9 Juli 2026 / 12 Minuten Lesedauer
Wichtige Erkenntnisse
Sobald von NIS2 die Rede ist, stellen sich viele Unternehmen dieselben Fragen. Brauchen wir einen CISO? Müssen wir ISO 27001 einführen? Wie viele neue Richtlinien müssen erstellt werden? Werden wir ein Audit bestehen müssen? Diese Fragen sind völlig berechtigt. Meistens sind sie jedoch nicht die richtigen Fragen für den Einstieg.
Die größte Veränderung durch NIS2 besteht nicht in zusätzlicher Dokumentation oder neuen regulatorischen Anforderungen. Vielmehr verändert die Richtlinie grundlegend, wie Unternehmen Cybersicherheit verstehen und steuern.
Mit anderen Worten: NIS2 ist kein Projekt. NIS2 ist ein Rahmenwerk für das Management von Cyberrisiken. Genau deshalb beobachten wir bei der Umsetzung immer wieder dieselben Fehler.

Unternehmen investieren in neue Sicherheitstechnologien, ohne zu wissen, welche Systeme für ihren Geschäftsbetrieb tatsächlich kritisch sind. Sie erstellen umfangreiche Sicherheitsrichtlinien, testen jedoch nie, ob sie sich nach einem Ransomware-Angriff erfolgreich erholen könnten. Sie bestehen Compliance-Prüfungen, obwohl ein einzelnes falsch konfiguriertes Benutzerkonto einem Angreifer weitreichende Administratorrechte verschaffen könnte.
Das ist kein Problem der Regulierung. Es ist ein Problem der Prioritäten.
In diesem Beitrag analysieren wir daher nicht einzelne Artikel der NIS2-Richtlinie. Stattdessen betrachten wir die häufigsten Fehler bei der Umsetzung und zeigen, wie Unternehmen ein Sicherheitsprogramm aufbauen können, das nicht nur regulatorische Anforderungen erfüllt, sondern auch die Widerstandsfähigkeit gegenüber realen Cyberbedrohungen erhöht.
Wenn Ihr Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fällt, sollten Sie nicht bis zu einem Audit oder einer behördlichen Prüfung warten. Der Aufbau eines wirksamen Sicherheitsprogramms dauert Monate und nicht nur wenige Wochen.
Die NIS2-Richtlinie erweitert den Kreis der regulierten Unternehmen innerhalb der Europäischen Union erheblich. Sie betrifft deutlich mehr wesentliche und wichtige Einrichtungen als die bisherige NIS-Richtlinie und umfasst unter anderem Branchen wie Energie, Gesundheitswesen, Verkehr, digitale Infrastruktur, öffentliche Verwaltung, Fertigung sowie Managed Services.
Je früher ein Unternehmen mit der Vorbereitung beginnt, desto einfacher lassen sich Sicherheitsmaßnahmen in bestehende Prozesse integrieren.
Ein möglicher Implementierungsfahrplan könnte folgendermaßen aussehen:

Obwohl dieser Ablauf logisch erscheint, gehen viele Unternehmen genau den umgekehrten Weg. Anstatt zunächst Risiken zu analysieren, beschäftigen sie sich zuerst mit Technologien, Dokumentation oder Audits.
Die folgenden Kapitel zeigen die zehn häufigsten Fehler und erläutern, wie sie vermieden werden können.
Viele Unternehmen reagieren auf NIS2 zunächst mit der Erstellung neuer Richtlinien, Prozesse und Sicherheitsdokumente. Informationssicherheitsrichtlinien, Incident-Response-Pläne oder Business-Continuity-Konzepte sind zweifellos wichtig. Problematisch wird es jedoch, wenn Dokumentation zum eigentlichen Ziel wird.
Stellen Sie sich zwei Unternehmen vor: Das erste verfügt über eine hervorragend dokumentierte Sicherheitsorganisation, hat jedoch weder die Wiederherstellung aus Backups noch die Reaktionsfähigkeit auf einen Sicherheitsvorfall jemals getestet. Das zweite Unternehmen besitzt deutlich weniger Dokumentation, führt dafür aber regelmäßig Penetrationstests durch, überprüft kritische Systemkonfigurationen und trainiert Incident-Response-Szenarien. Welches Unternehmen ist besser auf einen echten Cyberangriff vorbereitet?
Dokumentation unterstützt Sicherheitsprozesse, schützt ein Unternehmen jedoch nicht. Deshalb bewertet NIS2 nicht in erster Linie die Existenz von Dokumenten, sondern die Fähigkeit eines Unternehmens, Risiken wirksam zu steuern und nachzuweisen, dass Sicherheitsmaßnahmen tatsächlich funktionieren.
Cybersicherheit ist längst keine reine IT-Disziplin mehr. Moderne Angriffe nutzen Schwachstellen in Geschäftsprozessen, menschliche Fehler und Risiken innerhalb der Lieferkette ebenso aus wie technische Sicherheitslücken. Deshalb beschränkt sich NIS2 nicht auf die IT-Infrastruktur, sondern setzt die Beteiligung des gesamten Unternehmens voraus.
Die Geschäftsleitung trifft Investitionsentscheidungen und trägt Verantwortung für das Risikomanagement. Die Personalabteilung verantwortet Onboarding, Offboarding und Security Awareness, der Einkauf bewertet Dienstleister mit Zugriff auf kritische Systeme und die Rechtsabteilung kümmert sich um regulatorische Anforderungen sowie vertragliche Verpflichtungen. Fehlt einer dieser Bereiche, reichen technische Sicherheitsmaßnahmen allein nicht aus.
Die erfolgreiche Umsetzung von NIS2 ist daher kein IT-Projekt, sondern ein unternehmensweites Vorhaben.
Sobald Unternehmen von den Anforderungen der NIS2-Richtlinie erfahren, investieren sie häufig als Erstes in neue Sicherheitslösungen. EDR, SIEM, PAM oder andere Security-Plattformen sollen die Cybersicherheit verbessern. Technologien sind zwar unverzichtbar, sollten aber niemals der Ausgangspunkt sein.
Zunächst muss ein Unternehmen seine eigene Umgebung verstehen. Welche Systeme sind geschäftskritisch? Welche Daten werden verarbeitet? Welche Dienste müssen auch im Falle eines Sicherheitsvorfalls verfügbar bleiben? Welche Auswirkungen hätte eine Kompromittierung dieser Systeme?
Ohne Antworten auf diese Fragen lassen sich Investitionen nicht sinnvoll priorisieren. Ein Unternehmen kann modernste Sicherheitslösungen einsetzen und dennoch genau die Schwachstelle übersehen, die das größte Risiko darstellt. Deshalb stellt NIS2 das Risikomanagement in den Mittelpunkt aller Sicherheitsmaßnahmen.
Viele Unternehmen sind überzeugt, dass ihre Sicherheitsmaßnahmen funktionieren, weil sie seit Jahren Firewalls, Multi-Faktor-Authentifizierung, Netzwerksegmentierung oder Backups einsetzen. Das bedeutet jedoch nicht automatisch, dass diese Maßnahmen korrekt konfiguriert oder gegen aktuelle Bedrohungen wirksam sind.
Cybersicherheit lässt sich nicht anhand der Anzahl eingesetzter Technologien bewerten. Sicherheitsmaßnahmen müssen regelmäßig überprüft werden.
Penetrationstests zeigen, wie ein realer Angreifer in die Infrastruktur eindringen könnte. Security Assessments decken Fehlkonfigurationen auf, bevor sie ausgenutzt werden. Red-Team-Übungen überprüfen, wie gut ein Unternehmen komplexe Angriffe erkennt und darauf reagiert. Ebenso wichtig sind regelmäßige Tests der Backup-Wiederherstellung sowie der Incident-Response-Prozesse.
Das größte Risiko besteht nicht im Fehlen von Sicherheitslösungen. Das größte Risiko besteht darin, anzunehmen, dass alles funktioniert, obwohl es nie überprüft wurde.
Cyberkriminelle greifen heute immer seltener ihr eigentliches Ziel direkt an. Stattdessen suchen sie nach dem schwächsten Glied in der Lieferkette. Das kann ein IT-Dienstleister, ein Softwareanbieter, eine Cloud-Plattform oder jeder andere Partner mit Zugriff auf interne Systeme sein.
Aus diesem Grund legt NIS2 deutlich mehr Wert auf die Sicherheit der Lieferkette als die bisherige Regulierung. Unternehmen sollten wissen, welche Dienstleister Zugriff auf kritische Systeme besitzen, welche Sicherheitsanforderungen für diese gelten und wie die damit verbundenen Risiken kontinuierlich bewertet werden.
Dabei geht es nicht darum, jeden Lieferanten zu auditieren. Entscheidend ist, diejenigen Partner zu identifizieren, deren Kompromittierung erhebliche Auswirkungen auf den Geschäftsbetrieb hätte, und für diese angemessene Sicherheitsmaßnahmen festzulegen.
Wenn von Cyberangriffen die Rede ist, denken viele zunächst an Angriffe über das Internet. In der Praxis beginnen erfolgreiche Angriffe jedoch häufig wesentlich einfacher. Angreifer stehlen Zugangsdaten, kompromittieren einen Arbeitsplatzrechner und bewegen sich anschließend innerhalb des internen Netzwerks.
Deshalb reicht es nicht aus, nur den Perimeter zu schützen. Unternehmen müssen auch ihre interne Infrastruktur kontinuierlich überwachen und absichern.
Ein besonders häufiges Ziel ist Active Directory. Gelangen Angreifer an privilegierte Konten, können sie oft große Teile der IT-Infrastruktur kontrollieren. Ursache sind dabei meist keine hochkomplexen Sicherheitslücken, sondern übermäßige Berechtigungen, veraltete Konfigurationen oder unzureichend verwaltete Identitäten.
Die regelmäßige Überprüfung von Identitäten, privilegierten Konten und Sicherheitskonfigurationen sollte daher fester Bestandteil jedes Cybersecurity-Programms sein.
Die Verlagerung von Systemen in die Cloud bietet mehr Flexibilität und eine höhere Verfügbarkeit von Diensten. Gleichzeitig entstehen jedoch neue Risiken. Viele Unternehmen gehen fälschlicherweise davon aus, dass für die Sicherheit der Cloud-Umgebung ausschließlich der Cloud-Anbieter verantwortlich ist.
Tatsächlich basiert Cloud-Sicherheit auf dem Prinzip der geteilten Verantwortung. Während der Anbieter die Cloud-Infrastruktur absichert, bleibt das Unternehmen selbst für die Konfiguration der Dienste, das Identitäts- und Zugriffsmanagement, den Schutz der Daten sowie die Umsetzung geeigneter Sicherheitsrichtlinien verantwortlich.
Fehlkonfigurationen von Cloud-Diensten gehören nach wie vor zu den häufigsten Ursachen für Datenlecks. Öffentlich zugängliche Speicherbereiche, zu weitreichende Berechtigungen oder fehlende Multi-Faktor-Authentifizierung sind in der Regel keine Fehler des Cloud-Anbieters, sondern die Folge einer unzureichenden Konfiguration.
Die Nutzung eines renommierten Cloud-Anbieters bedeutet daher nicht automatisch, dass die Cloud-Umgebung sicher ist.
Viele Unternehmen widmen der Cybersicherheit erst wenige Monate vor einem Audit oder einer behördlichen Prüfung besondere Aufmerksamkeit. Dokumentationen werden aktualisiert, offensichtliche Schwachstellen beseitigt und nach einem erfolgreichen Audit rückt das Thema Sicherheit wieder in den Hintergrund.
Dieser Ansatz war schon in der Vergangenheit problematisch. Mit NIS2 ergibt er jedoch noch weniger Sinn.
Die Bedrohungslage verändert sich täglich. Neue Schwachstellen werden entdeckt, Infrastrukturen wachsen, Konfigurationen ändern sich und Unternehmen führen neue Anwendungen oder Cloud-Dienste ein. Der Sicherheitsstatus eines Unternehmens lässt sich deshalb nicht anhand eines einzigen Audits beurteilen.
Unternehmen mit einem hohen Sicherheitsniveau betrachten Cybersicherheit ähnlich wie Qualitäts- oder Risikomanagement. Sie überwachen ihre Umgebung kontinuierlich, überprüfen regelmäßig die Wirksamkeit ihrer Sicherheitsmaßnahmen, bewerten neue Risiken und beheben Schwachstellen, bevor diese ausgenutzt werden können.
Genau dieser kontinuierliche Verbesserungsprozess gehört zu den Grundprinzipien der NIS2-Richtlinie. Ziel ist es nicht, sich auf ein einzelnes Audit vorzubereiten, sondern dauerhaft die Cyber-Resilienz des Unternehmens zu stärken.
Viele Unternehmen verfügen über einen Incident-Response-Plan. Deutlich weniger wissen jedoch, ob dieser im Ernstfall tatsächlich funktionieren würde.
Bei einem Sicherheitsvorfall reicht es nicht aus zu wissen, wen man anrufen muss. Das Incident-Response-Team muss seine Aufgaben kennen, das Management muss auch unter Zeitdruck fundierte Entscheidungen treffen können und das Unternehmen muss vorbereitet sein, mit Kunden, Geschäftspartnern, Behörden und der Öffentlichkeit zu kommunizieren.
Ein Ransomware-Angriff oder ein schwerwiegender Datenvorfall ereignet sich selten unter idealen Bedingungen. Zeitdruck, unvollständige Informationen und Entscheidungen mit direkten Auswirkungen auf den Geschäftsbetrieb gehören zum Alltag. Unternehmen, die ihre Prozesse nie getestet haben, stellen häufig erst während eines realen Vorfalls fest, dass Kontaktlisten veraltet sind, Verantwortlichkeiten unklar definiert wurden oder einzelne Maßnahmen in der Praxis nicht umsetzbar sind.
Ein Incident-Response-Plan sollte deshalb nicht nur dokumentiert, sondern regelmäßig getestet, geübt und weiterentwickelt werden.
Audits und Compliance-Prüfungen sind wertvolle Instrumente. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Sicherheitsprozesse zu verbessern und nachzuweisen, dass geeignete Maßnahmen umgesetzt wurden.
Problematisch wird es jedoch, wenn das erfolgreiche Bestehen eines Audits zum eigentlichen Ziel wird.
Unternehmen richten ihre Aktivitäten dann häufig ausschließlich auf den Auditzeitpunkt aus. Dokumentationen werden aktualisiert, fehlende Maßnahmen ergänzt und offensichtliche Schwachstellen beseitigt. Nach Abschluss des Audits verliert das Thema Cybersicherheit jedoch oft wieder an Priorität.
Cyberkriminelle interessiert nicht, ob ein Unternehmen ein Audit bestanden hat. Sie interessieren sich für ungepatchte Systeme, falsch konfigurierte Cloud-Dienste, übermäßige Berechtigungen oder verwundbare Anwendungen.
NIS2 sollte deshalb nicht als einmalige Compliance-Aufgabe verstanden werden, sondern als Rahmenwerk für ein kontinuierliches Cyber-Risikomanagement. Ein Audit bestätigt lediglich den Sicherheitsstatus zu einem bestimmten Zeitpunkt. Es garantiert jedoch nicht, dass das Unternehmen auch Monate später noch denselben Sicherheitsstandard aufweist.
Das eigentliche Ziel besteht nicht darin, ein Audit zu bestehen, sondern ein Sicherheitsprogramm aufzubauen, das Risiken kontinuierlich identifiziert, Sicherheitsmaßnahmen überprüft und die Cyber-Resilienz langfristig verbessert.
Wie sieht ein Unternehmen aus, das auf NIS2 vorbereitet ist?
Es gibt keine universelle Technologie oder Architektur, die automatisch zur Einhaltung der NIS2-Anforderungen führt. Jedes Unternehmen verfügt über unterschiedliche Geschäftsprozesse, Risiken und einen individuellen Reifegrad im Bereich der Cybersicherheit. Dennoch weisen erfolgreich vorbereitete Unternehmen einige gemeinsame Merkmale auf.
Es gibt keine universelle Technologie oder Sicherheitsarchitektur, die automatisch zur Einhaltung der NIS2-Anforderungen führt. Jedes Unternehmen verfügt über unterschiedliche Geschäftsprozesse, Risiken und einen individuellen Reifegrad im Bereich der Cybersicherheit. Dennoch weisen Unternehmen, die NIS2 erfolgreich umsetzen, einige gemeinsame Merkmale auf.
Wenn Sie sich eher in der linken Spalte wiederfinden, besteht kein Grund zur Sorge. Die meisten Unternehmen befinden sich irgendwo zwischen diesen beiden Extremen. Entscheidend ist, den aktuellen Reifegrad realistisch einzuschätzen und einen strukturierten Plan zur kontinuierlichen Verbesserung zu entwickeln.
NIS2 bringt keine Revolution der Technologien, sondern eine neue Denkweise in der Cybersicherheit.
Unternehmen können ihre Sicherheit nicht länger auf einmalige Projekte, regelmäßige Audits oder die Annahme stützen, dass einmal implementierte Sicherheitsmaßnahmen dauerhaft wirksam bleiben. Cyberbedrohungen entwickeln sich täglich weiter – und mit ihnen müssen sich auch die Sicherheitsprozesse eines Unternehmens kontinuierlich weiterentwickeln.
Penetrationstests, Security Assessments, Konfigurationsprüfungen, Schwachstellenmanagement und die Bewertung der Lieferkette sollten keine einmaligen Aktivitäten sein, sondern fester Bestandteil eines kontinuierlichen Sicherheitsprogramms.
NIS2 ist kein Ziel, das man einmal erreicht. NIS2 ist ein kontinuierlicher Prozess zur Stärkung der Cyber-Resilienz.
Alle Neuigkeiten
Bitte melden Sie sich für unseren Newsletter an, um alle wichtigen Neuigkeiten zu Cybersicherheit und ethischem Hacking zu erhalten.