Als ich anfing, als Berater zu arbeiten, ging es bei Gesprächen über Cybersicherheit in Unternehmen fast immer um die Einhaltung von Vorschriften, die nicht verpflichtend sind. Rahmenwerke für bewährte Verfahren, Empfehlungen, freiwillige Standards. Etwas, das praktisch war, das Kunden oder Partnern einen Nutzen brachte, das aber selten strategische Entscheidungen beeinflusste.
Außerdem war es eindeutig ein technisches Gebiet. Es wurde an Spezialisten delegiert, die sich mit Systemen, Kontrollen und Konfigurationen befassten, und war weit entfernt von den Tischen, an denen die Richtung der Organisation wirklich entschieden wurde.
Im Laufe der Zeit hat sich diese Landschaft dramatisch verändert.
Erstens, weil Vorfälle nicht mehr nur hypothetische Szenarien waren, sondern zur alltäglichen Realität wurden. Zum anderen, weil ihre Auswirkungen nicht mehr nur in technischen Begriffen gemessen werden, sondern in Form von Serviceunterbrechungen, Vertrauensverlust, Sanktionen, rechtlichen Verpflichtungen und öffentlicher Bloßstellung zum Ausdruck kommen.
Durch diese Verschiebung der Größenordnung wurde die Einhaltung der Vorschriften nach und nach von einer empfohlenen Option zu einer gesetzlichen Verpflichtung. Aber es hat auch etwas weniger Offensichtliches und Unangenehmeres offenbart:
Die NIS2-Richtlinie ist eine klare Manifestation dieses Paradigmenwechsels.
Cybersicherheit ist nicht länger eine rein technische Angelegenheit, sondern eine unternehmerische Verantwortung, die von der Geschäftsleitung geteilt und beaufsichtigt wird. Sicherheit ist nicht länger etwas, das einfach delegiert wird: Es ist eine Frage der Führung, des Urteilsvermögens und der Verantwortung.
Es ist kein Zufall, dass in den letzten Monaten die NIS2 in den Diskussionen des Exekutivausschusses aufgetaucht ist. Sie wird oft erwähnt, aber selten in aller Ruhe oder in ihrer ganzen Dimension erklärt. Denn die NIS2 ist nicht nur ein neuer europäischer Standard: Sie spiegelt einen epochalen Wandel in der Art und Weise wider, wie digitale Sicherheit verstanden wird.
Mit dieser Richtlinie reagiert die Europäische Union auf die stetige Zunahme von Cyber-Vorfällen und die wachsende Abhängigkeit von digitalen Infrastrukturen und wichtigen Diensten. Die Cybersicherheit wird nun als eine Angelegenheit von öffentlichem, nicht nur von geschäftlichem Interesse betrachtet.
Der 18. Oktober 2024 markierte einen Wendepunkt: Die Richtlinie trat in Kraft. In Spanien – wie auch in anderen Mitgliedstaaten – steht die Umsetzung in nationales Recht noch aus, was zu Unsicherheit führt. Aber diese Unsicherheit lässt keinen Raum für Untätigkeit.
Zusammenfassung für den Lenkungsausschuss
Wenn Sie nur ein paar wichtige Informationen über die NIS2 haben, dann sollten es diese sein:
- Cybersicherheit ist nicht länger eine technische Angelegenheit.
Die NIS2 verlagert die Verantwortung auf das Management und die Verwaltung. Sie ist nicht länger etwas, das ohne Folgemaßnahmen delegiert wird, sondern eine Angelegenheit, die Urteilsvermögen, Aufsicht und Rechenschaftspflicht erfordert. - Compliance ist nicht gleichbedeutend mit Schutz.
Die Richtlinie zielt nicht darauf ab, Kontrollen anzuhäufen, sondern sicherzustellen, dass Organisationen ihre Risiken realistisch managen, insbesondere im Hinblick auf die Kontinuität von Dienstleistungen und die Lieferkette. - NIS2 ist kein technischer Standard, sondern ein Governance-Rahmenwerk.
Es schreibt keine bestimmten Tools oder Konfigurationen vor. Er verlangt Entscheidungen, Prozesse und Nachweise, um ein verantwortungsvolles Sicherheitsmanagement zu demonstrieren. - Das Risiko ist nicht mehr nur intern.
Zulieferer, Dritte und kritische Einrichtungen sind Teil des Verantwortungsbereiches. Viele der schwerwiegendsten Vorfälle ereignen sich genau in diesen toten Winkeln. - Vorsorge ist kein einmaliges Projekt, sondern ein System.
Diagnose, Steuerung, Risikobewertung, verhältnismäßige Maßnahmen, Schulung und kontinuierliche Überprüfung. Die NIS2 wird erfüllt, indem sie in die normale Funktionsweise der Organisation integriert wird, nicht durch isolierte Maßnahmen.
Dies ist die Logik des Ansatzes für die Richtlinie: weniger reaktive Dringlichkeit und mehr Aufbau eines Systems, das eine kohärente Entscheidungsfindung, Aktion und Demonstration ermöglicht.
Was NIS2 wirklich ist
Die NIS2 ist eine europäische Richtlinie, die ein gemeinsames Mindestmaß an Cybersicherheit für Organisationen festlegt, die in als kritisch oder wesentlich eingestuften Sektoren tätig sind. Sie ersetzt die erste NIS-Richtlinie und erweitert deren Anwendungsbereich, Anforderungen und Sanktionsregelungen erheblich.
Es handelt sich nicht um einen technischen Standard, der Ihnen vorschreibt, wie Sie Systeme einrichten oder welche spezifischen Tools Sie verwenden müssen. Sein Zweck ist ein anderer: Er soll sicherstellen, dass bestimmte Organisationen die Informationssicherheit auf verantwortungsvolle, strukturierte und kontrollierte Weise handhaben.
Die NIS2 legt daher weniger Wert auf konkrete Technologie, sondern mehr auf Governance, Entscheidungsfindung und die Fähigkeit, die Ausübung des Urteilsvermögens nachzuweisen.
Für wen NIS2 gilt
Eine der ersten Fragen, die sich viele Organisationen stellen, ist, ob die NIS2 sie wirklich betrifft. Die Antwort ist nicht immer offensichtlich, aber die Richtlinie stützt sich auf drei Hauptkriterien:
- Ort: Betrieb oder Erbringung von Dienstleistungen in der Europäischen Union.
- Größe: hauptsächlich mittlere und große Unternehmen, mit relevanten Ausnahmen.
- Wirtschaftszweig: sofern er zu den definierten kritischen Sektoren gehört.
Darüber hinaus wird in der NIS2 zwischen kritischen und bedeutenden Instituten unterschieden, eine Klassifizierung, die den Grad der Beaufsichtigung und das anwendbare Sanktionssystem bestimmt.
Einige Beispiele helfen, das Thema auf den Punkt zu bringen. Ein Krankenhaus fällt eindeutig in den Bereich der wesentlichen Einrichtungen. Ein Anbieter von Cloud-Diensten oder digitaler Infrastruktur fällt direkt unter die Richtlinie. Ein Hersteller kann betroffen sein, wenn er Teil einer kritischen Lieferkette ist. Und viele Unternehmen, die digitale Dienstleistungen für Dritte erbringen, sind betroffen, auch wenn sie sich dessen nicht immer bewusst sind.
Der Schlüssel liegt darin, zu verstehen, dass es nicht mehr nur darauf ankommt, was Sie intern tun, sondern für wen Sie es tun und welche Auswirkungen Ihre Tätigkeit auf das System als Ganzes hat.
Die Richtlinie unterscheidet zwischen zwei Arten von Unternehmen je nach ihrer Kritikalität. Es ist wichtig, herauszufinden, in welche Gruppe Ihre Organisation fällt, um zu verstehen, welchem Maß an Aufsicht Sie unterliegen:
| Kategorie | Wesentliche Entitäten | Relevante Entitäten |
| Sektoren | Energie, Gesundheit, Bankwesen, digitale Infrastruktur. | Verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft, Postdienste. |
| Überwachung | Proaktiv: Die Behörde kann jederzeit prüfen. | Reaktiv: Überwacht nach Hinweisen auf Nichteinhaltung oder Vorfälle. |
| Maximale Geldbußen | 10M€ oder 2% des weltweiten Umsatzes. | 7 Millionen oder 1,4% des weltweiten Umsatzes. |
Was NIS2 benötigt
Die NIS2 führt eine Reihe klarer Verpflichtungen ein, die von außen betrachtet anspruchsvoll erscheinen mögen, aber vernünftig sind, wenn man sie aus der Logik der guten Regierungsführung betrachtet.
Die erste große Veränderung hat mit der Führung zu tun. Führung ist nicht mehr optional. Das Management muss aktiv in das Cybersicherheitsmanagement einbezogen werden, die notwendigen Maßnahmen genehmigen, Risiken überwachen und Verantwortung übernehmen.
Zweitens rückt die Richtlinie das Risikomanagement in den Mittelpunkt, wobei ein besonderer Schwerpunkt auf der Lieferkette liegt. Die Frage lautet nicht mehr nur „sind wir geschützt“, sondern „was passiert, wenn ein wichtiger Lieferant oder eine Dienstleistung, von der wir abhängig sind, ausfällt“.
Auf der Grundlage dieser Analyse fordert NIS2 Mindestmaßnahmen, die nicht als komplexe technische Anforderungen, sondern als grundlegende organisatorische Praktiken zu verstehen sind: klare Richtlinien, Zugangskontrolle, Kontinuitätspläne, Vorfallsmanagement und verhältnismäßiger Einsatz von Kryptographie.
Ein weiteres Schlüsselelement sind die Berichtspflichten mit strengen Fristen, die eine Vorbereitung im Voraus und die Koordination zwischen verschiedenen Bereichen erfordern. In diesem Zusammenhang ist Improvisation keine gangbare Option mehr.
Was passiert, wenn sie nicht befolgt wird
Die Sanktionsregelung der NIS2 ist deutlich strenger als die der ursprünglichen Richtlinie. Aber es wäre ein Fehler, ihre Auswirkungen auf Geldbußen zu reduzieren.
Das eigentliche Risiko ist das des Rufes, der Verträge und des Betriebs. Die Nichteinhaltung von Vorschriften kann zu Vertrauensverlust, Ausschluss von Ausschreibungen, Kündigung von Verträgen oder Unterbrechung wichtiger Dienstleistungen führen. Und in vielen Fällen ist der am schwierigsten zu behebende Schaden nicht wirtschaftlicher Natur, sondern der Schaden für die Glaubwürdigkeit.
Erste Schritte: ein praktischer und realistischer Weg
Die Einhaltung der NIS2 ist kein einmaliges Projekt oder eine Übung zum Ankreuzen. Es handelt sich um einen fortlaufenden Prozess, der in die normale Funktionsweise der Organisation integriert werden muss.
Ein vernünftiger Ansatz beginnt in der Regel mit einer ehrlichen Diagnose. Danach ist es wichtig, eine klare Governance zu definieren und eine Risikobewertung durchzuführen, um Prioritäten zu setzen.
Auf dieser Grundlage wird ein realistischer Aktionsplan erstellt, der von einer klaren und konsistenten Dokumentation begleitet wird. Schulungen, Tests und regelmäßige Überprüfungen vervollständigen den Zyklus.
Sicherheit wird nicht schneller, ohne einen Preis zu zahlen: Sie erfordert Zeit, Wiederholungen und eine gewisse organisatorische Demut.
Beziehung zu anderen Frameworks: nicht bei Null anfangen
In vielen Fällen besteht die Herausforderung nicht darin, etwas Neues zu implementieren, sondern das bereits Vorhandene zu ordnen, ihm eine Governance-Logik zu geben und es konsistent demonstrieren zu können.
Die NIS2 ist eindeutig mit Rahmenwerken wie ISO 27001, dem National Security Scheme oder anderen Managementsystemen vereinbar. Viele Organisationen verfügen bereits über wiederverwendbare Verfahren und Nachweise.
Fazit: NIS2 ist nicht nur eine Anforderung, sondern eine Chance.
Die NIS2 markiert ein Vorher und Nachher. Sie erlegt Verpflichtungen auf, eröffnet aber auch eine klare Chance, die Cybersicherheit zu professionalisieren, die Widerstandsfähigkeit zu stärken und das Vertrauen des Marktes zu verbessern.
Es geht nicht darum, „NIS2 zu überleben“, sondern darum, es als Hebel zu nutzen, um Dinge besser zu machen.
Bei der Einhaltung der NIS2 geht es nicht um die Anhäufung von Dokumenten, sondern darum zu wissen, welche Risiken eingegangen werden, wer darüber entscheidet und wie man nachweisen kann, dass sie verantwortungsvoll gehandhabt werden.
Wenn die Organisation wächst, ist diese Vision nicht mehr mit dem Gedächtnis und Loseblattwerk zu bewältigen. An diesem Punkt ermöglicht ein System, das Risiken, Entscheidungen, Nachweise und kontinuierliche Überprüfung miteinander verbindet, dass die Rechenschaftspflicht überschaubar bleibt, ohne verwässert zu werden.
Bei ithikios arbeiten wir genau nach dieser Logik: Wir helfen dabei, die NIS2 im Laufe der Zeit in ein regierbares System zu verwandeln und nicht in eine einmalige Compliance-Übung.
