Cybersicherheitsgesetz NIS-2: Auch Energie-KMU und Start-ups können jetzt mithilfe der dena-Roadmap handeln

Die Network and Information Security Directive 2 (NIS-2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in den Mitgliedsstaaten und wird derzeit in deutsches Recht überführt. Ab Ende des Jahres müssen allein in Deutschland zwischen 30.000 und 50.000 Unternehmen die neuen Anforderungen umsetzen.  

Doch eine Gruppe von Unternehmen wurde bislang kaum betrachtet: Start-Ups und KMU, die selbst nicht groß genug sind, um direkt unter die NIS2-Regulierung zu fallen, aber dennoch Anforderungen umsetzen müssen. Der Grund: Sie stehen als Zulieferer für größere Player in der Lieferkette, die als KRITIS-Unternehmen (also, Betreiber kritischer Infrastrukturen) direkt reguliert werden.  

Genau hier setzt das vom BMWE geförderte Projekt dena-"Branchenplattform Cybersicherheit in der Stromwirtschaft" an: Das jüngste Ergebnis der Plattform, die dena NIS2-Roadmap für Energie-Start-ups, hilft Unternehmen, pragmatische NIS2-Compliance umzusetzen – ohne aufwändige und teure Zertifizierung. 

Die interaktive Roadmap wurde in Zusammenarbeit mit int[cube], Cyber Policy Haus und der Gesellschaft für Informatik e.V. (GI) entwickelt. Katerina Simou, Senior-Expertin für internationale Stromnetze, gemeinsam mit Julia Schuetze (Founder Cyber Policy Haus) und David Fuhr (Co-Founder und CTO, int[cube]), erklären wie die Roadmap Start-Ups und KMU bei der Einführung von Sicherheitsmaßnahmen unterstützen kann. 

Online-Recherchen zur Umsetzung der NIS2-Anforderungen führen meist zu werblichen Inhalten statt zu unabhängigen, branchenspezifischen Praxisanleitungen. Die Roadmap schließt diese Lücke und begleitet Unternehmen Schritt für Schritt bei der Umsetzung ausgewählter Anforderungen - und das genau zu dem Zeitpunkt, an dem Unternehmen die Richtlinie schnell verstehen und umsetzen müssen, auch bei indirekter Betroffenheit. 

Im Rahmen der Branchenplattform fand ein innovatives zweimonatiges Online-Mentoring mit sieben Start-ups und KMUs der Stromwirtschaft statt. Auf Basis dieser Zusammenarbeit mit den Unternehmen wurden sechs zentrale Themenfelder identifiziert, die die Roadmap adressiert. Diese Roadmap stellt die abstrakten NIS2-Anforderungen praxisnah greifbar und umsetzbar dar: 

Einkauf: IT-Sicherheitsanforderungen verstehen, Nachweise vorbereiten und als Wettbewerbsvorteil nutzen. 

Krisenkommunikation: Schnelle, klare und reputationssichernde Kommunikation in der Cyberkrise; Vorbereitung, Krisenmanagement und Abschlusskommunikation inklusive Übungen. 

Asset Management: Systematische Erfassung von Assets, Modellierung von Beziehungen und Verantwortlichkeiten zur Risikominimierung und Compliance. 

Incident Readiness: Prozesse, Zuständigkeiten und Übungen für schnelle Reaktionen auf Sicherheitsvorfälle. 

Risikomanagement: Identifikation, Bewertung und Priorisierung von Informationssicherheitsrisiken, gezielte Gegenmaßnahmen und Nachweis der Versorgungssicherheit entlang der Wertschöpfungskette. 

Sichere Software: Sicherheit im Softwareeinkauf, in der Entwicklung und im Schwachstellenmanagement. 

Das Mentoring bildete die Grundlage für die Entwicklung der Roadmap und stellt zugleich ein weiteres innovatives Ergebnis des Projekts dar. Ziel war es, die Fragen kleinerer Marktteilnehmer zu Sicherheitsanforderungen zu klären, kompaktes Wissen zu vermitteln und dessen Anwendung praktisch einzuüben. 

Durch die interdisziplinären Kompetenzen von int[cube], Cyber Policy Haus und der GI entstand ein breites Spektrum innovativer Trainingsmethoden – darunter Kohorten-Mentoring, Hands-on-Übungen, Live-Umfragen und Rollenspiele –, mit denen regulatorische Anforderungen direkt im Unternehmensalltag erprobt werden konnten. Viele Teilnehmerinnen und Teilnehmer stellten fest, dass die Umsetzung oft einfacher und kosteneffizienter ist als zunächst angenommen. Pre- und Post-Befragungen zeigten zudem, dass sich die Teilnehmenden sicherer in der Umsetzung fühlten und das Mentoring als wertvolles Instrument zur Stärkung der Resilienz bewerteten. 

Das Projekt macht deutlich: Compliance kann auch für kleine Startups ein Motor für wirtschaftliches Wachstum, operative Sicherheit und nachhaltige Resilienz sein. Roadmap und Mentoring entfalten dank ihrer modularen Struktur Skalierungseffekte – die Inhalte lassen sich leicht vervielfältigen und neue Gruppen können aus denselben Bausteinen ihre relevanten Themen auswählen. So entsteht eine nachhaltige Wissensbasis, die weit über das Projekt hinauswirkt und ein Kernziel der Branchenplattform Cybersicherheit erfüllt.