IT-Sicherheitsgesetz: Was Mittelständler beachten sollten und warum KMU oft indirekt betroffen sind

Das IT-Sicherheitsgesetz war ein wichtiger Schritt, um Mindestanforderungen an die Sicherheit informationstechnischer Systeme gesetzlich stärker zu verankern. Auch wenn sich der Beitrag ursprünglich auf die damalige Einführung bezog, ist die zentrale Frage bis heute aktuell: Betrifft das nur Betreiber kritischer Infrastrukturen oder müssen sich auch mittelständische Unternehmen damit befassen?

Die klare Antwort lautet: Auch viele KMU sollten das Thema nicht als „nur für andere relevant“ abtun. Denn selbst wenn sie nicht direkt unter gesetzliche Sonderanforderungen fallen, sind sie oft als Zulieferer, Dienstleister oder technische Partner mittelbar betroffen. Genau daraus ergeben sich praktische Pflichten, Kundenerwartungen und Sicherheitsanforderungen.

Überblick zum IT-Sicherheitsgesetz mit Sektoren, Branchen und Schutzzielen kritischer Infrastrukturen

Was das IT-Sicherheitsgesetz im Kern bezweckt

Das IT-Sicherheitsgesetz sollte die Sicherheit kritischer Infrastrukturen stärken und das Bundesamt für Sicherheit in der Informationstechnik, also das BSI, in seiner Rolle ausbauen. Ziel war und ist es, relevante Informationen zu IT-Angriffen besser zu bündeln, schneller auszuwerten und betroffenen Betreibern zugänglich zu machen. Zudem geht es darum, Mindeststandards und Meldepflichten im Bereich besonders schützenswerter Infrastrukturen zu etablieren. Diese Grundrichtung ist auf der bestehenden Beitragsseite bereits angelegt. 

Warum das Thema nicht nur KRITIS-Unternehmen betrifft

Direkt angesprochen sind vor allem Betreiber kritischer Infrastrukturen. Der bestehende Beitrag nennt hierzu insbesondere Bereiche wie Energie, Wasser, Transport, Informationstechnik, Telekommunikation, Finanzwesen, Gesundheit und Ernährung. Gleichzeitig zeigt der Artikel selbst bereits den entscheidenden Punkt: Mittelständische Unternehmen können indirekt betroffen sein, wenn sie als Zulieferer oder Dienstleister für stärker regulierte Unternehmen arbeiten. 

Genau dort liegt für viele KMU der praktische Hebel. Wer Leistungen für KRITIS-nahe Unternehmen erbringt, muss oft nachweisen, dass Sicherheitsmaßnahmen, Prozesse und Standards im eigenen Unternehmen vorhanden sind. Das geschieht nicht zwingend wegen einer unmittelbaren gesetzlichen Verpflichtung, sondern über Vertragsanforderungen, Audits, Kundenfragebögen oder Sicherheitsvorgaben entlang der Lieferkette.

Darstellung direkt und indirekt vom IT-Sicherheitsgesetz betroffener Unternehmen und Zulieferer

Welche Sicherheitsstandards Unternehmen prüfen sollten

Der Altbeitrag verweist bereits auf ISO 27001 als anerkannten Standard und nennt zusätzlich ISA+, ISIS12 und BSI-Grundschutz als mögliche Etappenziele oder Alternativen. Das ist fachlich weiterhin ein sinnvoller Ansatz: Nicht jedes Unternehmen muss sofort den größten Standard vollständig umsetzen. Oft ist es praxisnäher, strukturiert mit einem passenden Reifegrad zu beginnen und vorhandene Ergebnisse später weiterzuentwickeln. :contentReference[oaicite:5]{index=5}

Wer sich tiefer mit normativen Anforderungen befassen möchte, findet dazu in unserem Blog auch weitere Beiträge, etwa zu Fake-Zertifikaten nach ISO 27001 oder zu NIS2 in der Medizintechnik. Für organisatorische Risiken im Alltag passt außerdem unser Beitrag Wenn die Admins im Urlaub sind, tanzen die Mäuse auf den Tischen.

Welche Kosten und Aufwände typischerweise entstehen

Schon der ursprüngliche Beitrag weist darauf hin, dass erhebliche Mehrkosten vor allem dort entstehen, wo bislang kaum Sicherheitsstandards oder Meldewege etabliert wurden. Unternehmen, die sich bereits frühzeitig mit Datenschutz, Informationssicherheit und IT-Sicherheit befasst haben, sind meist deutlich besser aufgestellt.

In der Praxis heißt das: Wer erst reagiert, wenn Kunden Nachweise verlangen oder ein Audit ansteht, startet oft unter Druck. Wer früher beginnt, kann Sicherheitsmaßnahmen sinnvoller priorisieren, Verantwortlichkeiten sauber regeln und Nachweise strukturiert aufbauen.

Was Mittelständler konkret tun sollten

Für mittelständische Unternehmen empfiehlt sich eine ehrliche Bestandsaufnahme. Welche Kundenanforderungen bestehen bereits? Welche Sicherheitsmaßnahmen sind vorhanden? Gibt es dokumentierte Prozesse, Verantwortlichkeiten, Meldewege und ein nachvollziehbares Risikomanagement? Und welcher Standard passt zum Unternehmen, zur Branche und zum gewünschten Reifegrad?

Gerade dann, wenn Kunden aus regulierten Branchen kommen oder Informationssicherheit zunehmend Teil von Ausschreibungen und Vertragsbedingungen ist, sollte das Thema nicht vertagt werden.

Vergleich von IT-Sicherheitsstandards wie ISA+, ISIS12, BSI-Grundschutz und ISO 27001

Fazit: Auch indirekte Betroffenheit ist ein echter Handlungsgrund

Das IT-Sicherheitsgesetz war nie nur ein Spezialthema für wenige Großunternehmen. Auch mittelständische Unternehmen sollten sich mit den daraus abgeleiteten Anforderungen befassen, wenn sie in kritischen Branchen tätig sind oder für entsprechende Kunden arbeiten. Wer Standards, Zuständigkeiten und Sicherheitsprozesse frühzeitig aufbaut, reduziert Risiken und stärkt zugleich die eigene Wettbewerbsfähigkeit.

Sie möchten prüfen, welche Anforderungen an Informationssicherheit in Ihrem Unternehmen bereits erfüllt sind und welche nächsten Schritte sinnvoll wären?
Wir unterstützen Sie bei der Einordnung gesetzlicher und vertraglicher Anforderungen, bei Sicherheitsanalysen sowie bei der praxisnahen Weiterentwicklung Ihres ISMS oder Ihrer Sicherheitsorganisation.
Jetzt Kontakt aufnehmen