Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) stellt kleine und mittlere Unternehmen (KMU) in Deutschland vor neue Herausforderungen: Sie verschärft die Anforderungen an die IT-Sicherheit erheblich und verpflichtet beinahe alle Unternehmen zu umfassenden Sicherheitsstrategien, regelmäßigen Risikoanalysen und der Meldung von Sicherheitsvorfällen. Besonders KMU, die durch ihre Einbindung in Lieferketten und die damit oft verbundene digitale Vernetzung von NIS-2 betroffen sind und oft nur über begrenzte Ressourcen in der IT-Sicherheit verfügen, müssen sich nun verstärkt mit der Frage auseinandersetzen, wie sie die Anforderungen der NIS-2-Richtlinie umsetzen können. An diesem Punkt setzt das Projekt „KMU.kompetent.sicher.“ an.
Das Projekt wird von einem interdisziplinären Team aus Wissenschaftler*innen des SICP – Software Innovation Campus der Universität Paderborn, Expert*innen der Wirtschaftspädagogik, dem Innovationsnetzwerk InnoZent OWL sowie dem IT-Dienstleister coactum GmbH durchgeführt. Gefördert wird das Vorhaben von dem Bundesministerium für Wirtschaft und Klimaschutz mit rund 1 Million Euro. Anfang November fiel der Startschuss für das Projekt. Über einen Zeitraum von drei Jahren wird nun eine NIS-2-Kompetenzplattform entwickelt, die speziell auf die Bedarfe von KMU zugeschnittene Schulungsinhalte bietet. Das Projekt läuft bis Oktober 2027.
„Das NIS-2-Umsetzungsgesetz wird in Deutschland schätzungsweise 30.000 Unternehmen betreffen, darunter viele KMU, die oft mit begrenzten Ressourcen im Bereich der IT-Sicherheit kämpfen“, erklärt Prof. Dr. Simon Thanh-Nam Trang, Wirtschaftsinformatiker an der Universität Paderborn. „Im Gegensatz zu großen Unternehmen fehlen in KMU häufig spezialisierte IT- und Personalentwicklungsabteilungen sowie innerbetriebliches Wissen im Bereich IT-Sicherheit. Gefährlich werden kann dies vor allem in Kombination mit einem geringen Risikobewusstsein, was die Identifizierung und Bewältigung von Sicherheitsrisiken erschwert“, ergänzt Alina Kornbach von InnoZent OWL. Gefordert ist also eine kostenneutrale, intuitiv zu bedienende und individuell auf die Bedarfe der KMU ausgerichtete Lösung, die gleichzeitig die Anforderungen von NIS-2 berücksichtigt und KMU dabei unterstützt, die IT-Sicherheitsanforderungen effizient zu erfüllen. Genau diese Lösung wird im Projekt entwickelt.
Maßgeschneiderte Trainings für praxisnahe IT-Sicherheit
Ziel des Vorhabens ist eine bedarfsgerechte, nachhaltige Qualifizierung von Führungskräften und Mitarbeiter*innen im Bereich IT-Sicherheit. Hierzu werden bestehende Schulungsangebote und entwickelte Kompetenztests aus früheren Projekten wie „KMU. Einfach Sicher.“ und „ITS.kompetent“ weiterentwickelt und an die Anforderungen der NIS-2-Richtlinie und die Bedarfe der KMU angepasst. Zielformat sind kleine, handlungsorientierte „Learning Nuggets“, die den User*innen helfen, die komplexen Themen der IT-Sicherheit in überschaubaren Einheiten zu verstehen – unabhängig von ihrem Vorwissen. „Die didaktisch aufbereiteten Lerneinheiten können flexibel und in eigenem Tempo genutzt werden, sodass sie sich in den Berufsalltag integrieren lassen“, erläutert Prof. Dr. Julia Warwas, Professur für Wirtschaftspädagogik an der Universität Hohenheim.
Ein zusätzliches Highlight des Projekts ist der praxisorientierte Ansatz der Learning Nuggets: Um den Lernprozess zu fördern, setzt das Team auf Storytelling-Elemente und True-Crime-Beispiele. In diesen Trainingsbeispielen wird beispielsweise anschaulich gezeigt, wie Phishing-Angriffe funktionieren und welche schwerwiegenden Folgen sie für Unternehmen haben können. „Wir zeigen anhand von realen Fällen, wie Angreifende vorgehen, um sensible Daten zu stehlen, und welche Sicherheitsmaßnahmen Unternehmen ergreifen können, um sich zu schützen“, so Dominik Niehus, Geschäftsführer von coactum GmbH.
Kostenfreie Schulungsangebote für KMUs
Nach Abschluss des Projekts werden die entwickelten Schulungsinhalte und die digitale Plattform allen interessierten KMUs kostenlos zur Verfügung gestellt. So können Unternehmen aus ganz Deutschland von den innovativen und praxisnahen Lösungen profitieren, um ihre IT-Sicherheitsstrategie gemäß der NIS-2-Richtlinie zu optimieren.