FitNIS2 Navigator

Die überarbeitete EU-Richtlinie für Netzwerk- und Informationssicherheit betrifft rund 30.000 Unternehmen aus 18 verschiedenen Sektoren. Von Gesundheitseinrichtungen über Transportbetriebe bis zu Telekommunikationsanbietern – die Bandbreite ist erheblich. Durch ihre Einbindung in digitale Lieferketten sind auch viele kleine und mittlere Unternehmen von den neuen Vorgaben betroffen.

„Vor allem KMU kämpfen oft mit begrenzten Ressourcen im Bereich IT-Sicherheit und sind auf eine anbieterunabhängige Unterstützung angewiesen“, erklärt Prof. Dr. Simon Thanh-Nam Trang von der Universität Paderborn. Der Software Innovation Campus Paderborn (SICP), ein Forschungs- und Innovationsverbund der Universität mit Wirtschaftspartnern, hat deshalb zwei Projekte initiiert, die Abhilfe schaffen sollen.

Lernplattform mit modularem Aufbau

Das Projekt KMU.kompetent.sicher wird vom Bundesministerium für Wirtschaft und Energie mit rund einer Million Euro gefördert und läuft noch zwei Jahre. In Zusammenarbeit mit der Universität Hohenheim, dem Innovationsnetzwerk InnoZent OWL und dem IT-Dienstleister coactum entstand eine Trainingsplattform, die nach einem Jahr Entwicklungszeit nun verfügbar ist.

Die Plattform besteht aus kompakten Lerneinheiten, sogenannten Learning Nuggets, die modular aufgebaut sind. Video-Lerneinheiten, Quiz-Fragen und interaktive Aufgaben ermöglichen eine praktische Anwendung des Gelernten. Anhand von True-Crime-Beispielen wird etwa demonstriert, wie Phishing-Angriffe ablaufen, welche Folgen sie haben können und welche Schutzmaßnahmen wirksam sind.

Aktuell stehen die Lernpfade „NIS2-Grundschutz“ und „Bedrohungen richtig einschätzen“ zur Verfügung. Weitere Module zu Themen wie IT-Sicherheitskultur, Risikomanagement, Backup-Management, sicherer E-Mail-Umgang, Notfallmanagement, Passwortsicherheit und Ransomware sind in Planung. Das Konzept richtet sich sowohl an Geschäftsführungen als auch an Mitarbeitende und beinhaltet einen Regelkreislauf zur Identifikation von Schulungsbedarfen.

Navigator prüft Betroffenheit in drei Schritten

Parallel dazu entwickelte der SICP gemeinsam mit Deutschland sicher im Netz e.V. und der Transferstelle Cybersicherheit den FitNIS2-Navigator. Das Online-Tool analysiert in drei Schritten, ob und inwieweit ein Unternehmen von der Richtlinie betroffen ist.

Zunächst prüft das Tool, ob ein Unternehmen unter die Richtlinie fällt. Anschließend wird der aktuelle Erfüllungsgrad der NIS2-Anforderungen ermittelt. Im dritten Schritt erhalten Nutzende konkrete Handlungsempfehlungen zur Umsetzung der Vorgaben. Das Projekt wird vom Bundesministerium für Wirtschaft und Energie bis August 2026 gefördert und ist seit Juni 2025 kostenfrei verfügbar.

Die Resonanz ist beachtlich: Bereits drei Monate nach der Veröffentlichung wurde die Betroffenheitsprüfung 1500-mal abgeschlossen. 700 Teilnehmende führten zudem die Selbsteinschätzung zur Erfüllung der NIS2-Anforderungen durch. Damit erreichte das Tool die geplanten Nutzungsziele für das erste Halbjahr.

Derzeit wird der Navigator um spezifische Anforderungen für kleine Unternehmen erweitert, basierend auf dem CyberRisikoCheck des Bundesamts für Sicherheit in der Informationstechnik (BSI). In der nächsten Phase kommen branchenspezifische Kriterien hinzu. Unternehmen sollen künftig – abhängig von ihrer Branchenzugehörigkeit – gezielte Informationen zu ihrer NIS2-Betroffenheit sowie zu möglichen Überschneidungen mit weiteren Regulierungen erhalten.

„Beide Projekte bilden einen kostenfreien Einstieg in die NIS2-Thematik. Ein umfangreiches Veranstaltungsangebot ergänzt das Informationsangebot“, so Dr. Simon Oberthür, Leiter des Innovationsbereichs Digital Sovereignty am SICP.

The revised EU directive on network and information security affects around 30,000 companies from 18 different sectors. From healthcare facilities to transport companies to telecommunications providers – the range is considerable. Due to their integration into digital supply chains, many small and medium-sized enterprises are also affected by the new requirements.

“SMEs in particular often struggle with limited resources in the area of IT security and are dependent on vendor-independent support,” explains Prof. Dr. Simon Thanh-Nam Trang from the University of Paderborn. The Software Innovation Campus Paderborn (SICP), a research and innovation network between the university and industry partners, has therefore initiated two projects to remedy this situation.

Learning platform with a modular structure

The KMU.kompetent.sicher project is funded by the Federal Ministry for Economic Affairs and Energy with around one million euros and will run for another two years. In collaboration with the University of Hohenheim, the InnoZent OWL innovation network, and the IT service provider coactum, a training platform was developed that is now available after a year of development.

The platform consists of compact learning units, known as learning nuggets, which have a modular structure. Video learning units, quiz questions, and interactive tasks enable practical application of what has been learned. True crime examples are used to demonstrate how phishing attacks work, what consequences they can have, and which protective measures are effective.

The learning paths “NIS2 basic protection” and “Assessing threats correctly” are currently available. Additional modules on topics such as IT security culture, risk management, backup management, secure email handling, emergency management, password security, and ransomware are in the planning stages. The concept is aimed at both management and employees and includes a control loop for identifying training needs.

Navigator checks impact in three steps

At the same time, the SICP developed the FitNIS2 Navigator in collaboration with Deutschland sicher im Netz e.V. and the Cybersecurity Transfer Office. The online tool analyzes in three steps whether and to what extent a company is affected by the directive.

First, the tool checks whether a company falls under the directive. It then determines the current level of compliance with the NIS2 requirements. In the third step, users receive specific recommendations for action to implement the requirements. The project is funded by the Federal Ministry for Economic Affairs and Energy until August 2026 and has been available free of charge since June 2025.

The response has been remarkable: just three months after its release, the impact assessment had been completed 1,500 times. In addition, 700 participants carried out the self-assessment for compliance with the NIS2 requirements. The tool thus achieved its planned usage targets for the first half of the year.

The navigator is currently being expanded to include specific requirements for small businesses, based on the CyberRiskCheck of the Federal Office for Information Security (BSI). Industry-specific criteria will be added in the next phase. In the future, companies will receive targeted information on how NIS2 affects them and on possible overlaps with other regulations, depending on their industry.

“Both projects provide a free introduction to the topic of NIS2. A comprehensive range of events complements the information on offer,” says Dr. Simon Oberthür, Head of the Digital Sovereignty Innovation Unit at SICP.