Wenn Ihr ERP das Herz Ihrer Abläufe ist, trifft NIS2 nicht nur die IT. Dann betrifft es Einkauf, Produktion, Logistik, Finance und am Ende die Geschäftsführung. Genau deshalb sind die nis2 anforderungen für mittelstand kein isoliertes Security-Thema, sondern eine Frage von Betriebsstabilität, Verantwortlichkeit und sauber dokumentierten Prozessen.
Für viele mittelständische Unternehmen mit JD Edwards EnterpriseOne beginnt das Problem an einer typischen Stelle: Das System läuft seit Jahren stabil, die Prozesse sind gewachsen, Zuständigkeiten liegen teils intern, teils bei externen Partnern. Genau in solchen Umgebungen zeigt sich schnell, ob Sicherheit nur technisch gedacht wurde oder organisatorisch wirklich getragen ist.
Was NIS2 für den Mittelstand praktisch verändert
NIS2 verschärft die Erwartungen an Unternehmen, die für Wirtschaft und Versorgung relevant sind. Nicht jedes mittelständische Unternehmen fällt automatisch in den Anwendungsbereich. Aber viele sind näher dran, als zunächst angenommen. Das gilt besonders für produzierende Unternehmen, Logistik, kritische Zulieferketten oder Organisationen mit hoher digitaler Abhängigkeit.
Entscheidend ist nicht nur die Branche. Es geht auch um Unternehmensgröße, Rolle in der Lieferkette und die Frage, wie kritisch die eigenen Systeme für den Geschäftsbetrieb sind. Wer JDE als zentrales System für Auftragsabwicklung, Lager, Beschaffung oder Finanzprozesse nutzt, sollte NIS2 nicht erst dann prüfen, wenn eine formale Betroffenheit bestätigt wurde.
In der Praxis bedeutet das: Geschäftsleitung, IT und Fachbereiche müssen gemeinsam nachweisen können, dass Risiken erkannt, bewertet und behandelt werden. Es reicht nicht, eine Firewall zu betreiben und Backups zu haben. Gefragt sind nachvollziehbare Maßnahmen, klare Verantwortlichkeiten und belastbare Reaktionswege.
NIS2 Anforderungen für Mittelstand – worauf es wirklich ankommt
Die NIS2 Anforderungen für Mittelstand lassen sich nicht auf eine Checkliste mit zehn Standardpunkten reduzieren. Es geht um ein System aus Technik, Organisation und Nachweisbarkeit. Gerade im ERP-Umfeld ist das wichtig, weil dort viele geschäftskritische Daten und Berechtigungen zusammenlaufen.
Ein typischer Irrtum ist, NIS2 mit reinem Infrastruktur-Schutz gleichzusetzen. Natürlich zählen Netzwerksicherheit, Endpoint-Schutz und Segmentierung. Aber ebenso relevant sind Berechtigungskonzepte im ERP, Protokollierung von Änderungen, Absicherung von Schnittstellen und ein sauber geregelter Umgang mit Dienstleistern.
Wer beispielsweise Orchestrierungen, Integrationen oder externe Reporting-Strecken nutzt, erweitert die Angriffsfläche. Das ist nicht per se problematisch. Es muss nur bekannt, dokumentiert und abgesichert sein. Genau daran hapert es in vielen gewachsenen Landschaften.
Governance statt Einzellösungen
NIS2 verlangt, dass Sicherheit gesteuert wird. Das beginnt bei Rollen und Verantwortlichkeiten. Wer entscheidet bei einem Sicherheitsvorfall? Wer bewertet die Kritikalität eines betroffenen Systems? Wer kommuniziert intern und extern? In vielen mittelständischen Strukturen ist das informell geregelt. Für den Alltag mag das funktionieren. Für NIS2 ist es zu wenig.
Gerade in JDE-Umgebungen lohnt sich ein nüchterner Blick auf die Realität. Wenn nur ein langjähriger Key-User weiß, welche UBE kritisch ist oder welche Schnittstelle nachts Finanzdaten überträgt, entsteht ein Risiko. Nicht nur technisch, sondern organisatorisch.
Risikomanagement mit Blick auf den Betrieb
Sicherheit muss sich am tatsächlichen Betrieb orientieren. Ein Produktionsunternehmen hat andere Prioritäten als ein Dienstleister. Ein Ausfall von Lagerbuchungen, EDI-Prozessen oder Zahlungsfreigaben hat unmittelbare Folgen. Deshalb sollte Risikomanagement nicht als abstrakte Compliance-Übung aufgesetzt werden.
Sinnvoll ist eine Bewertung entlang realer Geschäftsprozesse. Welche JDE-Funktionen sind für den Tagesbetrieb unverzichtbar? Welche Jobs, Batchläufe oder Integrationen dürfen nicht ausfallen? Welche Benutzerrollen wären bei Missbrauch besonders kritisch? So entsteht ein Bild, das für Audits und für den Ernstfall taugt.
Typische Schwachstellen in bestehenden JDE-Landschaften
In der Praxis sehen wir selten den einen großen Fehler. Meist sind es mehrere kleinere Lücken, die zusammen problematisch werden. Alte Service-Accounts ohne klare Zuordnung, gewachsene Berechtigungen, zu breite Zugriffe auf File-Systeme, fehlende Trennung zwischen Test und Produktion oder unzureichend dokumentierte Schnittstellen.
Auch Reporting ist oft ein blinder Fleck. Wenn sensible ERP-Daten regelmäßig in Excel, Data Lakes oder BI-Werkzeuge exportiert werden, verschiebt sich das Sicherheitsproblem nur. Das ERP selbst kann sauber abgesichert sein. Wenn die Weiterverarbeitung außerhalb der Kernsysteme kaum kontrolliert wird, bleibt das Risiko bestehen.
Hinzu kommt der Faktor Erreichbarkeit. Viele Unternehmen haben mehrere Dienstleister für Infrastruktur, Security, ERP und Entwicklung. Im Alltag ist das handhabbar. Im Incident wird es schwierig. Dann braucht es keine Eskalation über drei Ticketsysteme, sondern klare Zuständigkeiten und direkte Entscheidungen.
So setzen Mittelständler NIS2 sinnvoll um
Wer NIS2 pragmatisch angehen will, sollte nicht mit Maßnahmenkatalogen starten, sondern mit Transparenz. Erst wenn klar ist, welche Systeme, Prozesse, Rollen und Abhängigkeiten wirklich kritisch sind, lassen sich Prioritäten sauber setzen.
Der erste Schritt ist eine belastbare Bestandsaufnahme. Dazu gehören nicht nur Server, Firewalls und Clients, sondern auch JDE-spezifische Komponenten, Scheduler, Integrationen, Auswertungswege, Benutzerrollen und externe Zugriffe. Besonders wichtig ist die Frage, welche Prozesse außerhalb des ERP stattfinden, obwohl sie operativ davon abhängen.
Danach folgt die Bewertung der Risiken. Nicht jedes Alt-System muss sofort ersetzt werden. Nicht jede Abweichung ist ein akutes Problem. Aber jedes relevante Risiko braucht eine Entscheidung: reduzieren, überwachen, kompensieren oder bewusst akzeptieren. Diese Klarheit fehlt oft.
1. Kritische Prozesse zuerst absichern
Beginnen Sie dort, wo ein Ausfall den größten Schaden verursacht. In vielen JDE-Umgebungen sind das Finanzbuchhaltung, Beschaffung, Lagerbewegungen, Versand, EDI oder produktionsnahe Buchungen. Für diese Bereiche müssen Wiederanlauf, Berechtigungen, Logging und Eskalation belastbar geregelt sein.
2. Berechtigungen und technische Konten prüfen
Viele Sicherheitsprobleme entstehen nicht durch fehlende Tools, sondern durch historisch gewachsene Rechte. Wer in JDE Rollen nur erweitert, aber selten bereinigt, schafft unnötige Angriffsflächen. Gleiches gilt für technische Benutzer, Schnittstellen-Accounts und generische Logins.
3. Vorfälle konkret durchspielen
Ein Incident-Plan auf Papier hilft nur begrenzt. Sinnvoller ist eine Übung mit realistischen Szenarien. Was passiert, wenn die JDE-Anmeldung kompromittiert wird? Wenn ein Fileserver mit ERP-Exports betroffen ist? Wenn ein externer Zugang missbraucht wurde? Solche Übungen zeigen schnell, wo Wissen fehlt oder Prozesse zu langsam sind.
4. Nachweise sauber führen
NIS2 ist auch eine Dokumentationsfrage. Entscheidungen, Zuständigkeiten, Prüfungen und Maßnahmen sollten so dokumentiert sein, dass sie nachvollziehbar bleiben. Nicht für die Ablage. Sondern damit im Ernstfall klar ist, was beschlossen wurde und warum.
Was für IT-Leiter und Fachbereiche unterschiedlich wichtig ist
IT-Leiter schauen auf Architektur, Schutzmaßnahmen und Betriebsfähigkeit. Das ist richtig. Fachbereiche denken eher in Verfügbarkeit, Bearbeitungszeiten und Prozessfolgen. Beide Perspektiven müssen zusammengeführt werden.
Ein Beispiel aus dem ERP-Alltag: Wenn ein Freigabeprozess für Bestellungen zu breit berechtigt ist, ist das ein Security-Thema. Wenn derselbe Prozess bei zu strenger Einschränkung regelmäßig stehen bleibt, ist es auch ein Betriebsproblem. Gute NIS2-Umsetzung balanciert beides.
Für Finance ist zudem entscheidend, wie Änderungen an Stammdaten, Zahlungswegen oder Freigaben nachvollzogen werden. Für Operations ist wichtig, ob Lager- und Produktionsprozesse auch bei Störungen kontrolliert weiterlaufen können. NIS2 wirkt deshalb am besten, wenn sie nicht als IT-Sonderprojekt läuft, sondern entlang der Geschäftsprozesse umgesetzt wird.
NIS2 Anforderungen für Mittelstand in gewachsenen Systemen
Die schwierigste Frage lautet oft nicht, was ideal wäre, sondern was im Bestand realistisch ist. Viele mittelständische Unternehmen wollen ihre ERP-Investitionen schützen und keine riskanten Großumbauten auslösen. Das ist nachvollziehbar. NIS2 fordert nicht automatisch einen kompletten Neuaufbau.
Wichtiger ist, bestehende Systeme kontrollierbar zu machen. Das kann bedeuten, Zugriffe sauber zu segmentieren, Protokollierung zu verbessern, Alt-Berechtigungen zu bereinigen, Notfallwege zu definieren und externe Services enger zu steuern. In manchen Fällen reicht das weit. In anderen zeigt sich, dass einzelne Komponenten wirklich ersetzt oder neu angebunden werden müssen.
Gerade deshalb ist ein Partner hilfreich, der ERP, Betrieb und Sicherheit zusammen denkt. Nicht als Folienprojekt, sondern in der laufenden Umgebung. Bei Suppora ist genau das oft der entscheidende Punkt: kein Ticket-System, kein Call-Center, sondern direkte Arbeit an den tatsächlichen Schwachstellen in JDE-nahen Prozessen und Infrastrukturen.
Der häufigste Fehler: zu spät anfangen
Viele Unternehmen warten auf absolute Klarheit, ob sie formal unter NIS2 fallen. Das ist verständlich, aber riskant. Wer erst dann startet, wenn Fristen, Prüfungen oder Vorfälle Druck erzeugen, arbeitet fast immer reaktiv.
Sinnvoller ist ein gestufter Ansatz. Erst Transparenz schaffen. Dann kritische Risiken priorisieren. Danach Maßnahmen umsetzen, die Betrieb und Compliance gleichzeitig stärken. Das bringt auch dann Nutzen, wenn sich einzelne rechtliche Detailfragen noch konkretisieren.
Am Ende ist NIS2 kein Sonderthema für Auditoren. Es ist ein Realitätscheck für Ihre Betriebsfähigkeit. Wenn Ihr ERP geschäftskritisch ist, sollte auch Ihre Sicherheitsorganisation diesem Anspruch entsprechen. Je früher Sie damit beginnen, desto mehr Handlungsspielraum behalten Sie.