Online-Tool und Lernplattform: Universität Paderborn unterstützt KMU bei NIS2-Umsetzung

NIS2 stellt neue Anforderungen an Unternehmen

Seit Anfang des Jahres gilt die neue EU-Richtlinie für Netzwerk- und Informationssicherheit (NIS2) auch in Deutschland. Sie betrifft rund 30.000 Unternehmen aus insgesamt 18 Sektoren – darunter Gesundheit, Transport und Telekommunikation. Durch digitale Vernetzung und Einbindung in Lieferketten geraten zunehmend auch kleine und mittlere Unternehmen (KMU) in den Anwendungsbereich der Regulierung.

„Vor allem KMU kämpfen oft mit begrenzten Ressourcen im Bereich IT-Sicherheit und sind auf eine anbieterunabhängige Unterstützung angewiesen“, führte Simon Thanh-Nam Trang im Projektkontext aus. Genau hier setzen zwei Initiativen an, an denen der Software Innovation Campus Paderborn beteiligt ist.

Lernplattform vermittelt NIS2-Grundlagen praxisnah

Im Projekt KMU.kompetent.sicher entwickelt der SICP gemeinsam mit der Universität Hohenheim, dem Innovationsnetzwerk InnoZent OWL und dem IT-Dienstleister coactum eine Trainingsplattform zur praxisnahen Umsetzung der NIS2-Richtlinie. Das vom Bundesministerium für Wirtschaft und Energie geförderte Projekt läuft noch zwei Jahre und wird mit rund einer Million Euro unterstützt.

Nach dem ersten Projektjahr wurde nun ein zentraler Meilenstein erreicht: Die Lernplattform ist freigeschaltet. Sie besteht aus modular aufgebauten „Learning Nuggets“ mit kurzen Video-Einheiten, Quizformaten und interaktiven Aufgaben. Mithilfe von Storytelling-Elementen – etwa anhand realitätsnaher Phishing-Szenarien – wird vermittelt, wie Cyberangriffe ablaufen, welche Folgen sie haben können und welche Schutzmaßnahmen greifen.

Die ersten Lernpfade decken unter anderem „NIS2-Grundschutz“ sowie „Bedrohungen richtig einschätzen“ ab. Weitere Module zu Themen wie IT-Sicherheitskultur, Risikomanagement, Backup-Strategien, E-Mail-Sicherheit, Notfallmanagement, Passwortsicherheit und Ransomware sind geplant. Zielgruppe sind sowohl Geschäftsführungen als auch Mitarbeitende; das Schulungskonzept ist als Regelkreislauf angelegt, um Sicherheitsanforderungen dauerhaft in Unternehmen zu verankern.

FitNIS2-Navigator prüft Betroffenheit und Handlungsbedarf

Ergänzend dazu hat der SICP im Projekt FitNIS2 gemeinsam mit Deutschland sicher im Netz und der Transferstelle Cybersicherheit den FitNIS2-Navigator entwickelt. Das kostenfreie Online-Tool analysiert in mehreren Schritten, ob ein Unternehmen von NIS2 betroffen ist, wie hoch der aktuelle Erfüllungsgrad ausfällt und welche konkreten Maßnahmen zur Umsetzung erforderlich sind.

Bereits drei Monate nach dem Start wurde die Betroffenheitsprüfung rund 1.500-mal abgeschlossen, weitere 700 Unternehmen nutzten die Selbsteinschätzung zu den NIS2-Anforderungen. Damit wurden die geplanten Nutzungsziele im ersten Halbjahr erreicht.

Der Navigator wird derzeit um spezifische Anforderungen für kleine Unternehmen erweitert – auf Basis des CyberRisikoChecks des Bundesamt für Sicherheit in der Informationstechnik. In einer weiteren Ausbaustufe sollen branchenspezifische Kriterien hinzukommen, um KMU differenzierte Hinweise zu Überschneidungen mit weiteren Regulierungen zu geben.

Kostenfreier Einstieg in komplexe Regulierung

„Beide Projekte bilden damit einen kostenfreien Einstieg in die NIS2-Thematik“, erläuterte Simon Oberthür, Leiter des Innovationsbereichs Digital Sovereignty am SICP, im Projektumfeld. Ergänzt werde das digitale Angebot durch Veranstaltungen und Informationsformate, um Unternehmen bei der praktischen Umsetzung der neuen Anforderungen zu begleiten.