Als wichtige oder besonders wichtige Einrichtung gemäß NIS-2-Gesetz müssen auch kleine und mittlere Unternehmen den Schutzbedarf ihrer Werte systematisch feststellen. Dabei ist es wichtig, pragmatisch vorzugehen und den Aufwand überschaubar zu halten. Die Schutzbedarfsfeststellung folgt im Optimalfall auf die Strukturanalyse. Grundlage bildet die Definition klarer Schutzbedarfskategorien. Bewährt haben sich einfache Stufen wie niedrig, mittel und hoch. Für jede Stufe sollten Kriterien festgelegt werden, die sich an den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit orientieren. Ein Ausfall mit erheblichen wirtschaftlichen Folgen oder einer Gefährdung von Personen führt automatisch zur Einstufung in die höchste Kategorie. Diese Definitionen sollten kurz dokumentiert und allen relevanten Personen bekannt sein, damit eine einheitliche Bewertung möglich ist. Im nächsten Schritt erfolgt die Schutzbedarfsfeststellung für zentrale Geschäftsprozesse und Anwendungen. Unternehmen sollten ihre wichtigsten Kernprozesse identifizieren, etwa Produktion, Kundenservice oder Buchhaltung, und prüfen, welche Folgen ein Ausfall hätte. Daraus ergibt sich die Einstufung der eingesetzten Anwendungen. Eine Produktionssteuerung wird häufig als hoch einzustufen sein, während ein Testsystem meist einen geringen Schutzbedarf aufweist. Anschließend sollten die eingesetzten IT-Systeme sowie IoT- und ICS-Geräte betrachtet werden. Hier hilft eine Inventarliste, die Systeme nach ihrer Bedeutung für den Geschäftsbetrieb zu bewerten. Produktionsanlagen oder zentrale Server sind meist kritischer als einzelne Arbeitsplatzrechner. Auch Gebäude, Räume und Werkhallen sind in die Betrachtung einzubeziehen. Standorte wie Rechenzentren, Produktionshallen oder Lager sind für den Geschäftsbetrieb von größerer Bedeutung als einfache Büroräume. Ergänzend sollten Kommunikationsverbindungen erfasst und bewertet werden. Dazu gehören die Internetanbindung, VPN-Verbindungen oder Netzwerke zu Lieferanten und Partnern. Besonders kritisch sind Leitungen, die für die Aufrechterhaltung der Produktion oder die Kundenkommunikation notwendig sind. Die Ergebnisse der Schutzbedarfsfeststellung bilden die Grundlage für konkrete Sicherheitsmaßnahmen. Bereiche mit hohem Schutzbedarf erfordern stärkere technische und organisatorische Vorkehrungen wie Redundanzen, Verschlüsselung oder strikte Zugriffskontrollen. Bereiche mit niedrigem Schutzbedarf können mit Basismaßnahmen abgesichert werden. Es empfiehlt sich, die Ergebnisse in einer kompakten Übersichtstabelle zusammenzufassen, Verantwortlichkeiten festzulegen und die Bewertungen regelmäßig, mindestens einmal jährlich oder nach größeren Änderungen, zu überprüfen. Für KMU ist entscheidend, die Vorgehensweise einfach zu halten und bestehende Strukturen zu nutzen. Eine klare, dokumentierte und regelmäßig aktualisierte Schutzbedarfsfeststellung reicht aus, um die Anforderungen des NIS-2-Gesetz wirksam zu erfüllen.