Die EU-Regularien wie NIS-2, AI-Act etc. sind von Unternehmen im Hinblick auf Cybersicherheit umzusetzen. Dabei stellt sich die große Frage nach der Verhältnismäßigkeit bestimmter Fragen. Das Institut der deutschen Wirtschaft Köln e.V. und die IW Consult GmbH haben in einer Studie die Auswirkungen von KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act auf KMUs untersucht.
Mir ist das Thema zufällig die Tage über nachfolgenden Tweet von Prof. Dr. Dennis Kipker untergekommen. Der Tweet umreißt ja bereits das Thema: Wie steht es um die Verhältnismäßigkeit der umzusetzenden Maßnahmen zur Digitalregulierung der EU in Klein- und Mittelstand (KMU).
Die Kurzstudie des Instituts der deutschen Wirtschaft Köln e.V. und der IW Consult GmbH (erstellt im Rahmen der Mittelstand-Digital Begleitforschung) mit dem Titel KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU wurde bereits zum 13. November 2025 als PDF-Dokument veröffentlicht und ist frei abrufbar.
Im Begleittext heißt es dazu: Die digitale Transformation eröffnet kleinen und mittleren Unternehmen neue Chancen, stellt sie jedoch zugleich vor erhebliche regulatorische Herausforderungen. Drei aktuelle Regelwerke der Europäischen Union – die KI-Verordnung (KI-VO), die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) – verändern den Handlungsrahmen für kleine und mittlere Unternehmen grundlegend.
Diese Regelungen setzen an unterschiedlichen Punkten an, verfolgen aber das gemeinsame Ziel, ein sicheres, vertrauenswürdiges und wettbewerbsfähiges digitales Binnenmarktgefüge in der EU zu schaffen. Die vorliegende Studie stellt die Regelwerke vor, untersucht ihre Auswirkung auf kleine und mittlere Unternehmen, analysiert Kosten und Nutzen und leitet daraus Unterstützungsbedarfe ab.
MVP: 2013 – 2016
KI-Verordnung trifft mich nicht, da ich KI aus der Firma raushalte… ebenso wie die Cloud. On-Prem; gehärtet und gesichert; ordentliche Backup-Strategie; getrennte Netze; Zero Trust usw. Den Cyber Resilience Act erfülle ich problemlos.
Die NIS-2-Richtlinie macht mir da Kopfzerbrechen… Meine Firma ist zu klein, um davon betroffen zu sein; zur kritischen Infrastruktur gehöre ich nicht. Aber: Durch die Umsätze könnte ich reinrutschen, die Lieferkette könnte eventuell auch eine Rolle spielen… da weiß man ja nie…
Leider können selbst die Behörden dazu keine klare Aussage treffen. Auch diese Studie bringt keine Klarheit. Naja, sicherheitstechnisch bin ich überzeugt, diese Vorgaben ausreichend zu erfüllen… Also einfach mal abwarten und auf einen zukommen lassen, notfalls dann noch anpassen.
Ich finde es jedoch mehr als beschreibend, das da unser Staat nicht in der Lage ist, klare, verständliche Vorgaben zu geben. Die rechte Hand nicht weis, was die linke Hand tut!
Ich werde mir jedenfalls nicht weiter den Kopf zerbrechen! Zumal ich ja immer noch selbst entscheide mit wem ich Geschäfte mache und mit wem nicht! Außerdem habe ich, wie Born, ein Alter erreicht wo ich mich auch zur Ruhe setzen kann, geht mir der Staat da zu sehr auf die Nüsse, mache ich eben dicht! Ich muss nicht mehr alles mitmachen.
Luzifer, volle Zustimmung zu Deiner Denkweise, auch wenn sie schade ist für unseren Wirtschaftsstandort; jedoch nachvollziehbar. Immer mehr Unternehmer (vom Metzger bis Industriezulieferer) denken so, mit der Folge, dass auch keine Motivation zu einer geordneten Firmenübergabe im Ruhestandsalter vorhanden ist, sondern die Firma geschlossen oder verkauft wird.
In der Tech-Branche heisst es:
Amerika innovates
China duplicates
EU regulates.
Dabei wäre bessere und selbständigkeitsfördernde Bildung der weitaus bessere Ansatz.
Zudem komme ich immer mehr an den Punkt, dass das böse amerikanische Modell "Regulierung flach, aber drakonische Strafen bei Produkt/Konsumentenschäden" innovationsfreundlicher ist als das Gegenteil.
Die EU hat in neuen Tech-Feldern keine Leader mehr, wegen des Perfektionswahns bei der Regulierung von Branchen, die aufgrund der Regulierung gar nicht entstehen. Die paar wenigen guten Startups werden dann eh von US-Firmen aufgekauft.
Im Bereich Cybersicherheit wurde politisch viel zu gelange geschlafen. Gute, friedliche Zeiten sind halt trügerisch. Ein Firmenchef sagte mir einst: "Seien sie immer auf der Hut. Ein gutes Unternehmen oder eine gute Organisation ruiniert man in guten Zeiten. In den schlechten Zeiten schlagen lediglich der Versäumnisse aus den guten Zeiten durch."
Wenn ich den letzten Teil des ersten Absatzes lese,
"On-Prem; gehärtet und gesichert; ordentliche Backup-Strategie; getrennte Netze; Zero Trust usw. Den Cyber Resilience Act erfülle ich problemlos."
dann Frage ich mich ob es unglücklich formuliert wurde, oder ob vielleicht ein Missverständnis zum CRA vorliegen könnte? Der CRA regelt nicht die Unternehmens-IT, sondern Produkte mit "digitalen Elementen", welche von dieser Firma hergestellt werden. Dies Produkte unterliegen dann gewissen Pflichten wie Security by design und default, Updates über die Lebenszeit, Bereitstellung einer Dokumentation der Bestandteile (SBOM), usw. Eine Fritz!Box würde z.B. darunter fallen.
Zum Rest kann ich Dir nur beipflichten. Wir könnten von der Mitarbeiterzahl und Umsatz in die besonders wichtigen Unternehmen fallen (+250 Mitarbeiter, +50 Millionen Jahrenumsatz). Also gilt die Selektoren Anlage I:
Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum, Öffentliche TK-Netze und TK-Dienste
Es gibt noch ein paar Sonderfälle, welche immer oder früher erfasst werden:
Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste, Öffentliche TK-Netze und TK-Dienste, Betreiber kritischer Anlagen (KRITIS-Betreiber)
Fazit -> Da sind wir nicht mit dabei
Also die Selektoren der Anlage II:
Post/Kurier, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
Fazit -> Wir produzieren, also verarbeitendes Gewerbe
Definition des verarbeitendes Gewerbe im Sinne der NIS-2:
Herstellung Medizinprodukte und In-vitro-Diagnostika
Herstellung von DV-Geräte, Elektronik und Optik (NACE 26 und 27)
Maschinenbau (NACE 28)
Herstellung von Kraftwagen und Teilen (NACE 29)
Sonstiger Fahrzeugbau (NACE 30: Schiffe, Schienen, Luft/Raumfahrt, Fahrräder)
Fazit -> Wir sind eine Maschinenfabrik, nur Maschinenbau kommt in Frage. Der Rest passt thematisch nicht zu unseren Produkten. Also geht es mit der NACE28 weiter:
28.1 Nicht wirtschaftszweigspezifische Maschinen:
Herstellung von Verbrennungsmotoren und Turbinen (ohne Motoren für Luft- und Straßenfahrzeuge); Herstellung von hydraulischen und pneumatischen Komponenten und Systemen; Herstellung von Pumpen und Kompressoren; Herstellung von Armaturen; Herstellung von Lagern, Getrieben, Zahnrädern und Antriebselementen
Beispiele: Kolben, Vergaser, Ein- und Auslassventile für Kolbenverbrennungsmotoren, Dampf-/Wasserkraft-/Windturbinen, Turbinen-Generator-Aggregate, Industriemotoren, Luftaufbereitungseinrichtungen für pneumatische Systeme, Hydraulikgetriebe, Luft- und Vakuumpumpen, Pumpen für Flüssigkeiten, Handpumpen, Sanitärarmaturen, Heizungsarmaturen, Kugel- und Rollenlager, Zahnräder und Getriebe, Wellen- und andere Kupplungen, Schwungräder und Riemenscheiben
28.2 Sonstige nicht wirtschaftszweigspezifische Maschinen:
Herstellung von Öfen und Brennern; Herstellung von Hebezeugen und Fördermitteln; Herstellung von Büromaschinen (ohne Datenverarbeitungsgeräte und periphere Geräte); Herstellung von handgeführten Werkzeugen mit Motorantrieb; Herstellung von kälte- und lufttechnischen Erzeugnissen, nicht für den Haushalt; Herstellung von sonstigen nicht wirtschaftszweigspezifischen Maschinen
Beispiele: Industrie- und Laboröfen, Brenner, elektrische Raumheizgeräte, elektrische Haushaltsheizgeräte wie Umwälzlufterhitzer und Wärmepumpen, Flaschenzüge, Kräne, Stetigförderer, Seilbahnen, Aufzüge, Fahrtreppen, Rechenmaschinen, Briefmarkenzählgeräte und Postbearbeitungsmaschinen, Stenografiermaschinen, Münzzähl- und Münzeinwickelmaschinen, Wahlmaschinen, Klebestreifenspender, Locher, Kreis- und Stichsägen, Bohrer und Bohrhämmer, Druckluftnagler, Poliermaschinen, Oberfräsmaschinen, Scheren und Blechknabber, Kühl- und Gefriereinrichtungen, Ventilatoren, Wärmeaustauscher, Hallenentlüftungssysteme, Wiegevorrichtungen, Spritzpistolen, Feuerlöscher, Sandstrahlmaschinen, Zentrifugen, Warenverkaufsautomaten, Wasserwagen und Bandmaße
28.3 Land- und forstwirtschaftliche Maschinen
Beispiele: Zugmaschinen, Mähmaschinen inkl. Rasenmäher, Pflüge, Sämaschinen, Eggen, Ernte- und Dreschmaschinen, Melkmaschinen
28.4 Werkzeugmaschinen:
Herstellung von Werkzeugmaschinen für die Metallbearbeitung; Herstellung von sonstigen Werkzeugmaschinen
Beispiele: Werkzeugmaschinen zum Bohren, Drehen, Fräsen, Hobeln, Sägen, Schleifen, Stanzen oder Pressen, Lochstanzen, Drahtzieh- und -walzmaschinen, Aufspannvorrichtungen, ortsfeste Maschinen zum Nageln, Heften, Leimen, Bohren, Feilen, Nieten
28.9 Maschinen für sonstige bestimmte Wirtschaftszweige:
Herstellung von Maschinen für die Metallerzeugung, von Walzwerkseinrichtungen und Gießmaschinen; Herstellung von Berkwerks- Bau- und Baustoffmaschinen; Herstellung von maschinen für die Nahrungs- und Genussmittelerzeugung und die Tabakverarbeitung; Herstellung von Maschinen für die Textil- und Bekleidungsherstellung und die Lederverarbeitung; Herstellung von Maschinen für die Papiererzeugung und -verarbeitung; Herstellung von Maschinen für die Verarbeitung von Kunststoffen und Kautschuk; Herstellung von Maschinen für sonstige bestimmte Wirtschaftszweige
Beispiele: Gießpfannen und -maschinen, Metallwalzwerke, Stetigförderer für den Untertageeinsatz, Beton- und Mörtelmischmaschinen, Planiermaschinen, Erd- oder Straßenhobel, Gleiskettenzugmaschinen, Planierschilde, landwirtschaftliche Trockner, milchwirtschaftliche Maschinen, Maschinen für Mahl- und Schälmühlen, Bäckereiöfen, Teigmischmaschinen, Maschinen zur Herstellung von Süßwaren, Kakao oder Schokolade, Textilmaschinen, Spinnmaschinen, Webmaschinen inkl. Handwebstühlen, Textildruckmaschinen, Nähmaschinen, Trockner für Holz/Zellstoff/Papier, Druckerei- und Buchbindereimaschinen, Auswuchtgeräte, Zentralschmieranlagen, Sonnenbänke, Kegelaufsteller für automatische Bowlingmaschinen, Karussels
Ab hier wird des dann kompliziert, denn vieles passt ein bisschen, aber auch nichts so ganz. Man kommt in den Bereich der Auslegungssache, ob man sich nun für zugehörig hält oder nicht.
Auch sind das unten nur Beispiele und keine verbindliche Liste. Ich kann gut verstehen wenn es Probleme mit der Einordnung gibt.
Was mir z.B. auch noch völlig fehlt, ist die Umsetzung der gennaten Audits in der Lieferkette. Ich vermute dort wird sich auch noch einiges herauskristallieren müssen. Wie genau Ablauf um Umfang auszusehen haben, um die Vorgaben einzuhalten.
Danke für die Links zu den Dokumenten.
Die Weltfremdheiten mancher Dinge darin lassen mich schmunzeln. Wie in vielen anderen Bereichen werden ehrliche Unternehmer daher wieder mit manchen Regularien und Pflichten überzogen, die von unehrlichen Unternehmern oder Menschen, die sich eh nicht an Regeln, Ethik, Anstand oder Gesetze halten, sowieso ignoriert werden und auch nicht kontrolliert werden.
Zitat "Zusätzliche Informationspflichten gelten (….) sowie bei der Erstellung manipulativer Inhalte wie Deepfakes."
Das ist in etwa so, als würde ein Steuerhinterzieher die Informationspflicht befolgen, in der Steuererklärung angeben zu müssen, dass er Steuern hinterzieht.
Wenn keine Stichprobenkontrollen erfolgen , wird sich auch keiner dran halten bzw. erst, wenn der Schaden schon da ist.
Wenn ich sehe, wieviele ehrliche Unternehmer und Gastronomen in meinem Umfeld sich fuer 5stelligen Beträge teure fälschungssichere Kassensysteme angeschafft haben und welche Läden immer noch mit einer 80er-Jahre Casio-Kasse arbeiten, ergibt sich schon ein Ungleichgewicht. Wenn ich dann noch sehe, wie schlecht, selten oder lachhaft die Kontrollen ausfallen und dass das Kontrolleure nur Fehler suchen anstatt kreative oder gar hochbetrügerische Umgehungen, dann verstehe ich warum keiner mehr neue Vorschriften ernst nimmt – was einer Gesellschaft im Sinne der guten Absichten von Cybersicherheitsvorgaben gewaltig auf die Füße fallen kann.
Das Thema Cybersicherheitsbewusstein hätte seit mindestens 10 Jahren in jede IT- und Ingenieurs-Ausbildung sowie zumindest in die schulische Oberstufe in den Lehrplan gehört, nicht jetzt wieder 15 Jahre zu spät in eine Verordnung. Gleichwohl ist das Grundanliegen von NIS2 & Co. absolut richtig.
Ein wirtschaftsfreundlich denkender Staat würde jedoch dafür sorgen, dass angehende Unternehmer das nötige Wissen schon vorab erhalten und nicht aus zwei Sätzen während der Tagesschau erfahren, die sie eh nicht sehen, weil sie abends noch mit Bürokratie oder Korrspondenz zu tun haben.