NIS2 in Portugal: wie ein KMU reagieren sollte, ohne in Compliance-Theater zu verfallen
NIS2 in Portugal: wie ein KMU reagieren sollte, ohne in Compliance-Theater zu verfallen
Portugals neues Cybersicherheits-Rechtsrahmen wird viele Unternehmen dazu zwingen, Annahmen zu überdenken, die bislang selten hinterfragt wurden. Mit dem Decreto-Lei Nr. 125/2025, das die NIS2-Richtlinie umsetzt und am 3. April 2026 in Kraft tritt, erweitert sich der Kreis potenziell betroffener Einrichtungen erheblich. Schätzungen gehen von 7.000 bis 9.000 Einrichtungen aus.
Für viele KMU wird die erste Reaktion vorhersehbar sein: wieder eine Pflicht, die für große Konzerne, stark regulierte Branchen oder Strukturen mit internen Compliance-Teams gedacht ist. Diese Einschätzung kann teuer werden. Der neue Rahmen beschränkt sich nicht auf große Organisationen, und seine Wirkung geht weit über die formal betroffenen Einrichtungen hinaus. In vielen Fällen wird der Druck über Verträge ankommen, über Kunden, Lieferanten oder Partner, die Mindestkontrolle, Nachweise und Reaktionsfähigkeit einfordern.
Der wichtigste Punkt ist nicht rechtlicher Natur. Er ist Management. Die relevante Frage für ein KMU lautet nicht nur: “Was sagt das Gesetz?”, sondern: Sind wir betroffen, wer ist intern verantwortlich, und wie vermeiden wir, dass das zu einer kostspieligen Dokumentationsübung ohne echte Wirkung wird?
NIS2 gilt nicht nur für große Unternehmen
Eines der hartnäckigsten Missverständnisse rund um NIS2 ist, dass es sich um einen Rahmen handelt, der ausschließlich für große Betreiber konzipiert wurde. Das stimmt nicht.
Das neue Regime erfasst kritische und andere betroffene Sektoren, darunter Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur und verwaltete IKT-Dienste, aber auch Abfall, Lebensmittel, Chemie, Teile der verarbeitenden Industrie, digitale Dienste und Forschung. In vielen Fällen hängt der Geltungsbereich von einer Kombination aus Sektor und Größe ab.
Das bedeutet: Unternehmen mit 50 oder mehr Mitarbeitern oder 10 Millionen Euro oder mehr Jahresumsatz können (je nach Tätigkeit) als wichtige Einrichtungen eingestuft werden. Und selbst wenn keine direkte Betroffenheit vorliegt, gibt es einen indirekten Effekt, der Aufmerksamkeit verdient: die Lieferkette. Viele Unternehmen werden diesen Druck spüren, weil sie Organisationen beliefern, die künftig MFA, Mindestrichtlinien, Zugriffskontrollen, Aktivitätsprotokolle, Incident-Response-Prozesse und zusätzliche Lieferantengarantien einfordern werden.
“Außerhalb” des rechtlichen Geltungsbereichs zu sein bedeutet nicht, außerhalb des Problems zu sein.
Das Hauptrisiko ist Compliance-Theater
Wenn ein neuer Regulierungsrahmen entsteht, reagiert der Markt vorhersehbar. Checklisten, Templates, Standardrichtlinien und Angebote, die versprechen, das Thema schnell “zu erledigen,” vermehren sich. Das Problem ist, dass in solchen Bereichen die Dokumentation nur der sichtbare Teil ist. Und oft nicht einmal der wichtigste.
NIS2 legt nicht nur Dokumentationslücken offen. Es legt organisatorische Schwachstellen frei: keine klaren Verantwortlichen, schlecht kontrollierte Zugänge, übermäßige Abhängigkeit von Lieferanten, nie getestete Backups, Incident-Prozesse, die nur auf dem Papier existieren, und fehlende Nachweise darüber, was das Unternehmen tatsächlich tut.
Genau hier scheitern viele Reaktionen. Richtlinien, Berichte und Audit-Ordner werden erstellt, aber der Betrieb bleibt gleich. Wenn ein Vorfall eintritt oder ein Kunde konkrete Nachweise für Kontrollen verlangt, wird der Unterschied zwischen echter Governance und einer Fassade schnell sichtbar.
Für ein KMU ist diese Unterscheidung entscheidend. Das Ziel sollte nicht “konform erscheinen” sein. Es sollte das Wesentliche organisieren, mit klarer Verantwortung, Routine und der Fähigkeit nachzuweisen, was tatsächlich getan wird.
Was ein KMU zuerst organisieren sollte
Das neue Regime deckt Bereiche wie Incident-Management, Geschäftskontinuität, Lieferkettensicherheit, Zugangskontrolle, Multi-Faktor-Authentifizierung, Schulungen, Sicherheitsrichtlinien und Evaluierung der getroffenen Maßnahmen ab. All das ist relevant. Aus Managementsicht lohnt es sich jedoch, diese Pflichten in klare operative Prioritäten zu übersetzen.
Die erste ist Verantwortung. Das Gesetz verlangt die Benennung eines Cybersicherheitsbeauftragten, intern oder extern, mit echter Anbindung an das Leitungsorgan. Das klingt administrativ, ist es aber nicht. Ohne zugewiesene Verantwortung gibt es keine Entscheidung. Und ohne Entscheidungen gehen alle kritischen Themen zwischen Geschäftsführung, IT-Lieferant und dem Tagesgeschäft verloren.
Die zweite ist die Mindestmenge an Kontrollen, die nicht länger als technisches Detail behandelt werden können: MFA auf kritischen Accounts, Zugriffsverwaltung, Backups mit Wiederherstellungstests, ein Minimum an Logging und ein klarer Incident-Response-Prozess.
Ein besonders heikler Punkt ist das Melderegime. Bei einem erheblichen Vorfall gibt es eine Erstmeldung innerhalb von 24 Stunden nach Entdeckung. Das setzt voraus, dass das Unternehmen einen funktionierenden internen Kreislauf hat. Wer erkennt den Vorfall? Wer bewertet ihn? Wer entscheidet? Wer kommuniziert? Wer koordiniert mit Lieferanten und, wo nötig, mit der CNPD? Ohne diese Grundlage existiert die Pflicht auf dem Papier, aber nicht in der Praxis.
Schließlich gibt es das Thema Lieferanten und externe Abhängigkeiten. Viele KMU arbeiten mit einer Kombination aus Cloud, kritischer Software, Fernzugriff, verwalteten Dienstleistern und Legacy-Systemen. Diese Schicht zu ignorieren bedeutet, einen wesentlichen Teil des Risikos außerhalb der Analyse zu lassen.
Dies ist auch ein Daten-Governance- und KI-Governance-Thema
Hier bleibt das Gespräch meiner Ansicht nach oft zu früh stecken.
Die meisten NIS2-Ansätze behandeln es als isoliertes Cybersicherheitsprojekt. Für manche Unternehmen reicht das. Für viele andere nicht. Wenn eine Organisation gezwungen wird, Zugänge, Verantwortlichkeiten, Nachweise, Lieferanten und Entscheidungsprozesse zu überprüfen, berührt sie bereits Bereiche, die sich direkt mit Daten-Governance und zunehmend mit KI-Governance überschneiden.
In der Praxis haben dieselben Unternehmen, die grundlegende Fragen zu kritischen Zugängen nicht klar beantworten können, selten eine ausgereifte Sicht auf:
- wo sensible Daten liegen;
- welche KI-Tools intern bereits eingesetzt werden;
- wer den Einsatz dieser Tools genehmigt;
- wie Entscheidungen dokumentiert werden;
- und wie sie Konsistenz gegenüber einem Kunden, Prüfer oder Partner nachweisen.
Diese Themen isoliert anzugehen erzeugt typischerweise Doppelarbeit, Reibung und unnötige Kosten. Es macht Sinn, diesen Moment als Gelegenheit zu nutzen, eine kohärentere Governance-Grundlage aufzubauen, statt Einzellösungen zu sammeln.
Wie ein KMU dieses Thema angehen sollte
Der nützlichste Ansatz beginnt aus meiner Sicht mit einer Umfangs- und Governance-Bewertung, nicht mit einer überstürzten Implementierung.
Der erste Schritt ist zu verstehen, ob das Unternehmen direkt betroffen ist, ob es über Verträge exponiert ist oder ob es, auch wenn es formal außerhalb liegt, bereits Anforderungen gegenübersteht, die eine frühzeitige Organisation rechtfertigen. Parallel dazu gilt es zu klären, wer intern Verantwortung übernimmt, welche Systeme und Lieferanten kritisch sind und wo die relevantesten Lücken liegen.
Der zweite Schritt ist eine kurze, pragmatische Diagnose, die sich auf das Wesentliche konzentriert: Zugänge, MFA, Backups, Wiederherstellungstests, Logging, Incident Response, Lieferantenmanagement, Mindestdokumentation und Nachweise.
Der dritte Schritt ist oft der am meisten vernachlässigte: eine Routine- und Nachweisschicht aufzubauen, die im Laufe der Zeit trägt. Audit-Trails, Änderungsprotokolle, Alerts, lebendige Dokumentation und regelmäßige Reviews haben mehr Wert als ein umfangreiches Paket an Richtlinien, die niemand aktualisiert. Hier kann Automatisierung echten Nutzen bringen, indem sie die Abhängigkeit von manuellen Aufgaben und organisatorischem Gedächtnis reduziert.
Wo tiefgreifendere technische Arbeit erforderlich ist, an Kontrollen, Infrastruktur oder verwaltetem Betrieb, sollte die Umsetzung mit den richtigen Partnern erfolgen. Für viele KMU ist dieses Modell realistischer und wirksamer als ein vages Versprechen “vollständiger Compliance” zu kaufen.
Was in den nächsten 30 Tagen sinnvoll ist
Für ein portugiesisches KMU müssen die nächsten Schritte kein schweres Projekt sein. Sie sollten mit einfachen, konkreten Fragen beginnen:
- Ist das Unternehmen in einem betroffenen Sektor tätig, oder beliefert es Organisationen, die diese Kontrollen einfordern könnten?
- Gibt es eine klare Verantwortung für Cybersicherheit und Governance?
- Ist MFA bei E-Mail, Cloud und administrativen Zugängen aktiv?
- Existieren Backups, und wurden sie getestet?
- Gibt es eine ernsthafte Liste kritischer Lieferanten und der Zugänge, die diese Lieferanten haben?
- Gibt es einen Incident-Prozess, der innerhalb des 24-Stunden-Fensters funktioniert?
Wenn diese Fragen keine klare Antwort haben, verdient das Thema bereits Aufmerksamkeit auf Führungsebene. Und je früher diese Klarheit hergestellt wird, desto geringer die Wahrscheinlichkeit, unter Druck reagieren zu müssen, mit höheren Kosten und schlechteren Entscheidungen.
Müssen Sie wissen, ob Ihr KMU betroffen ist?
Wenn Ihr Unternehmen verstehen muss, ob es von NIS2 betroffen sein könnte, oder ob es sinnvoll ist, eine schrittweise Reaktion vorzubereiten, ohne in Compliance-Theater zu verfallen, ist der richtige Ausgangspunkt eine Umfangs- und Governance-Bewertung.
Das Ziel dieses ersten Schritts ist klar: Exposition klären, die relevantesten Lücken identifizieren und einen realistischen Plan entwickeln, der Cybersicherheit, Daten-Governance und KI-Governance integrieren kann, mit technischer Umsetzung durch die richtigen Partner, wenn nötig.