Management Summary

NIS2 verschiebt Cybersicherheit von der Kür zur Pflicht: Seit Dezember 2025 gilt ein verbindlicher Rechtsrahmen, der tausende Organisationen verpflichtet, Informationssicherheit strukturell, nachweisbar und risikobasiert zu verankern – nicht als Projekt, sondern als Daueraufgabe.
Der Kern ist Verhältnismäßigkeit statt Formalismus: NIS2 verlangt keine generischen Policies, sondern kontextbezogene, begründete und wirksame Maßnahmen. Organisationen müssen ihre Risikoexposition realistisch bewerten und Governance‑Entscheidungen nachvollziehbar dokumentieren.
IS‑Governance‑by‑Design schließt die Lücke zwischen Papier und Praxis: Sicherheits‑ und Compliance‑Anforderungen müssen in Prozesse, Projektmethodik und Architektur integriert werden – nicht nachträglich angeflanscht. Transparenz, klare Rollenmodelle und verbindliche Checkpoints sind entscheidend.
Compliance entsteht im System, nicht im Dokumentenordner: Anforderungen müssen vor, während und nach Projekten wirksam umgesetzt werden – inklusive Schutzbedarfsanalyse, Security‑Reviews, kontinuierlicher Wirksamkeitsprüfung und klar geregelter Zuständigkeiten (RACI).
NIS2 ist ein Taktgeber für nachhaltige Cyberresilienz: Unternehmen, die regulatorische Anforderungen als strategischen Rahmen statt als Belastung begreifen, stärken Effizienz, Wiederherstellungsfähigkeit und Sicherheitskultur – und vermeiden teure Nacharbeiten, Auditmängel oder Vorfälle.

Wie NIS2 und eine konsequente Informationssicherheits-Governance- und Compliance-by-Design-Strategie den Unterschied zwischen reaktivem Flickwerk und nachhaltiger Cyberresilienz ausmachen.

Die Europäische Kommission hat mit der überarbeiteten Richtlinie zur Netz- und Informationssicherheit – kurz NIS2 – ein deutliches Signal gesetzt: Cybersicherheit ist keine freiwillige Kür mehr, sondern gesetzliche Pflicht. Dies betrifft in Deutschland tausende Unternehmen und öffentliche Einrichtungen, die seit 5. Dezember 2025 unter das nationale Umsetzungsgesetz fallen und sich bis zum 6. März 2026 registrieren mussten.

Die eigentliche Essenz für viele Organisationen: risikobasiert und verhältnismäßig

Wer die fachlichen Anforderungen des NIS2-Umsetzungsgesetzes liest, stößt unweigerlich auf drei verpflichtende Grundsätze, die alle Maßnahmen prägen müssen: gefahrenübergreifend ausgerichtet – verhältnismäßig dem jeweiligen Kontext sowie der Risikolage angemessen – nachweislich wirksam.

Wer NIS2 lediglich als weiteres Compliance-Projekt begreift und versucht, dieses mit viel Papierwerk oder einem 90-Tage-Fast-Track-Zertifikat abzuhaken, verpasst die eigentliche Botschaft des Gesetzes. Der Kern von NIS2 ist kein einmalig generiertes Dokumentenpaket, sondern ein risiko-basiertes, lebendes System, das den individuellen Kontext und die jeweilige Risikoexposition sowie das Prinzip der Verhältnismäßigkeit in den Mittelpunkt rückt.

Das bedeutet: NIS2 pauschalisiert nicht alle Organi-sationen. Ein mittelständischer Maschinenbauer mit 500 Mitarbeitern hat eine andere Risikoexposition als ein Gesundheitsdienstleister knapp unterhalb der KRITIS-Schwellwerte.

Genau darin liegt der Gestaltungsspielraum – und gleichzeitig die Pflicht, diesen begründet und nachvollziehbar auszufüllen. Verhältnismäßigkeit ist nicht Beliebigkeit, sondern bewusste, begründete und nachvollziehbare Abwägung.

Dem Ansatz der NIS2-Gesetzgebung, der auch in den Erwägungsgründen aufgeht, ist in der Realität Rechnung zu tragen. Compliance ist kein einmaliges Projekt, sondern integraler Bestandteil der eigenen Unternehmensabläufe und Richt-linien, der individuell kalibriert und auf den Kontext angepasst werden muss. Wer sich ein nicht individualisiertes, generisches Regelwerk auferlegt, wird feststellen, dass es ein Papiertiger bleibt.

In der Praxis zeigt sich immer wieder dasselbe Bild: Regelwerke existieren, Verantwortliche für Informationssicherheit sind benannt, technische und organisatorische Maßnahmen in unterschiedlicher Ausprägung und Qualität sind implementiert – und dennoch klafft oftmals ein empfindlicher Graben zwischen Regelwerk und gelebter Wirklichkeit in Prozessen, Infrastrukturen und im Betrieb.

Dieser Graben ist aus einer strukturellen Weichenstellung heraus entstanden: IS-Governance- und Compliance-Anforderungen wurden beispielsweise nicht in Abläufe, -Konzepte und Designs integriert, sondern nachträglich an-geflanscht. Sie sind in diesem Fall Beiwerk − erscheinen in der Regel am Ende eines Projektzyklus oder ungebeten erst nach Go-Live.

IS-Governance-by-Design: Integriert statt angeflanscht

Die Lösung liegt in einer fundamentalen Veränderung der Herangehensweise, an der sich viele Organisationen abmühen. Unbedingt erforderlich sind hier ein Management-Mandat und eine Kultur, die Sicherheit als integralen Bestandteil versteht, wenn nicht sogar als Qualitätsmerkmal. Zum einen werden klare Rollenmodelle mit definierten Schnittstellen zwischen IT, Fachbereichen und Informationssicherheit benötigt. Zum anderen ist Disziplin nötig, Informationssicherheitsschritte nicht nur zu definieren, sondern tatsächlich zu durchlaufen.

Best Practices: Drei Dimensionen des By-Design-Ansatzes

Dimension 1: Transparenz – Was sichtbar ist, kann gesteuert werden

Die erste Dimension eines wirksamen IS-Governance-by-Design ist Transparenz zu dem, was für die Wertschöpfung einer Organisation essenziell ist, besonderer Aufmerksamkeit bedarf und geschützt werden muss: Prozesse, Informationen, Personen, Services und IT.

Ohne Frage darf Transparenz kein einmaliges Inventa-risierungsprojekt bleiben, da in der Regel zumindest einige der folgenden Schritte berücksichtigt werden sollten: Security-Impact-Analyse, Gate-0 in der Projektinitiierung, ein schlanker »Hand-heben«-Moment zu Beginn eines Vorhabens − beispielsweise einer Prozessentwicklung oder eines IT-Vorhabens. Dabei ist es ratsam, folgende Fragen zu stellen: Welche Anforderungen gelten für dieses Vorhaben? Welche Risiken gehen damit einher? Was ist in Abläufen, Konzepten oder Designs zu berücksichtigen?

Dimension 2: System – Compliance entsteht nicht im Policy-Ordner

Compliance-by-Design entsteht nicht durch das Verfassen von Richtliniendokumenten, die im Intranet verstauben. Im Gegenteil, Compliance-by-Design entsteht durch systematische Eingriffe in Prozesse, Infrastrukturen und Projekte – in drei Phasen: vorher, während und nachher.

»Vorher« bedeutet: Anforderungen aus Regulatorik und internen Richtlinien fließen in die Anforderungsanalyse eines Projekts ein. Welcher Schutzbedarf besteht? Welche Compliance-Anforderungen stellt der Scope? Welche Entscheidungen haben regulatorische Konsequenzen?

»Während« bedeutet: Security- und Compliance-Schritte sind fester Bestandteil des Vorgehens – als konkrete Tätigkeiten oder standardisierte Checkpoints. Sie müssen nicht aufwendig, aber nachweisbar sein.

»Nachher« bedeutet: Ein Go-Live ohne Security-Review ist kein Go-Live, sondern ein Risiko. Die kontinuierliche Überprüfung der Wirksamkeit und Verhältnismäßigkeit von Maßnahmen ist kein Add-on, sondern Bestandteil des PDCA-Zyklus, den ein Informationssicherheitsmanagement (ISMS) ohnehin vorschreibt.

Dafür werden benötigt:

ein klares Management-Mandat, das diese Schritte nicht als optionale Best Practices, sondern als verbindliche Anforderung versteht
eine RACI-Matrix, die Zuständigkeiten eindeutig regelt
und die Bereitschaft, Prozesse tatsächlich anzupassen – nicht nur auf dem Papier.

Dimension 3: Umsetzung – Technologie alleine macht nicht »compliant«, das »Wie« entscheidet

Wirkliche Sicherheit und Effizienz entstehen, wenn organisatorische und technologische Entscheidungen von Anfang an mit dem Risiko- und Compliance-Kontext verzahnt sind: Der zum Beispiel technische oder funktionale Bedarf wird gemeinsam mit dem Risiko oder der konkreten Anforderung adressiert – die Dokumentation ist mit den tatsächlichen Anforderungen und der Notwendigkeit abgestimmt und handhabbar – Evidence-by-Design statt Evidence-by-Aufwand – Anforderungen, die regelmäßige Überprüfungen erfordern, werden von vornherein mitgedacht.

Eine GRC-Plattform, die Anforderungen, Controls, Risiken und Nachweise in einem kohärenten System zusammenführt, ist kein Luxus für Großkonzerne, vielmehr ein pragmatisches Werkzeug für jeden, der Compliance effizient gestalten will. Entscheidend ist dabei nicht die Plattform selbst, sondern die Zusammenarbeit zwischen IT, Fachbereichen und Compliance-Funktion sowie ein klarer »Übersetzer«, der technische und regulatorische Anforderungen in eine gemeinsame Sprache umsetzt.

Die Musik spielt – Organisationen entscheiden, ob Sie im Takt sind

NIS2 ist kein Einzelereignis − es ist Teil einer wachsenden regulatorischen Dichte, die Unternehmen in Europa zunehmend prägt. NIS2 ist ein Taktgeber und ein dauerhafter Zyklus. Wahrscheinlich werden Unternehmen, die Regulatorik bislang als Projektaufgabe mit definiertem Start- und Enddatum behandelt haben, diesen Zyklus als erhöhte Belastung empfinden.

Die Frage, die sich CISOs und CFOs gemeinsam stellen sollten, lautet nicht: »Wie viel kostet uns NIS2?«, sondern: »Welche Sicherheitsinvestitionen müssen wir angesichts unserer IT-Landschaft und der damit verbundenen Risiken für unsere Wertschöpfung realisieren, und wie hilft uns NIS2, dies aktiv zu steuern?«

Aber Achtung: Taktgeber sind keine Dirigenten. Sie geben lediglich den Rhythmus vor – das Spielen liegt bei den Unternehmen.

Für Unternehmen, die IS-Governance und Compliance bislang als Beiwerk behandelt haben, ist jetzt der Moment gekommen, die Weichen umzustellen. Nicht weil der Gesetzgeber droht, wenngleich die Bußgeldrahmen aus NIS2 durchaus schmerzhaft werden können, vielmehr weil die Alternative schlicht ineffizienter ist: Wer Compliance immer wieder nachzieht, zahlt in Form von Mehraufwand, Auditmängeln und Security-Nacharbeiten − und im schlimmsten Fall mit einem Sicherheitsvorfall, der mit entsprechenden Maßnahmen hätte verhindert werden können.

Zweifellos wird die Bedrohungslage nicht abnehmen. Die regulatorische Dichte auch nicht. Aber die Art und Weise, wie Unternehmen damit umgehen, kann sich grundlegend verändern. Vom reaktiven Feuerwehreinsatz zum proaktiven, integrierten Sicherheitsmanagement.

NIS2 hat für wichtige und besonders wichtige Einrichtungen einen klaren Rahmen gesetzt: risikobasiert, verhältnismäßig, nachweisbar wirksam. Wer diesen Rahmen nicht als Einschränkung, sondern als Gestaltungsprinzip begreift, wird feststellen: Der Takt war schon immer da. Es geht darum, von Anfang an mitzuspielen.

Als IT-Dienstleister und Managed Service Provider verfügt Controlware über langjährige Erfahrung und tiefgreifendes technisches Know-how aus der Praxis komplexer IT-Infrastrukturen. Informationssicherheit ist bei uns kein Randthema, sondern Kernkompetenz: von der Strategie über die operative Umsetzung von ISO 27001 bis hin zu den Anforderungen aus NIS2, CRA, DORA oder dem EU AI Act. Aufgrund fundierter Kompetenz im IT-Compliance-Umfeld kennen wir die regulatorischen Zusammenhänge und wissen, wie Unternehmen diese in den Alltag integrieren, ohne in bürokratischen Strukturen zu versinken.

Daniel Kammerbauer leitet bei Controlware den Bereich Governance, Risk & Compliance und verantwortet den Aufbau sicherer, auditierbarer IT‑Strukturen. Mit langjähriger Erfahrung in Informationssicherheit, Compliance‑Frameworks und regulatorischen Anforderungen unterstützt er Unternehmen bei der Umsetzung robuster Sicherheits‑ und Risikomanagementprozesse. Sein Fokus liegt auf praxisnaher Cybersecurity‑Governance, der Harmonisierung von Richtlinien und der nachhaltigen Verankerung von GRC‑Standards in komplexen IT‑Umgebungen.

www.controlware.de
blog.controlware.de

Illustration: © Md Nazmul Huda | Dreamstime.com

596 Artikel zu „NIS2 Resilienz“

News | Business | IT-Security | Services

NIS2-Umsetzung: Mehr digitale Resilienz für Europa

14. Oktober 2025

Experten begrüßen Kabinettsbeschluss – Dänemark als mögliches Vorbild für nächste Schritte? Ende Juli hat die Bundesregierung den Kabinettsbeschluss zur Umsetzung der EU-NIS2-Richtlinie gefasst und damit den Weg für strengere IT-Sicherheitsanforderungen in Deutschland geebnet. Doch während Deutschland hierbei noch ganz am Anfang steht, hat unser Nachbarland Dänemark die Richtlinie bereits vollständig in nationales Recht umgesetzt…