Herr Haßler, zehn Workshops liegen hinter Ihnen. Was ist Ihr Fazit nach den ersten Wochen RC_NIS2?
Matthias Haßler (MH): Wir sehen, dass das Konzept funktioniert: Mittelständische Unternehmen kommen strukturiert und ohne Überforderung ins Handeln. Die Teilnehmer sind inzwischen deutlich weiter, als sie es alleine in dieser Zeit gewesen wären – sowohl organisatorisch als auch technisch.
Was ist konkret in den ersten Workshops passiert?
MH: Wir sind bewusst sehr pragmatisch gestartet. Im ersten Schritt ging es um die Registrierung beim BSI – eine Pflicht, die betroffene Unternehmen als ersten wichtigen Schritt erfüllen müssen. Parallel wurden wesentliche organisatorische Grundlagen geklärt. So haben wir den Teilnehmern etwa unser Ticketsystem, über das Fragen auch außerhalb der Workshop-Termine schnell geklärt werden können, vorgestellt.
Wie ging es weiter?
MH: Nach dem Einstieg sind wir systematisch tiefer gegangen. Ein wichtiger Punkt war die Haftung der Geschäftsführung. Viele Teilnehmer waren überrascht, wie klar die persönliche Verantwortung im NIS2-Kontext geregelt ist. Das schafft natürlich Handlungsdruck – aber auch Klarheit.
„Die Teilnehmer nehmen mit hoher Motivation an der Reihe teil und gehen den Weg zur NIS2-Compliance gemeinsam.“
Welche Rolle spielen dabei die Richtlinien und Policies?
MH: Eine zentrale Rolle. Mit der Informationssicherheits-Politik, Klassifizierungsrichtlinien oder später der Compliance- und Risikomanagement-Richtlinie bauen wir Schritt für Schritt ein vollständiges ISMS auf. Diese Dokumente sind nicht nur Formalität – sie sind auch ein wichtiger Bestandteil zur Reduktion von Haftungsrisiken.
Und wie wird die technische Umsetzung begleitet?
MH: Parallel zu den rechtlichen und organisatorischen Themen arbeiten die Teilnehmer intensiv mit der im Workshop inkludierten ISMS-Software. Dort werden Assets erfasst, Risiken bewertet und Maßnahmen dokumentiert. Gerade dieser praktische Teil sorgt dafür, dass NIS2 nicht abstrakt bleibt, sondern im Unternehmen konkret umgesetzt und dokumentiert wird.
Wo stehen die Teilnehmer heute – nach zehn Wochen?
MH: Viele haben bereits ein solides Fundament: Registrierung erledigt, erste Richtlinien umgesetzt, Assets erfasst und ein Verständnis für Risiken entwickelt. Das ist genau das Ziel dieser Phase – weg von Unsicherheit, hin zu strukturierter und dokumentierbarer Umsetzung.
Was ist der konkrete Vorteil von RC_NIS2 für die Unternehmen?
MH: Es gibt mehr als nur einen. Der Preis ist natürlich ein Thema. Für 799 Euro erhalten die Teilnehmer über 40 Workshops mit Juristen und IT-Spezialisten sowie eine ISMS-Software. Zudem ist RC_NIS2 speziell auf mittelständische Kunden ausgerichtet, die nicht die Möglichkeit haben, Mitarbeiter über einen längeren Zeitraum für ein Projekt „freizustellen“ – also ein ressourcenschonender Pfad zur NIS2-Compliance. Und drittens „befähigen“ wir die Teilnehmer im Kontext Informations- und IT-Sicherheit. Die Teilnehmer arbeiten während der Workshops aktiv mit direktem Bezug zum eigenen Unternehmen – und erwerben so für das Unternehmen nachhaltig wertvolle Kompetenzen. Hinzu kommt noch der Austausch untereinander – die Teilnehmer nehmen mit hoher Motivation an der Reihe teil und gehen den Weg zur NIS2-Compliance gemeinsam.
Was würden Sie Unternehmen sagen, die noch zögern?
MH: Das größte Risiko ist aktuell, nichts zu tun. Noch Wochen nach Inkrafttreten des NIS2-Umsetzungsgesetzes in Deutschland hatten sich weniger als 40 % der betroffenen Unternehmen überhaupt registriert. Das erachte ich mit Blick auf die persönlich haftenden Geschäftsführer – insbesondere im Fall eines Sicherheitsvorfalles – als hohes persönliches Risiko. Es zu tragen, liegt selbstverständlich im Ermessen des einzelnen Unternehmers. Auf jeden Fall aber wäre es mit überschaubarem Aufwand vermeidbar.
Zum Abschluss: Für wen ist RC_NIS2 besonders geeignet?
MH: Für mittelständische Unternehmen, die keine eigene Rechts- oder IT-Abteilung haben und eine pragmatische Lösung suchen. Genau dafür haben wir RC_NIS2 gemacht: verständlich, strukturiert und ressourcenschonend.