Als Geschäftsführer eines KMU oder einer Pflegeeinrichtung werden Sie mit NIS2-Compliance konfrontiert – oft nicht, weil Ihre Organisation selbst unter die Richtlinie fällt, sondern weil Ihr Lieferkettenpartner es von Ihnen verlangt. Ihre Kunden in der Gesundheitsbranche, bei Behörden oder in der Industrie müssen NIS2-konform sein – und deshalb müssen Sie nachweisen, dass deren Daten bei Ihnen sicher sind. Das nennt sich Lieferkettenverantwortung.
Das Problem: Compliance ohne Kontext
Die Herausforderung besteht darin, dass Sie als Geschäftsführer Antworten auf Fragen wie diese geben müssen:
- „Sind Sie NIS2-konform?“
- „Haben Sie Security Awareness Training?“
- „Wie ist Ihr Zugriffsmanagement geregelt?“
- „Was ist Ihre Backup-Strategie?“
Und ehrlich gesagt: Sie wissen es oft nicht genau. Ihr IT-Dienstleister sagt „ja, das regeln wir“, aber Sie haben keinen Einblick. Kein Dashboard. Keinen objektiven Status. Sie müssen ihm beim Wort glauben. Das fühlt sich nicht wohl an – und das zu Recht.
Was Sie als Geschäftsführer brauchen
Sie müssen kein Cybersicherheitsexperte werden. Aber Sie brauchen:
1. Einblick in Ihren Sicherheitsstatus „Wo stehen wir gerade? Sind wir compliant oder nicht?“
2. Objektive Daten Nicht: „Das haben wir geregelt“ Sondern: „94 % unserer Arbeitsplätze haben Festplattenverschlüsselung aktiv“
3. Einfache Berichterstattung An Ihren Lieferkettenpartner: „Hier ist unser Compliance-Dashboard“ An Ihren Vorstand: „Das ist unser Status, das sind die Risiken“
4. Wert für Ihre Investition Ist dieses Geld gut angelegt? Erhalten Sie dadurch tatsächlich mehr Sicherheit?
5. Kein Aufwand mit langen Zeitplänen Sie haben keine Zeit für monatelange Implementierungsprojekte.
Der traditionelle Ansatz: teuer und intransparent
Szenario: Sie rufen einen Security-Berater an
- Woche 1–2: Erstgespräche, Dokumente sammeln
- Woche 3–4: Gap-Analyse (€5.000–€10.000)
- Woche 5–8: Implementierungsplan erstellen
- Woche 9–12: Schulungen organisieren
- Woche 13–16: Audits und Berichterstattung
Kosten: €15.000–€30.000 Ergebnis: Ein 50-seitiger Bericht und ein Zertifikat. Problem: Nach 6 Monaten sind die Informationen bereits veraltet – und aufgrund des Stundenlohns ist die Datenerfassung sehr kostspielig.
Und Ihre wichtigste Frage bleibt unbeantwortet: „Sind wir JETZT sicher?“
Der Lupasafe-Ansatz: Überblick in Stunden, nicht Monaten
Was Sie konkret erhalten
Als Geschäftsführer loggen Sie sich ein und sehen:
📊 Dashboard mit Compliance-Score
NIS2 BASIC Status: 87%
- 🟢 Konform (12 von 17 Schlüsselkontrollen)
- 🟡 In Bearbeitung (3 Schlüsselkontrollen)
- 🔴 Handlungsbedarf (2 Schlüsselkontrollen)
Pro Kontrollgruppe:
- Organisatorisch: 85% – Richtlinie genehmigt, Rollen benannt ✅
- Personal: 78% – Schulung: 39/50 Mitarbeiter abgeschlossen 🟡
- Technisch: 94% – Firewall, Backups in Ordnung ✅
Was das für Sie bedeutet
1. Sie haben die Kontrolle Sie können jederzeit zeigen, wo Sie stehen. Keine Überraschungen bei Audits.
2. Sie erhalten Wert für Ihr Geld
- Sichtbar: Genau welche Mitarbeiter noch geschult werden müssen
- Messbar: Compliance-Score steigt von 78% auf 94%
- Handlungsorientiert: „Diese 3 Maßnahmen bringen uns auf 95%“
3. Sie können steuern Sie sehen: „Schulungs-Compliance: 78%“ Sie fragen HR: „Können wir diese 11 Mitarbeiter noch diesen Monat schulen?“ Nächste Woche sehen Sie: „Schulungs-Compliance: 96%“
4. Sie können berichten
- An Lieferkettenpartner: „Hier ist unser NIS2-Status“ (1 Link zum Dashboard)
- An Vorstand: „Wir erzielen 87%, der Branchendurchschnitt liegt bei 72%“
- An IT-Dienstleister: „Diese Arbeitsplätze sind nicht in Ordnung“
Praxisbeispiel: Geschäftsführer einer Pflegeeinrichtung
Situation: Thomas ist Geschäftsführer einer ambulanten Pflegeorganisation mit 45 Mitarbeitern. Sein größter Kunde (ein Krankenhaus) fordert NIS2-Compliance für die weitere Zusammenarbeit.
Ohne Lupasafe:
- Thomas ruft seinen IT-Dienstleister an: „Sind wir compliant?“
- IT-Dienstleister: „Das wird schon klappen, wir regeln die Backups“
- Thomas weiß nicht, was „wird schon klappen“ bedeutet
- Beim Audit stellt sich heraus, dass Schlüsselkontrolle 2.2 (Schulung von Führungskräften und Mitarbeitern) nicht erfüllt ist
- Der Vertrag mit dem Krankenhaus ist gefährdet
Mit Lupasafe:
- Thomas sieht im Dashboard: „Security Awareness: 72% konform“
- Er sieht genau, welche 13 Mitarbeiter noch geschult werden müssen
- HR schickt diesen Mitarbeitern eine persönliche Schulungseinladung
- Innerhalb von 2 Wochen: 96% konform
- Beim Audit: „Hier ist unser Echtzeit-Compliance-Dashboard“
- Krankenhaus beeindruckt: „So transparent haben wir das noch nie gesehen“
Ergebnis: Vertrag verlängert – plus neue Aufträge dank „vorbildlicher Sicherheit“
Kein Aufwand mit Zeitplänen – der Prozess
Tag 1: Account eröffnen Ihr IT-Manager oder IT-Dienstleister verbindet Ihre Systeme. Entra ID (Microsoft 365) Verbindung. Dauer: 30 Minuten
Tag 2: Erste Daten Die Plattform beginnt automatisch mit der Datenerfassung. Endpunkte werden gescannt. Cloud-Konfiguration wird analysiert. Dauer: Läuft automatisch
Tag 3–7: Dashboard verfügbar Sie sehen Ihren ersten Compliance-Score. Schulungen werden ausgerollt. Sie erhalten Ihren ersten Management-Bericht.
Keine monatelange Wartezeit. Keine teuren Berater erforderlich.
Die organisatorischen Schlüsselkontrollen – worauf Sie als Geschäftsführer achten
Als Geschäftsführer sind Sie für das „Warum“ und das „Was“ verantwortlich, nicht für das „Wie“. Hier einige Schlüsselkontrollen, die Ihnen Kontrolle geben:
1. Informationssicherheitsrichtlinie (1.2) Was Sie wissen müssen: Gibt es eine genehmigte Richtlinie? Was Lupasafe zeigt: ✅ Richtlinie vorhanden, genehmigt am 15.03.2024 Ihre Maßnahme: Richtlinie jährlich bestätigen
2. Verantwortlichkeiten Cybersicherheit (1.3) Was Sie wissen müssen: Wer ist wofür verantwortlich? Was Lupasafe zeigt:
- Geschäftsführer: T. Müller (Sie)
- IT-Manager: P. Schmidt
- Datenschutzbeauftragter: M. Wagner Ihre Maßnahme: Bestätigen, dass Rollen korrekt sind
3. Security Awareness Training (2.2) Was Sie wissen müssen: Wurden Mitarbeiter geschult? Was Lupasafe zeigt:
- Schulungsstatus: 78%
- Geschäftsführung: 5/5 abgeschlossen ✅
- Pflegepersonal: 28/35 abgeschlossen 🟡
- Verwaltung: 6/10 abgeschlossen 🟡
- Durchschnittliche Punktzahl: 8,1/10
- Letzter Phishing-Test: 12% Klickrate (Branche: 18%)
Ihre Maßnahme: HR beauftragen, säumige Mitarbeiter anzusprechen
Wert für Ihr Geld: der ROI
Traditionelle Compliance (pro Jahr)
- Berater: €10.000
- Interner Zeitaufwand Geschäftsführung/HR: €5.000
- Schulung externer Anbieter: €3.000
- Audit-Vorbereitung: €4.000
- Gesamt: €22.000/Jahr
Mit Lupasafe (pro Jahr)
- Plattform (40 Nutzer): €3.840
- Interner Zeitaufwand: €500
- Schulung über Plattform: €0 (inklusive)
- Audit-Vorbereitung: €500 (Auditor erhält Zugang)
- Gesamt: €4.840/Jahr
Ersparnis: €17.160 pro Jahr
Aber wichtiger als die Kosten: Sie erhalten auch tatsächlich mehr Sicherheit.
Beispiel Risikoreduzierung:
Vor Lupasafe: „Laut IT-Dienstleister haben alle Laptops Festplattenverschlüsselung“ Mit Lupasafe: „Alle Laptops sind konform, auch die Heimarbeitsgeräte“
Unterschied: Sie wissen es mit SICHERHEIT. Und wenn es nicht stimmt, sehen Sie das sofort.
Der Business Case für Ihren Vorstand
Investition €3.000–€5.000 pro Jahr (abhängig von der Nutzerzahl)
Nutzen
Harte Vorteile:
- Compliance mit Lieferkettenverpflichtungen → Verträge sichern
- Bußgelder bei Nichteinhaltung vermeiden (bis zu €10 Mio.)
- Reduzierung der Beraterkosten: €10.000–€15.000/Jahr
- Reduzierung der Audit-Vorbereitungszeit: 80%
Weiche Vorteile:
- Transparenz gegenüber Vorstand und Aufsichtsbehörden
- Wettbewerbsvorteil bei Ausschreibungen
- Vertrauen bei Kunden und Partnern
- Reputationsschutz bei Vorfällen
- Keine Überraschungen bei Anfragen, schnelle Reaktion auf Kundenwünsche
Amortisationszeit 3–6 Monate (durch Einsparungen bei Beratung und Audit)
Praktische Schritte
Schritt 1: Orientierung (Diese Woche)
- Demo bei Lupasafe anfragen
- Mit IT-Manager/Dienstleister besprechen
- Beispiel-Dashboard ansehen
Schritt 2: Entscheidung (Nächste Woche)
- Business Case dem Vorstand vorlegen falls nötig
- Budget freigeben (€3–5K/Jahr)
- Genehmigung für Implementierung erteilen
- Verantwortliche benennen
Schritt 3: Implementierung durch IT/Dienstleister (Woche 3)
- Nach Unterzeichnung des Angebots kann IT-Manager/Dienstleister Account bei Lupasafe eröffnen
- Systeme verbinden (Lupasafe arbeitet ausschließlich mit Leserechten, keine Änderungen)
- Endpunkte ausrollen
- Netzwerkscan starten
- Microsoft 365 für Sicherheitsprüfungen verbinden
- E-Mail-Verkehr überwachen
- Mitarbeiter erhalten Schulungseinladung (30+ Sprachen)
- Phishing-Kampagne starten
Schritt 4: In Betrieb (Woche 4)
- Sie prüfen das erste Dashboard gemeinsam mit IT
- Sie teilen den Link mit dem Lieferkettenpartner
- Sie berichten den Status an den Vorstand
Häufig gestellte Fragen von Geschäftsführern
„Muss ich jetzt selbst IT-Experte werden?“ Nein. Sie erhalten Management-Informationen, keine technischen Details. So wie Sie auch Gewinnzahlen prüfen, ohne Buchhalter zu sein.
„Kann mein IT-Dienstleister das nicht einfach regeln?“ Kann er – aber dann haben Sie keinen Einblick. Lupasafe gibt Ihnen die Kontrolle. Ihr IT-Dienstleister kann ebenfalls Zugang erhalten, um die Implementierung durchzuführen.
„Was, wenn wir bereits compliant sind?“ Dann bestätigt Lupasafe das objektiv. Sie haben dann Beweismaterial für Audits und Lieferkettenpartner.
„Wie viel Zeit kostet mich das als Geschäftsführer?“
- Startphase: max. 1 Stunde (Rollen benennen, Richtlinie bestätigen)
- Laufend: 15 Minuten pro Monat (Dashboard prüfen)
- Berichterstattung: Automatisch generiert
„Was, wenn wir zu viele nicht konforme Punkte finden?“ Das Dashboard zeigt Prioritäten. Sie lösen nicht alles auf einmal. Sie erstellen einen Plan: zuerst kritische Punkte (rote Elemente), dann Verbesserungspunkte (gelbe Elemente).
„Können wir das schrittweise angehen?“ Ja. Starten Sie mit der Basis (SC-10), erweitern Sie später auf SC-20 oder weitere Schlüsselkontrollen falls für Ihre Branche erforderlich.
Die Lieferkettenpartner-Berichterstattung
Was Ihr Lieferkettenpartner sehen möchte, können Sie direkt über folgende Optionen teilen:
Option 1: Detailberichte teilen (PDF, Excel) Sie geben Zugang zu den Compliance-Berichten.
Option 2: Dashboard-Zugang Sie oder IT geben dem Auditor Zugang zu Ihrem Lupasafe-Dashboard (Portal-Nutzer).
Option 3: Zertifikat Nach externem Audit: NIS2 SC-10 oder SC-20 Zertifikat.
Was Lieferkettenpartner schätzen:
- Transparenz (keine vagen Antworten)
- Objektivität (Daten, keine Meinungen)
- Aktualität (kein jahresalter Bericht)
- Nachvollziehbarkeit (welche Version, wann)
Fazit: Von der Pflicht zur Chance
NIS2-Lieferkettenverantwortung fühlt sich wie eine Last an. Mit Lupasafe wird sie zum strategischen Instrument:
- ✅ Sie haben die Kontrolle – Sie wissen, wo Sie stehen
- ✅ Sie können steuern – Sie sehen, was getan werden muss
- ✅ Sie können berichten – Transparent gegenüber allen Stakeholdern
- ✅ Sie haben Wert – Tatsächlich bessere Sicherheit, nicht nur Papier
- ✅ Sie sind effizient – Keine monatelange Implementierung, keine teuren Berater
Nächster Schritt
Direkten Einblick in Ihre Situation? Starten Sie mit unserem kostenlosen NIS2-Quick-Scan (10 Minuten) und entdecken Sie, wo Ihre Organisation steht.
Fragen? Persönliches Beratungsgespräch? Planen Sie ein 30-minütiges Kennenlerngespräch mit einem unserer Berater. Keine Verpflichtungen, aber konkrete Antworten auf Ihre spezifische Situation.
Demo der Plattform? Sehen Sie das Dashboard so, wie Sie es für Ihre Organisation sehen würden.
Über den Autor: Dieser Artikel wurde für Geschäftsführer und Vorstände in KMU und der Pflegebranche geschrieben, die mit NIS2-Compliance aufgrund von Lieferkettenverantwortung konfrontiert werden. Für technische Implementierungsdetails siehe unseren Artikel für IT-Manager.
