Paradigmenwechsel durch NIS2: Cybersicherheit muss alle Risiken entlang der Geschäftsprozesse berücksichtigen – nicht nur technische Schwachstellen.
Ganzheitliches Exposure Management: Unternehmen müssen ihre gesamte Angriffsfläche kennen – inklusive IT, OT, Cloud, Identitäten und organisatorischer Faktoren.
Risikobasierte Priorisierung: Schwachstellen sollten nach geschäftlicher Relevanz und tatsächlicher Ausnutzbarkeit bewertet werden, nicht allein nach CVSS‑Scores.
Technologische Umsetzung mit Kontext: Plattformen wie Tenable One kombinieren technische Bewertung (CVSS) mit Threat Intelligence und Asset‑Kritikalität (VPR + ACR).
Strategische Bedeutung für Resilienz: Nur ein kontextbasiertes, transparentes Vorgehen erfüllt die Anforderungen der NIS2 und stärkt langfristig die Cyberresilienz.

Mit der Verabschiedung des NIS2-Umsetzungsgesetzes durch den Bundestag stärkt der Gesetzgeber nicht nur die Resilienz kritischer Sektoren, sondern verankert gleichzeitig den sogenannten Allgefahrenansatz fest im deutschen IT-Sicherheitsrecht. Dieser Ansatz macht unmissverständlich klar: Cybersicherheit darf sich nicht länger auf die Behebung einzelner technischer Schwachstellen beschränken – sie muss alle Risiken entlang der Geschäftsprozesse berücksichtigen.

Für viele Organisationen bedeutet das einen tiefgreifenden Paradigmenwechsel. Denn wer den Allgefahrenansatz ernst nimmt, muss die eigene Angriffsfläche ganzheitlich kennen, bewerten und priorisieren. Klassisches Vulnerability Management – die reine Verwaltung technischer CVEs – wird dieser Anforderung nicht länger gerecht.

Warum klassische Schwachstellenbewertung an ihre Grenzen stößt. Noch immer agieren viele Unternehmen dabei mit einem ausgeprägten Tunnelblick: Sie ordnen Schwachstellen vor allem anhand ihrer technischen Kritikalität und konzentrieren sich reflexartig auf Fälle mit hohen CVSS-Werten. In der Folge bleiben vermeintlich weniger gravierende Schwachstellen oft monatelang offen – obwohl sie in der Praxis für Angreifer deutlich attraktiver sein können. Das liegt daran, dass der CVSS-Score ein rein technisches Messinstrument bleibt. Er sagt nichts darüber aus, wie geschäftskritisch das betroffene System ist, wie leicht die Schwachstelle tatsächlich ausgenutzt werden kann oder welche wirtschaftlichen Folgen ein Angriff hätte.

Ein einfaches Beispiel verdeutlicht die Problematik: Eine CVE mit dem Wert 9.0 auf einem isolierten, segmentierten Gerät kann am Ende weit weniger relevant sein als eine CVE 6.0 auf dem Notebook des CFOs. Trotzdem würden viele Unternehmen erstere höher priorisieren – ein Vorgehen, das im Widerspruch zu den Anforderungen der NIS2 steht und die Gefahr schwerer Betriebsunterbrechungen erhöht.

Ganzheitliches Exposure Management als Voraussetzung für Transparenz. Um Risiken realistisch einschätzen zu können, müssen Unternehmen zunächst ihre gesamte Angriffsfläche kennen. Diese umfasst heute nicht nur klassische IT-Systeme, sondern ebenso Cloud-Umgebungen, Identitäten, OT-Anlagen, externe Softwaremodule und organisatorische Faktoren. Der Allgefahrenansatz der NIS2 lässt keinen Zweifel daran, dass überall dort, wo Menschen, Technologien und Prozesse ineinandergreifen, Schwachstellen entstehen können.

Im Fokus moderner Sicherheitsstrategien muss daher stets ein ganzheitliches Exposure Management stehen, das alle diese Bereiche integriert abbildet. Erst wenn transparent wird, wie Assets miteinander verknüpft sind, welche Rolle sie im Geschäftsprozess spielen und welche Risiken sich aus ihren Abhängigkeiten ergeben, entsteht die nötige Transparenz für fundierte Entscheidungen.

Risikobasierte Priorisierung als Schutz der Geschäftsprozesse. Transparenz ist jedoch nur die Grundlage. Die entscheidende Frage lautet, welche Risiken zuerst adressiert werden müssen, um den Geschäftsbetrieb zu schützen. Die NIS2 fordert hier explizit einen geschäftsprozessorientierten Ansatz. Im Mittelpunkt steht also in der Regel der Schutz der Umsatzgenerierung und anderer kritischer Abläufe – und der lässt sich nicht allein aus technischen Metriken ableiten.

Ein risikobasiertes Schwachstellenmanagement verbindet deshalb mehrere Ebenen miteinander: die technische Kritikalität einer Schwachstelle, ihre tatsächliche Ausnutzbarkeit und die Bedeutung des betroffenen Systems für den Geschäftsbetrieb. Erst aus diesem Zusammenspiel ergibt sich ein objektives Ranking der Prioritäten. Entscheidungen dürfen dabei nicht auf Bauchgefühl beruhen, und sie liegen auch nicht ausschließlich im Verantwortungsbereich der IT. Sie gehören auf die Ebene der Geschäftsführung, denn nur dort ist bekannt, wo Prozesse zusammenlaufen und welche Auswirkungen ein Ausfall hätte.

Wie Tenable diesen Ansatz technologisch umsetzt. Wie das in der Praxis funktionieren kann, zeigt das Beispiel von Tenable, das im aktuellen Gartner-Bericht als Leader im Bereich Exposure Management eingestuft wird. Die Plattform Tenable One verfolgt einen vollständig kontextualisierten Ansatz und ergänzt die klassische technische (CVSS-)Bewertung um zusätzliche Dimensionen.

Eine zentrale Rolle spielt dabei das Vulnerability Priority Rating (VPR). Es verbindet die CVSS-Bewertung mit aktueller Threat Intelligence und berücksichtigt dabei, ob eine Schwachstelle tatsächlich im Fokus von Angreifern steht und wie wahrscheinlich eine zeitnahe Ausnutzung ist. So kann eine vermeintlich mittelkritische Schwachstelle plötzlich höher bewertet werden als eine, die zwar technisch gravierend ist, aber praktisch keine Relevanz im Angriffsverhalten zeigt.

Ergänzt wird der VPR-Score dann durch das Asset Criticality Rating (ACR), bei dem die Unternehmen selbst festlegen, welchen Wert ein Asset für ihre Geschäftsprozesse besitzt. Diese Bewertung erfolgt in enger Zusammenarbeit mit den Fachabteilungen und schafft den geschäftlichen Kontext, der herkömmlichen Bewertungssystemen fehlt.

Aus der Kombination von VPR und ACR ergibt sich der finale Asset Exposure Score, der die reale Bedeutung einer Schwachstelle sichtbar macht. Er zeigt präzise, welche Schwachstellen auf welchen Systemen die größten Risiken für den Geschäftsbetrieb darstellen. Auf dieser Basis lassen sich Prioritäten so setzen, dass Ressourcen dort eingesetzt werden, wo sie den größten Schutz liefern – und nicht dort, wo ein technischer Score am höchsten erscheint. So wird vermieden, dass die CVSS 9.0 auf dem unkritischen Kantinendisplay -sofort geschlossen wird, während eine CVSS 6.0 auf einem hochsensiblen Finanzserver stunden- oder tagelang unbeachtet und offen bleibt.

Risikobasierte Sicherheit als Antwort auf komplexe Bedrohungen. Die heutigen IT- und OT-Umgebungen sind hochgradig dynamisch und fragmentiert – und bieten mit ihren vielfältigen Abhängigkeiten auch zahlreiche Ansatzpunkte für gezielte Cyberattacken. Das wissen auch die Angreifer, die sich ihrerseits immer weiter professionalisieren und ihre Aktivitäten auf genau die Schwachstellen ausrichten, die den größten wirtschaftlichen Nutzen versprechen – unabhängig vom technischem Schweregrad.

Ansätze, die Risiken messbar machen und datengestützte Entscheidungen ermöglichen, gewinnen in dieser Gemengelage immer mehr an Bedeutung. Unternehmen, die ein risikobasiertes Schwachstellenmanagement implementieren, reduzieren Ausfallzeiten, stärken ihre Compliance, treffen Investitionsentscheidungen nachvollziehbarer und schaffen eine belastbare Grundlage für Versicherbarkeit und Resilienz. Während Branchen wie der Finanzsektor diese Denkweise bereits verinnerlicht haben, besteht vor allem in der Produktion, der Energiewirtschaft und dem Gesundheitswesen erheblicher Nachholbedarf.

Fazit: NIS2 ist ein Meilenstein – aber nur mit Exposure-basiertem Vorgehen erfüllbar. Die NIS2 zwingt Unternehmen dazu, Cybersicherheit strategisch anzugehen. Der Allgefahrenansatz unterstreicht, dass der Schutz kritischer Prozesse nur gelingen kann, wenn die Gesamtangriffsfläche sichtbar wird und Schwachstellen im Kontext ihrer geschäftlichen Bedeutung bewertet werden. Dies erfordert Plattformen, die vollständige Transparenz über alle Assets schaffen – von IT über OT bis zur Cloud und zu Identitäten – und klare Priorisierungen, die nicht allein technischen Scores folgen, sondern den tatsächlichen Business Impact berücksichtigen.

In einer Bedrohungslandschaft, die sich schneller verändert als je zuvor, ist diese Verbindung aus Transparenz und Kontext kein optionales Nice-to-Have mehr, sondern die Grundvoraussetzung für eine robuste Cybersicherheit. Das risikobasierte Vorgehen ist daher nicht nur ein strategischer Vorteil, sondern tatsächlich der Königsweg moderner Cyberresilienz.

Max Rahner,
Senior Business Development Manager
bei Tenable

Illustration: © Abstractart Factory | Dreamstime.com

680 Artikel zu „Cybersicherheit NIS2“

News | Business | Favoriten der Redaktion | Geschäftsprozesse | IT-Security | Services | Strategien

NIS2-Umsetzung: Bundestag beschließt endlich Cybersicherheitsgesetz

14. November 2025

Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar [1]. Mit dem im Deutschen Bundestag verabschiedeten Gesetz zur Umsetzung der europäischen NIS2-Richtlinie wird das nationale IT-Sicherheitsrecht umfassend modernisiert: Die Richtlinie erhöht die Anforderungen an die Cybersicherheit bestimmter Unternehmen sowie der Bundesverwaltung. Das Bundesamt für Sicherheit in…

Jetzt 25 % Ticketrabatt für »manage it« Leser

Max Rahner, Senior Business Development Manager bei Tenable

680 Artikel zu „Cybersicherheit NIS2“

Max Rahner,
Senior Business Development Manager
bei Tenable