichtsdestotrotz, Anfang Dezember, konkret 5. bis 6. Dezember, Nikolausgeschenk, NIS2 ist da und NIS2 ist in Kraft.
Und für uns super wichtig, weshalb wir heute drüber kurz reden wollen, ist, das wird im Moment wie die Sau durchs Dorf getrieben, um mal mit meinen Worten zu sagen. Keiner kommt an NIS2 vorbei. Egal in welchen sozialen Medien wir unterwegs sind, überall heißt es NIS2, NIS2, NIS2, Unternehmen müssen NIS2 umsetzen, Liebesunternehmen setzen NIS2 um, sonst hast du Strafen.
Liebesunternehmen macht NIS2, sonst bist du pleite. Liebesunternehmen, wenn du jetzt nicht sofort NIS2 machst, verhältst du dich nicht mehr gesetzeskonform. Oder kommt dir das anders davor, René?
Nein, es ist genau so. Also es wird überall darüber gesprochen. Ja, es ist auch bei uns ein Thema, natürlich.
Ja, wir machen das ja viel mit dir zusammen, hinten raus. Aber ja, das ist natürlich jetzt gerade das Thema. Auch die Unternehmen haben natürlich ein bisschen Druck jetzt, machen sich natürlich auch ihre Gedanken.
Wir werden das Thema jetzt nicht bis zum Ende durchleuchten, weil es noch ziemlich frisch ist. Wir wollen es ganz entspannt mit gesundem Menschenverstand uns mal in aller Ruhe durchleuchten. Aber was wir super wichtig finden und was ich super wichtig finde, ist eine Einordnung in die ganze Sache.
Und zwar die erste Einordnung, die wir haben. Die sprechen alle von, es betrifft jetzt bis zu 30.000 Unternehmen in Deutschland. Klingt viel, aber mal kurz eine Google-Suche.
Wie viele Unternehmen gibt es in Deutschland? Über drei Millionen. Somit sind 30.000 ein Prozent von circa einer Million. Das heißt, NIS2 betrifft circa ein Prozent der Unternehmen in Deutschland. Verschiedene Sektoren, alles cool, aber erst mal eins von hundert. Also 30.000 zu drei Millionen, Puls runterfahren. Und dann was super wichtig ist, und das ist das Thema, wo wir jetzt hier die nächsten 20 Minuten mal drüber reden wollen, ist, betrifft es mich denn überhaupt? Also bin ich eins von 30.000? So, und da ist die ganz klare Sache.
René, bist du eins von 30.000? Nein. Warum bist du nicht eins von 30.000?
Weil wir nicht die Mitarbeiteranzahl haben und weil wir nicht den Umsatz haben.
Ja, genau. Also, es gibt einen Anwendungsbereich. Wir gehen gleich konkret rein.
Es gibt im Gesetz, guckt euch bitte in dem Gesetz, den Kapitel 1, den Anwendungsbereich ein. Bevor euch irgendeiner was erzählen müsste, ihr müsst, und das finde ich halt wichtig, Cybersecurity oder Informationssicherheit, das ist ein wichtiges Thema. Jedes Unternehmen, ich kann jetzt die abgetroschenen Sprüche alle nochmal runterleiern, jedes Unternehmen ist betroffen, jedes Unternehmen muss sich kümmern.
Es ist nicht die Frage, ob ein Unternehmen gehackt wird, sondern es ist nur noch die Frage, wann es gehackt wird. Es geht hier nicht mehr darum, sich darauf vorzubereiten, nicht gehackt zu werden, sondern es geht darum, sich darauf vorzubereiten, wie man das System wieder ins Laufen bringt, wenn man gehackt worden ist. Also, wir reden, all diese Kalauer und all diese Dinge, die man bringt, deuten schon in die Richtung hin.
Und da bin ich auch ein voller Freund von, ist, macht euch Gedanken um Cybersecurity im Unternehmen. Kümmert euch. Hört unsere Podcastfolgen 1 bis 56 oder was wir aktuell drauf haben.
Jetzt sind wir bei 59.
Oder 59. Hört euch 1 bis 58 an. Da sind ganz, ganz viele wichtige, interessante Themen drin, wie ihr Informationssicherheit hochdrückt.
Wir haben auch eine Serie über die 72076 gemacht, über die DIN-Spec, Cybersecurity in KMUs, haben wir drüber gesprochen. Ihr seht ganz, ganz viel Input. Aber ich finde, und du darfst mich jetzt gerne korrigieren, ich finde, es ist super wichtig zu wissen, ob ich etwas machen muss, weil ich einer gesetzlichen Anforderung unterliege, oder ich etwas machen kann, weil ich was tun will.
Das unterschreibe ich so. Das finde ich immer, das ist eine super wichtige Nummer. Und die Sau, die im Moment durchs Dorf getrieben wird, suggeriert halt ganz, ganz vielen Unternehmen, du musst, obwohl viele sehr wahrscheinlich mit du solltest oder du kannst wissen.
Und wenn wir da sind, hilft leider Gottes, jetzt mache ich den Bogen rüber, nicht der direkte Blick ins Gesetz rein. Weil die haben in Kapitel 1, die haben einen Anwendungsbereich, in dem Paragraf 28, in dem Anwendungsbereich drinnen. Und wenn man sich das einmal durchliest, ganz ehrlich, einmal Ägypten.
Bin ich jetzt wirklich betroffen oder nicht? Da steht nicht drinnen, alle Unternehmen. Da steht auch nicht drinnen, alle Unternehmen mit mindestens 50 Mitarbeitern oder einem Umsatz von 10 Millionen.
Da steht auch nicht drinnen, alle Unternehmen ab 250 Mitarbeitern oder 50 Millionen. Da steht nur drinnen, alle Mitarbeiter oder alle Unternehmen bis zu diesen Grenzen und zusätzlich kritische, wichtige Einlagen, kritische oder wichtige Unternehmeneinrichtungen. Und da geht der Tanz los.
Da ist die Frage, was ist denn kritisch? Bin ich jetzt kritisch, bin ich jetzt wichtig, gehöre ich da mit dazu, gehöre ich da nicht dazu? Und da ist es eine super wichtige Sache, finde ich, zu prüfen, ob man betroffen ist.
Das heißt, das ist die Prüfung der Betroffenheit. Trifft mich das Gesetz, bin ich ein Muss-Kind oder bin ich ein Sollte-Kind? Und das ist wichtig, oder René?
Das ist doch der Kern in der ganzen Nummer. Und das, finde ich, haben die bei dem Gesetz komplett ver... Ohne, dass ich es jetzt weise, aber du kennst mich in meiner Art.
Ich sage mal, das ist ziemlich vergeigt. Ist es, ist es.
Also man muss halt wirklich sehen, wie du gerade sagst, es ist halt sehr unklar. Das merkt man halt auch in der Kommunikation mit Kunden. Es ist halt sehr, sehr unklar, wer betroffen ist.
Klar, das macht man über die Beratung hinten raus. Aber an sich, aus meiner Sicht oder so, wie du es gerade auch gesagt hast, eigentlich muss sowas das Gesetz schon mal hergeben. Es muss schon klar sein, so ist es.
Und nicht mit so schwammigen Formulierungen, sondern es muss ganz klar sein, okay, ihr seid betroffen, Punkt. Also jetzt nicht namentlich, aber so, dass es halt wirklich sehr einfach ist, nachzuvollziehen. Und nicht die Klausel schlägt die Klausel und dadurch bist du dann doch drin oder eben auch nicht.
Genau. Also ich wollte gerade sagen, schwammig ist es nicht, es ist nur absolut verwirrend geschrieben. Und zwar gibt es, wir gucken mal, dass wir ein paar Links unten drunter machen, aber es gibt so viele Betroffenheitsprüfungstools, unter anderem auch von BSI, die alle mehr oder weniger gut sind und alle mehr oder weniger, aber auch keine rechtliche finale Aussage treffen.
Weil das ist die Quintessenz auch von dem, was wir heute erzählen. Das Problem ist halt, wie kriege ich eine rechtlich wasserdichte Aussage hin, betroffen, Daumen hoch hier oder Daumen runter. Und das ist halt super, super komplex und ich finde, es ist noch nicht richtig cool und es ist für Mitarbeiter oder für Firmen fast nicht, ich behaupte das jetzt einfach mal, fast nicht leistbar, das wasserdicht so abzuheften und zu machen.
Man kann sich das rausarbeiten, da kommen wir jetzt zu, aber es ist sauschwer. Und wenn wir jetzt dazu kommen, ich würde sagen, wir nutzen mal, dass wir was Spezielles haben oder mal was anderes haben. Es gibt auf der Webseite von BSI so einen Checker, wie ich dieses Tool einsetze, beziehungsweise wie ich an dieser Stelle entsprechend mich behalten kann.
Wenn ich mir dieses Ding jetzt angucke und gehe jetzt auf die Webseite von BSI einfach mal drauf, dann habe ich schon das Problem oder dann habe ich schon das Thema, das ist schon mal eine Zeichnung mit vielen grünen und roten Strichen drin. Das heißt, das ist schon mal nicht einfach nur ein Flowchart von oben nach unten mit prüfe das, prüfe das, prüfe das, bist du drin, bist du drin, sondern es sind halt einfach Fragen. Und da geht es los, bist du ein Kritisbetreiber?
Erste Antwort, ich würde mal sagen, wenn wir das Spiel einfach mal durchgehen, René, seid ihr Kritisbetreiber? Nein. Wenn du Kritisbetreiber wärst, auch das ist schon mal die erste Frage, gut, dass du gezögert hast.
Bin ich Kritisbetreiber? Ja, nein. Wärst du Kritisbetreiber, würdest du schon unter Ness 1 fallen.
Also hast du kein Ness 1 erfüllt, ist die Wahrscheinlichkeit, dass du Kritisbetreiber bist, relativ gering. Weil dann wäre dir schon mal einer auf den Geist gegangen und hätte gesagt, mach mal. Das heißt, Kritisbetreiber wären wohl hier bei unseren Hörern oder bei denen ich ...
Nein. Die nächste Frage ist, bist du Telekommunikationsdiensteanbieter oder betreibst du Netzwerke? Sicherlich nicht.
Wir sind nicht, du bist nicht, wir sind nicht Vodafone, wir betreiben keine Netze, wir halten kein Glasfaser aufrecht. Also auch nein. Bis dahin eine ziemlich coole Nummer.
So, die nächste Frage ist, sind wir ein Vertrauensdiensteanbieter? Also die Fragen sind doch relativ einfach. Das heißt, wir haben einen Domainservice, haben wir einen DNS-Diensteanbieter, also sind wir der Branche unterwegs?
Sehr wahrscheinlich auch die wenigsten. Nein. So, dann geht's aber weiter und dann wird's anfangen und dann wird's lustig.
Bieten Waren und Dienstleistungen an, die zur Einrichtung aus Anhang 1 gehören? So, und jetzt ist die Frage, genau, und dann, da fängt's halt für mich an und wird schwer und deswegen der Appell, das wirklich richtig zu lesen. Was sind denn Waren und Dienstleistungen nach Anhang 1?
Und wenn wir dann in Anhang 1 öffnen, da gibt's einen Link vom BSI, kommst du auch wieder drauf, wenn du dann an Anhang 1 hörst, bist du bei diesen typischen Sektoren. Sektorenzugehörigkeit von Energie, Umwelt bis hin zur Raumfahrt. Dann kannst du noch sagen, bleib mir bei Surfcom oder bleib mir bei irgendeinem KMU oder irgendeinem herstellenden Unternehmen, kannst du noch sagen, naja, Energie mach ich jetzt nicht wirklich, mit Raumfahrt hab ich jetzt nicht wirklich viel am Hut, lass mal eher nicht, werden so die hochkritischen sein.
Also gehen wir da auch auf Nein und dann wird gefragt, wenn du Anlage 1 bist, bist du denn vielleicht jemand aus Anlage 2? Das heißt, dann arbeitest du dich durch die nächste Anlage durch und das sind nämlich Anlage 2, sind nämlich Sektoren nicht mehr mit besonders wichtigen Einrichtungen, sondern nur noch mit wichtigen Einrichtungen. So, und da hast du dann so Dinge drunter wie Transport und Verkehr, Abfallwirtschaft, aber auch Hersteller zum Beispiel von Medizinprodukten oder aber auch Herstellung von KFZ-Teilen und KFZ-Fahrzeugen und deren Komponenten.
So will ich mich ausdrücken. Das heißt, du sagst, wenn wir jetzt mal in so ein Unternehmen reingehen, was Zulieferer ist für die Automotive-Industrie, kannst du sagen, ja, da wäre ich eigentlich schon richtig drin. Jetzt hast du aber da wieder das Problem, dass da wieder nur drin steht, Unternehmen mit einer der Wirtschaftstätigkeiten nach Abschnitt C Abteilung 30 der statistischen Systematik der Wirtschaftszweige der Europäischen Union, der Europäischen Gemeinschaft, nämlich NACE Revision 2 ausüben.
Das heißt, von der Tabelle, von dem Gesetz kommst du auf den Flowchart, von dem Flowchart kommst du auf den Anhang 2 und im Anhang 2 steht wieder ein Verweis drin, quasi auf den dritten Anhang. Und wenn du dann auf einmal reingehst und guckst dir den Abschnitt C Abteilung 30 an, dann bist du auf einmal bei sonstiger Fahrzeugbau, Boots- und Yachten, Schienenfahrzeuge, Luft- und Raumfahrt, Herstellung von militärischen Kampffahrzeugen. Da steht aber wieder nicht drin, ich liefere Teile für ein Auto.
Ein Klassischer, der Zulieferteile für Volkswagen oder Mercedes oder sowas liefert. Auch die findest du da nicht drin. So und jetzt ist so die Frage, der Klassiker, den wir jetzt die Tage hatten.
Wenn ich jetzt ein Zulieferer für Automotive bin, falle ich unter NIST 2, ja oder nein? Oder um es konkreter zu machen, andere Sachen, ich habe das Spiel mit anderen Sachen durchprobiert, eine Spedition. Bin ich ein Anbieter und fahre ich Waren und Güter durch die Gegend?
Am Ende vielleicht sogar noch für einen Automotive-Dienstleister, nämlich um die Teile, die von dem Zulieferer kommen, ans Band zu bringen. Ist das ein Teil und falle ich unter NIST 2? Und dann wird es echt dünn.
Ich bin im Redefluss, tut mir leid. Nein, ist völlig in Ordnung, ich habe nicht viel zu beizutragen. Das sind halt so die Dinge, wo ich im Moment sage oder wo ich sage, bevor ihr schießt und tut Dinge, prüft bitte, bitte, bitte ganz genau, fallt ihr da drunter oder fallt ihr nicht darunter und guckt es kritisch.
Und überlegt euch in der Firma auch, mit welcher Brille ihr drauf gucken wollt. Ich gucke immer mit der Brille drauf oder ich versuche immer oder mein Ansatz ist, wenn ich mit so einer Brille drauf, ich will erst mal nicht. Und es muss mich einer überzeugen, dass ich es wirklich muss.
Wir sind wieder bei dem Muss und bei den Kannkindern. Und wir sind wieder bei dem Thema, ich will für mich und für mein Unternehmen frei entscheiden dürfen, ob ich mich dieser Regel unterwerfe und mach das oder ob das Gesetz mich dazu zwingt, beziehungsweise, was ja auch da mit reingeht, wenn ich da drunter falle, muss ich mich ja beim BSI registrieren. Und ich falle ja dann unter Registrierungsvorschriften und falle ja dann unter ganz anderen Dingen.
Also die konkrete Frage muss ja leiten, muss ich mich registrieren, ja oder nein? Und ich bin kein Freund davon, blind irgendwas zu tun, in einem Übereifer und einer Übererfüllung, das einfach mal proaktiv zu tun, weil ich Angst habe, es könnte mich ja dann doch treffen und ich habe Angst, es kann irgendwas passieren. Sondern ich bin ein großer Freund davon, sich das anzugucken von der Brille, muss ich wirklich und überzeugt mich davon, dass ich darunter falle.
Ich, der IT-Dienstleister, ich, das KMU, ich, der Hersteller von vielleicht sogar Automotive-Zubehörteilen, ich, das Speditionsunternehmen, ich, der Kurierdienst, ich, der ganz, ganz viel Mittel stand und herstellt, ich, die Marketingagentur, ich, die Werbeagentur, ich, der Berater. Also all die Sektoren und überall das, wo überall geschrieben wird und wo im Moment die Bubble durch die Gegend geht und wo gesagt wird, viele Unternehmen, bis zu 30.000 Unternehmen, fast jedes Unternehmen, lasst euch da erstmal nicht von diesen Dingern catchen, sondern bewertet das für euch bitte sauber durch. Und wenn ihr einen Anwalt findet oder jemanden findet, der euch das wasserdicht durchdeklarieren kann und der dafür Geld nimmt, gebt es ihm.
Ehrliche Aussage, gebt es ihm. Dann habt ihr, wenn das wirklich crasht oder wenn wirklich das BSI kommt und sagt, irgendwann mal hin, Ding Dong, ich könnte jetzt mal meinen, du wärst kritisch, warum hast du dich nicht gemeldet, nehmt das Blatt Papier hoch, zeigt, das war meine Bewertung, das sind meine Steps gewesen, wir haben einen Externen mit dabei gehabt und aus genau diesen Gründen sind wir zur Erkenntnis gekommen, wir sind es nicht. Wenn du jetzt BSI der Meinung bist, das ist doch so, dann sag mir mal warum.
Und wenn du sagst, das ist doch so, gar kein Problem, wir sind interessiert an Cybersecurity, dann kümmern wir uns da natürlich sehr gerne drum. Aber dokumentiert es euch und macht es wasserdicht. Ja.
Ich finde es im Moment echt freaky, das ist so das Jahresende, das ist Wahnsinn.
Aber jetzt mal auf uns bezogen, wenn ich nochmal darauf zurückgehe. Es gab ja jetzt zuletzt tatsächlich die Sache, dass auch IT-Dienstleister mit unter Dienst 2 fallen sollen, in dem Augenblick, wo sie Managed Service Provider sind. Bedeutet das dann tatsächlich jetzt, dass wir unterhalb aller Regelungen, also die ja, wie ich vorhin gesagt habe, Mitarbeiter und Umsatz, dass wir trotzdem damit reinfallen?
Das ist ein Und. Du brauchst eine Personenanzahl und musst unter diese Sektoren fallen. Fällst du unter diese Sektoren und bist unter dieser Anzahl, bist du wieder nicht mit da drin.
Das ist ja das, was ich meine. Weil sonst über den Managed Service Provider, okay, da wären wir auf jeden Fall Teil des Ganzen. Aber da wir die Unternehmensgröße nicht haben.
Bist du dir sicher, dass der Managed Service genau unter diese Sache fällt?
Managed Service Provider gilt als essentielle Einrichtung. Wo steht das? Du verstehst, was ich meine.
Wo steht, dass ein Managed Service Provider unter diese Sache fällt? Du bist kein Stromversorger, du machst keinen Kraftstoff- und Heizöl, du bist kein Gasversorger. Du kümmerst dich nicht um Luftverkehr, um Schienenverkehr, um Schifffahrt.
Du bist nicht im Finanzwesen tätig, du bist nicht in der Gesundheit tätig. Du hast kein Trinkwasser, du hast keine Abwasser. So, jetzt bist du bei digitaler Infrastruktur.
Betreiber von Internet-Exchange-Points? Wahrscheinlich nicht. Du bist kein DNS-Anbieter, du bist kein Top-Level-Domain-Registrierer.
Du bietest keine Cloud-Computing-Dienste an, du bist kein Rechenzentrum-Dienst. Du betreibst kein Content-Delivery-Netwerk, du bist kein Vertrauensdienstanbieter. Du bist kein Betreiber öffentlicher Kommunikationsnetze, du bist kein Anbieter öffentlich zugänglicher Kommunikationsdienste.
Du bist ein Managed-Service-Provider und es gibt Managed-Security-Provider. Da bist du in der digitalen Infrastruktur drin. An dem Punkt haben sie dich.
Bist du wirklich ein Managed-Service-Provider, fällst du in der Anlage A, digitale Infrastruktur 6.1.10. Einmal live durchgespielt. Jetzt ist nur die Frage, bist du der Provider vom Managed-Service? Ja.
Okay. Wenn du das bist, dann hast du deine 50 Mitarbeiter und deine 10 Millionen.
Genau, deswegen fallen wir dann nicht rein.
Genau.
Das ist das, was ich meine. Das eine schließt das andere wieder aus. Dass es so verflochten alles ineinander ist.
Dafür haben wir ja dich. Wenn du dann da hinten raus nicht komplett im Thema bist, wie du ja schon sagst, dann hast du da, wir haben letztes Mal jemanden in der Beratung gehabt, der auch nicht hundertprozentig sich auskannte in den Bereichen und dann immer so, ich schreibe da erstmal was hin. Das ist ja immer ein bisschen schwierig dann.
Ja, wobei du musst auch das wieder, ich habe es eben kurz angeschnitten. Wir gehen wieder auf diese Tabelle, die ich eben gehabt habe. Bietest du Waren und Dienstleistungen Anhang 1 an?
Hat mir eben gesagt, fällst du rein? So, dann ist die Frage Anzahl Mitarbeiter größer gleich 250. Da sind wir schon gar nicht mehr bei den 10, weil bei den 50 Mitarbeitern bist du bei Anlage 2.
Bei Anlage 1 hast du den Schwellwert auf 250 Mitarbeiter. So, also du hast weniger als 250 Mitarbeiter. So, und jetzt ist noch die Frage, hast du deinen Jahresumsatz, größer 50 Millionen und die Bilanzsumme größer 43 Millionen.
Ich würde jetzt mal sagen, Mit der jetzigen Mitarbeiteranzahl hätte ich den, den würde ich nehmen, sofort. Wenn du den mit der jetzigen Mitarbeiteranzahl hättest, würde ich sagen, hey, dann mach mal eine 2, das ist okay, das nehmen wir mit. Aber sehr wahrscheinlich hast du das auch nicht.
Also ist die nächste Sache wieder Waren und Dienstleistungen nach Anhang 2. So, das heißt, du guckst dir jetzt wieder den Annex 2 an und sagst da wieder, oder zu den Einrichtungsarten aus Anhang 1 und 2 gehören. Dann gehst du wieder durch das Spiel durch und dann kommen erst deine 50 Mitarbeiter.
Also du bist am Ende bei den 50, aber du drehst halt nochmal einen Loop durch, weil dann unterscheidet sich nämlich, ob du eine besonders wichtige Einheit bist oder nur eine wichtige Einrichtung. Die Unterscheidung gibt es ja auch wieder. Besonders wichtig bist du größer 250 und größer 50 Mille und nur wichtig bist du größer 50 und größer 10 Mille.
Da hast du die Entscheidung auch nochmal. Also am Ende betrifft mich NIS ja, nein. Bist du bei 50 Mitarbeitern 10 Millionen und trifft mich NIS als besonders wichtige Einrichtung, dann bist du bei den 250 Mitarbeitern und bei den 50 Millionen.
Es ist halt einfach, du musst das Ding entweder über so ein Checker-Tool oder auch das, aber je länger ich mit dieser Tabelle hier arbeite und mit dem Flowchart arbeite vom BSI, du musst das Spiel halt einfach Stück für Stück durchgehen, durchspielen und darfst da nicht so salopp drüber fliegen, sondern du musst es echt dir erarbeiten, ob du drunter fällst oder nicht. Und der Knackpunkt sind für mich Anhang 1, Anhang 2 und erst recht, wenn der Anhang dann nochmal auf wieder was anderes verweist. Und erst dann, und auch erst dann, ja wollt ne halbe Stunde, wir sind gleich da.
Und erst dann, wenn du die Betroffenheit geprüft hast und sagst, du fällst da drunter. Erst dann, wenn dein Haken dran ist. Erst dann mach dir Gedanken über alles andere.
Erst dann mach dir Gedanken, was du umsetzen musst. Risikomanagement, Meldewege, dokumentierte Verfahren, erst das. Und bevor du das nicht klar...
Ja, erst loslaufen und sich dann einen Kopf machen, das macht keinen Sinn. Das sehe ich auch so, ja. Ich hätte jetzt gesagt, das habe ich jetzt schon ein paar Mal genannt, wenn da Beratungsbedarf ist, auf der einen Seite natürlich, was den regulatorischen Teil angeht und auch was die NIS an sich angeht, immer gerne an Michael wenden.
Und wenn es dann nachher in die Umsetzung quasi geht, dann vielleicht an mich, aber in Kombination funktioniert das sehr gut. Machen wir aktuell ja schon in einigen Umgebungen. Und von daher, also wenn ihr da irgendwie Unterstützung benötigt, gerne melden.
Und ansonsten, Michael, ich glaube, das war jetzt schon sehr in die Tiefe für den Start ins Jahr. Ich würde, wenn du jetzt nicht sagst, da muss jetzt noch zwingend was rein, würde ich es nämlich an der Stelle deckeln wollen. Wir haben den zweiten, ersten.
Ich glaube, da will noch keiner so tief rein. Wenn aber Bedarf ist, wenn da jemand sagt, hey, da ist jetzt, ich habe noch Fragen, einige Fragen dazu, weil, keine Ahnung, weil wir sie nicht behandelt haben oder weil bestimmte Themen da aus der NIS 2 halt wirklich interessant sind. Werft uns das gerne zu.
Dann können wir daraus nochmal eventuell eine Episode machen oder wir gucken, dass wir zwischendurch mal was rausjagen, damit ihr eben die Antworten darauf bekommt. Ich denke, das macht Sinn, also das auf der Weise zu machen, weil bei so einem Thema, da kann es sich schon in viele Richtungen verändern.
Was wir gerade noch live gemacht haben, was ich gerade noch live teasern möchte, fragt nicht die KI. Wir haben gerade live, weil René hat das nochmal MSP, René hat gerade nochmal reingepromptet, fallen MSPs unabhängig von Größe unter NIS 2. Chachipiti sagt ja.
Ich den Attention Prompt nach Claude. Die sagt nein. Also, das vielleicht auch nochmal live aus der Praxis und live jetzt auch getestet.
So kurz vor Weihnachten. Holt euch Hilfe und arbeitet es durch. Es sagt euch nicht ein Quick Check auf der Webseite mit drei Fragen und dann kommt eine Antwort raus und es sagt euch auch nicht eine GPT, wo ihr irgendwas reinwerft.
Co-Pilot müssen wir gar nicht fragen. Die fragt, was ist NIS 2? Das ist ein anderes Thema.
Gibt es doch schon.
Also, nicht falsch verstehen. Michael auch. Mir ging es jetzt nicht darum, deine Antwort in Frage zu stellen, weil ich vertraue dir, das weißt du auch.
Das war mal interessant zu sehen, weil ich habe dich ja gerade genau danach gefragt. Und das Gleiche habe ich einfach mal da reingejagt und gefragt, was denkt sie darüber? Und da kam halt sowas bei raus.
Ja, alles hinfällig. Also wie gesagt, Michael hat es genau richtig gerade wiedergegeben. Also da nicht irgendwie ein Chat-GPT.
Ich meine ganz ehrlich, wenn da jemand vorsitzt, der da wirklich auch einen Plan von hat wie ein Michael und sagt dann ja, hier ist das schon wirklich mit sehr vielen Verweisen und so, ja, eine KI wird das nicht besser machen als derjenige, der sich wirklich tagtäglich mit sowas auseinandersetzt.
Ich würde den Weg halt einfach sauber dokumentieren, wenn ich es für mich selbst mache. Ich würde und auf jeden, der mich extern prüft, ich weiß nicht, ich habe noch keinen gefragt, der aktuell bei LinkedIn und Kram unterwegs ist und sagt, wir machen eine Betroffenheitsprüfung für Pauschalpreis 1.000 Euro. Ich weiß nicht, was hintenbei rausfällt.
Aber eine E-Mail, wo drinsteht, Betroffenheitsprüfung erfolgreich durchgeführt, sie sind nicht betroffen, würde mir nicht ausreichen. Das muss den Weg beschreiben. Sie sind das nicht aus dem Grund.
Sie sind aus dem Grund das nicht. Aus dem Grund fallen sie da drunter. Aber sie haben die Anzahl Mitarbeiter, sie haben aktuell den Umsatz.
Also ihr braucht eine saubere Dokumentation der Ausarbeitung des Ergebnisses.
Mit der Mail könnte ich nur leben, wenn sie vom BSI kommt.
Oder von mir. Oder von dir, ja. Oder von Chuck Norris.
Aber jetzt lass das Thema fallen, das ist gut. Gut. In dem Sinne das erste Thema und ich glaube gleich die Flossen richtig toll verbrannt für Anfang des Jahres.
Von daher kann es nur einfacher und cooler werden. Für die nächsten Sachen schreibt uns gerne an, wenn ihr Support braucht an der Stelle. Einfach mal eine zweite Meinung hören wollt, wenn ihr da einen Input braucht.
Meldet euch gerne. Wie gesagt, ich hoffe, gehe nicht davon aus, dass das Gesetz sich so extrem jetzt nochmal ändert. Und dass es so alles ändert, dass das, was wir jetzt besprochen haben, sich wohlgefallen auflöst.
Sollte das der Fall sein, würden wir eine Folge direkt hinten dran hängen. Dass ihr einmal unser Versagen gehört habt und dann entsprechend die Korrektur gleich danach. Aber wir gehen davon aus, dass das, was wir jetzt erzählt haben, Anfang Januar noch ihre Gültigkeit hat.
In dem Sinne, guten Start. Das darf man sagen, auch wenn man ein bisschen vom Datum her fake. Guten Start in 2026.
Grüße aus Wetzlar und wir hören uns. Danke.
Ja, von mir auch. Alles Gute für den Start. Und wir hören uns dann in 14 Tagen wieder, so wie immer.
Und bis dahin alles Gute. Bis dann.
Michael
00:01:01
René
00:01:06
Michael
00:01:07
René
00:01:24
Michael
00:01:28
René
00:01:34
Michael
00:01:48
René
00:02:50
Michael
00:03:11
René
00:04:27
Michael
00:04:33
René
00:05:38
Michael
00:05:39
René
00:08:05
Michael
00:08:47
René
00:17:58
Michael
00:18:32
René
00:18:44
Michael
00:18:55
René
00:19:00
Michael
00:19:13
René
00:20:48
Michael
00:20:50
René
00:20:52
Michael
00:21:23
René
00:24:24
Michael
00:26:04
René
00:27:00
Michael
00:27:51
René
00:28:34
Michael
00:28:37
René
00:29:42
Feedback geben
Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!