Thought Leadership
Mit der Umsetzung der EU-NIS2-Richtlinie steht Deutschland an einem Wendepunkt in der digitalen Sicherheit. Das Bundeskabinett hat im Sommer 2025 den Entwurf des Umsetzungsgesetzes beschlossen.
Anfang 2026 soll das Gesetz in Kraft treten. Rund 29.000 Unternehmen – von mittelständischen Betrieben über öffentliche Einrichtungen bis hin zu Betreibern kritischer Infrastrukturen – werden dann verpflichtet sein, deutlich strengere Sicherheitsstandards einzuhalten.
Für viele Organisationen bedeutet das eine grundlegende Anpassung ihrer Strategien und Prozesse. Was bisher „ausreichend“ erschien, wird bald nicht mehr genügen.
Überzeugung trifft auf Wirklichkeit
Eine aktuelle Untersuchung von SolarWinds zeigt: Deutsche Unternehmen bewerten ihre Widerstandsfähigkeit oft optimistischer, als sie tatsächlich ist. Zwar stufen 86 Prozent der befragten IT-Verantwortlichen ihr Unternehmen als resilient ein, doch die wenigsten erfassen Kennzahlen, die das auch belegen könnten – etwa die Zeit bis zur Wiederherstellung nach einem Vorfall oder die Dauer, bis Angriffe entdeckt werden.
Auch bei Zukunftsthemen zeigt sich Unsicherheit. Nur knapp ein Viertel der Befragten fühlt sich auf Herausforderungen wie Künstliche Intelligenz oder Bring-Your-Own-Device-Konzepte vorbereitet. Die Folgen unzureichender Absicherung sind klar: Unternehmen rechnen mit Umsatzeinbußen, Imageschäden und dem Verlust von Kundenzufriedenheit.
Sicherheit als dauerhafte Aufgabe
Cybersicherheit ist kein Projekt, das mit einem Stichtag abgeschlossen ist. Sie verlangt einen kontinuierlichen, proaktiven Ansatz. Konzepte wie „Secure by Design“ oder Zero Trust setzen genau hier an: Misstrauen wird zum Ausgangspunkt, und bestehende Prozesse müssen immer wieder infrage gestellt werden.
Kernstück dieses Ansatzes ist die Selbstprüfung. Organisationen, die regelmäßig ihre Abläufe kontrollieren, erkennen nicht nur Schwachstellen, sondern verhindern auch, dass Routine zur Gefahr wird.
Der Faktor Mensch
Oft sind es nicht technische, sondern organisatorische Fehler, die Angriffe erleichtern. Unvollständige Offboarding-Prozesse etwa können dazu führen, dass ehemalige Mitarbeitende noch lange Zugang zu sensiblen Daten haben. Jüngste Vorfälle in Kommunalverwaltungen haben gezeigt, welche Folgen mangelnde Kontrolle haben kann – von gestohlenen Daten bis zum Stillstand öffentlicher Dienste.
Deshalb braucht Resilienz mehr als Technik. Sie erfordert eine Sicherheitskultur, in der Transparenz, Eigenverantwortung und kontinuierliches Training fest verankert sind.
Fachkräftemangel als Risiko
Ein großes Hindernis bleibt der Personalmangel. Laut Bitkom fehlen in Deutschland derzeit über 100.000 IT-Fachkräfte – Tendenz steigend. Damit wächst die Gefahr, dass Organisationen trotz guter Absichten Sicherheitslücken nicht konsequent schließen können.
Automatisierung kann diesen Mangel teilweise abfedern, indem Routineprüfungen und Monitoring effizienter ablaufen. Doch ohne Kontrolle durch Menschen bleibt die Gefahr, dass ein falsch konfigurierter Prozess Fehler potenziert, statt sie zu vermeiden.
KI – Gefahr und Chance zugleich
Künstliche Intelligenz verschärft dieses Spannungsfeld. Angreifer nutzen sie für täuschend echte Phishing-Mails, Deepfakes oder automatisierte Schadsoftware. Gleichzeitig bietet KI Verteidigern neue Werkzeuge: verdächtige Verhaltensmuster lassen sich schneller erkennen, Reaktionszeiten verkürzen sich drastisch.
Dieses Paradox macht deutlich: Weder Automatisierung noch KI sind Allheilmittel. Ihr Nutzen hängt davon ab, wie kritisch Unternehmen sie überwachen und in bestehende Sicherheitsprozesse integrieren.
Jetzt handeln
Deutschland steht durch NIS2 und die zunehmende Bedrohungslage vor einer doppelten Herausforderung: den regulatorischen Anforderungen gerecht zu werden und gleichzeitig die eigene Resilienz realistisch zu stärken.
Das erfordert einen Kulturwandel: Zweifel als Grundprinzip, Selbstprüfung als Routine, Automatisierung mit Augenmaß und gemeinsame Verantwortung über alle Ebenen hinweg.
Wer diese Schritte frühzeitig einleitet, gewinnt mehr als nur Sicherheit – nämlich die Grundlage für digitale Handlungsfähigkeit in einer Welt, die sich schneller verändert, als viele Organisationen es bisher wahrhaben wollten.
