NIS2 ist die überarbeitete EU-Richtlinie von 2022 und betrifft ca. 30.000 Unternehmen aus 18 Sektoren, von Gesundheit über Transport bis Telekommunikation. Durch die Einbindung in Lieferketten und die damit oft verbundene digitale Vernetzung betrifft die Richtlinie auch viele kleine und mittlere Unternehmen (KMU).
"Vor allem KMU kämpfen oft mit begrenzten Ressourcen im Bereich IT-Sicherheit und sind auf eine anbieterunabhängige Unterstützung angewiesen", sagt Prof. Dr. Simon Thanh-Nam Trang von der Universität Paderborn. Genau hier setzen zwei Projekte an, an denen der SICP – Software Innovation Campus Paderborn, ein Forschungs- und Innovationsverbund der Universität Paderborn mit Wirtschaftspartner:innen, beteiligt ist.

KMU.kompetent.sicher bietet maßgeschneidertes eLearning mit NIS2-Bezug

Im Projekt KMU.kompetent.sicher entwickelt der SICP gemeinsam mit der Universität Hohenheim, dem Innovationsnetzwerk InnoZent OWL und dem IT-Dienstleister coactum eine Trainingsplattform, um KMU praxisnah bei der Umsetzung der NIS2-Richtlinie zu unterstützen. Das Projekt wird vom Bundesministerium für Wirtschaft und Energie mit rund einer Million Euro gefördert und läuft noch zwei Jahre.

Nach dem ersten Projektlaufjahr haben die Projektpartner*innen einen wichtigen Meilenstein erreicht: Die Lernplattform wurde jetzt freigeschaltet. Sie besteht aus praxisorientierten "Learning Nuggets", also kleinen modular aufgebauten (Video-)Lerneinheiten, Quiz-Fragen und interaktiven Aufhaben, um das Gelernte anzuwenden. Mithilfe von Storytelling-Elementen wie True-Crime-Beispielen wird zum Beispiel gezeigt, wie Phishing, eine Form des Internetbetrugs, funktioniert, welche Konsequenzen daraus entstehen und welche Maßnahmen schützen können.
Die Lernpfade "NIS2-Grundschutz" sowie "Bedrohungen richtig einschätzen" decken auf NIS2 zugeschnittene Themen ab. Geplant sind weitere Lernpfade wie IT-Sicherheitskultur, Risikomanagement, Backup-Management, sicherer Umgang mit eMails, Notfallmanagement, Passwortsicherheit und Ransomeware.
Insgesamt zielt das Projekt auf die Schulung von Geschäftsführung und Mitarbeitenden ab. Das Konzept beinhaltet einen Regelkreislauf, um Schulungsbedarfe für das Unternehmen zu identifizieren und nachhaltig in der Kultur zu verankern.

Wen betrifft das NIS2-Umsetzungsgesetz und was ist zu tun? Der FitNIS2-Navigator findet es heraus

Im Projekt "FitNIS2" hat der SICP in Kooperation mit Deutschland sicher im Netz e.V. und der Transferstelle Cybersicherheit den FitNIS2-Navigator entwickelt. Im ersten Schritt analysiert das Online-Tool, ob ein Unternehmen von der Richtlinie erfasst wird. Im zweiten Schritt wird der aktuelle Erfüllungsgrad der NIS2-Anforderungen analysiert und im dritten Schritt erhalten Nutzende klare Handlungsempfehlungen, wie sie die NIS2-Anforderungen erfüllen können. Das Projekt wird vom Bundesministerium für Wirtschaft und Energie (BMWE) insgesamt zwei Jahre bis August 2026 gefördert. Der kostenfreie FitNIS2-Navigator ist seit Juni 2025 verfügbar. 
Bereits drei Monate nach Release des Tools wurde die Betroffenheitsprüfung des FitNIS2-Navigators 1500-mal abgeschlossen. Darüber hinaus haben 700 Teilnehmende die Selbsteinschätzung zur Erfüllung der NIS2-Anforderungen abgeschlossen. Damit wurden die geplanten Nutzungsziele im ersten Halbjahr erreicht. Derzeit wird der Navigator um spezifische Anforderungen für kleine Unternehmen auf Basis des CyberRisikoChecks des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert. In der nächsten Projektphase kommen zudem branchenspezifische Kriterien hinzu. KMU erhalten künftig – abhängig von ihrer Sektorzugehörigkeit – gezielte Informationen zu ihrer NIS2-Betroffenheit sowie zu möglichen Überschneidungen mit weiteren relevanten Regulierungen.
"Beide Projekte bilden damit einen kostenfreien Einstieg in die NIS2-Thematik. Ein umfangreiches Veranstaltungsangebot in den Projekten ergänzt das Informationsangebot", sagt Dr. Simon Oberthür, Leiter des Innovationsbereichs Digital Sovereignty am SICP – Software Innovation Campus Paderborn.