Thought Leadership
Resilienz statt Audit-Compliance: Auf dem NIS2-Kongress 2026 in Frankfurt wurde deutlich, dass IT-Sicherheit ab sofort direkte Chefsache mit Haftungsrisiko ist.
Der erste Eindruck beim Betreten des Steigenberger Airport Hotels in Frankfurt am Main Mitte Mai 2026 ist schlichtweg überwältigend. Das Haus hat sich in eine Hochfestung der digitalen Verteidigung verwandelt. Überall flimmern Bildschirme mit Live-Dashboards, Menschen in dunklen Anzügen diskutieren intensiv mit IT-Experten in Sneakern, und über allem liegt die elektrisierende Atmosphäre einer Branche, die weiß, dass sie gerade die Regeln für die nächsten Jahrzehnte schreibt. Als Besucherin, die zum ersten Mal die Luft eines solchen Branchengipfels atmet, ist die schiere Größe und Vielfalt fast schon einschüchternd. Doch spätestens in der ersten Reihe des großen Plenarsaals weicht die Unsicherheit einem Gefühl von Relevanz. Man fühlt sich hier sofort wohl und gesehen. Man sitzt nicht nur am Rand, sondern ist Teil eines Diskurses, der weit über die IT-Abteilungen hinausreicht und die Grundfesten der deutschen Wirtschaft berührt.
Prävention beginnt bereits im Klassenzimmer
Den Auftakt macht Prof. Dr. Roman Poseck, der hessische Minister des Innern, für Sicherheit und Heimatschutz. Seine Erscheinung strahlt die notwendige Gravitas aus, wenn er mit Nachdruck fordert: „Cybersicherheit muss zur Chefsache werden.“ Für Poseck endet Sicherheit nicht an der gepanzerten Serverraumtür. Er plädiert leidenschaftlich für kontinuierliche Mitarbeiterschulungen und geht in seiner Vision noch einen entscheidenden Schritt weiter: Cybersicherheit gehört auch in Schulen, schon in Grundschulen. Die gesamte Bevölkerung müsse bei diesem gewaltigen Transformationsprozess mitgenommen werden, um eine kollektive Resilienz zu entwickeln. In der anschließenden Fragerunde zur digitalen Souveränität Deutschlands räumt er Nachholbedarf ein, betont aber zugleich, dass dieser Prozess in Arbeit sei. Besonders konkret wird es bei der technologischen Praxis: Hessen nutzt Palantir und er stehe dazu. Es ist ein Moment ehrlicher Realpolitik, der verdeutlicht, dass man im Kampf gegen hochprofessionelle Bedrohungen keine Zeit für rein ideologische Grabenkämpfe hat.
Der Cyber Dome und die gemeinsame Mission des Staates
Die Perspektive der Bundesregierung wird durch Barbara Kluge vertreten, die ständige Vertreterin der Abteilungsleitung CI des Bundesministeriums des Innern (BMI). Sie beschreibt Cybersicherheit als eine dauerhafte Aufgabe mit immer neuen, sich rasant entwickelnden Bedrohungsszenarien. Kluge formuliert drei klare Zielpfeiler. Erstens: Cybersicherheit muss als gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft verstanden werden. Ein konkretes Beispiel für diese Vision ist der sogenannte Cyber Dome. Parallel dazu müsse zweitens die digitale Souveränität konsequent gestärkt und drittens die Digitalisierung von Grund auf sicher gestaltet werden.
Cybersicherheit muss als Wirtschaftsfaktor begriffen werden.
Barbara Kluge, ständige Vertreterin der Abteilungsleitung CI des BMI)
Kluge verweist auf ein spezielles Maßnahmenbündel, das gemeinsam mit dem Bitkom geschnürt wurde, um auch mittlere und kleinere Unternehmen vor Ransomware zu schützen, da diese Attacken erheblichen Schaden anrichten. Dass Deutschland im Quantenbereich noch sehr weit vorn liegt, ist für sie ein strategisches Kapital, das es unter allen Umständen zu erhalten gilt.
Wetterbericht statt One-size-fits-all Lösungen
Einen der lebhaftesten Vorträge des ersten Tages liefert Oliver Keizers von Filigran. Er blickt auf 30 Jahre Erfahrung in der IT-Sicherheit zurück und stellt ernüchtert fest, dass ein einfacher, generalisierter Antivirus-Schutz heute faktisch wertlos ist. Keizers warnt davor, komplexe, individuelle Bedrohungen mit starren Standardlösungen abzuspeisen: „One-size-fits-all ist One-size-fits-none.“ Für die Führungsetagen bedeute das ein Erwachen aus der Delegations-Komfortzone. Die Zeiten, in denen man Sicherheit einfach wegdelegieren konnte, sind mit der NIS2-Ära endgültig vorbei. Die Haftung wandert direkt und unmissverständlich in das Büro des Vorstands. Seine zentrale These lautet: „Threat Intelligence ist wie ein morgendlicher Wetterbericht.“ Die Leitungsorgane billigen, überwachen, schulen und haften durch NIS2 nun persönlich. Nicht CISO oder SOC, sondern Vorstand und Geschäftsleitung. Umso wichtiger sei es, eine informierte Entscheidung durch Threat Intelligence zu treffen.
Die Brücke zwischen digitalen Bits und physischem Beton
Patrick Theuer, Leiter Resilienz bei der Deutschen Bahn AG, fordert im Plenum: „Wir müssen ein vernetzeres Miteinander finden.“ Für ihn ist Resilienz weit mehr als nur klassische IT-Sicherheit; es gehe um die Aufrechterhaltung kritischer Dienstleistungen und die untrennbare Verbindung von digitaler und analoger Welt. Theuer plädiert für eine einheitliche Risiko-Logik für das gesamte Unternehmen. Er zieht Vergleiche: Wer ein Gelände physisch sichert, schützt damit auch die Netzwerkinfrastruktur. Zutrittskontrolle ist für ihn heute gleichbedeutend mit Zugriffskontrolle. Ein Sicherheitsvorfall sei ein Ereignis, das aus den beiden Perspektiven OT und IT betrachtet und gemeinsam, etwa durch gemeinsame Meldewege, gelöst werden müsse. Das Krisenmanagement diene dabei als strategische Klammer, die IT- und OT-Perspektiven vereint. In seinem Modell fungiert das Business Continuity Management (BCM) als zentrales Bindeglied und Hebel, um die Anforderungen von NIS2 und der CER-Richtlinie (Critical Entities Resilience) ressourcenschonend miteinander zu verzahnen.
„Resilienz bietet eine Brücke zwischen physischer und digitaler Welt. NIS2 und CER liefern wesentliche Bausteine zur Resilienz. Die Verzahnung ist zielführend und schont Ressourcen.“
Patrick Theuer, Leiter Resilienz bei der Deutschen Bahn AG
Proof Pack statt reiner Dokumentation auf dem Papier
Prof. Dr. Oliver Weissmann von Axians konkretisiert den regulatorischen Rahmen der neuen NIS2-Richtlinien. Er betont, dass zum ersten Mal Cyber-Risikomanagementmaßnahmen verbindlich sind und eine echte Nachweispflicht für KRITIS-Betreiber besteht. Die Leitungsebene werde dadurch zum aktiven Steuerungspunkt im täglichen Betrieb. Weissmann kündigt das Ende der reinen Edit-Evidenz an, die oft nur für den Tag der Prüfung erstellt wurde. Stattdessen werde ein sogenanntes Proof Pack benötigt, um die operative Konformität dauerhaft zu belegen.
Michael Baumgart von Akarion ergänzt diese Sichtweise mit einer notwendigen Portion Realismus. Er stellt unmissverständlich klar, dass ein funktionierendes ISMS unternehmenskritisch ist und der Aufbau dort in der Regel mehr als 12 Monate dauert, auch wenn Marktbegleiter etwas anderes versprechen. Sein Credo für den Umgang mit der neuen Flut an bürokratischen und technischen Vorschriften lautet: „Managing Complexity is Hiding Complexity.“ Es gehe darum, die enorme Tiefe der Anforderungen für die Anwender handhabbar zu machen, ohne dabei die tatsächliche Sicherheit zu verwässern.
Die Milliardenlast der digitalen Unsicherheit in Deutschland
Den wohl härtesten Schlag des ersten Kongresstages liefert Dr. Stefan Ransom von TTS. Er eröffnet seinen Deep-Dive mit einem berühmten Zitat der Boxlegende Mike Tyson: „Everyone has a plan until they get punched in the mouth.“ In der digitalen Realität Deutschlands manifestiert sich dieser Schlag in 119 neuen Schwachstellen – und das an jedem einzelnen Tag. Die Statistiken, die er präsentiert, sind deutlich: In 60 Prozent der Fälle ist Phishing der primäre Erstzugang für Angreifer, technische Schwachstellen machen 21 Prozent aus. Die wirtschaftlichen Folgen sind laut Ransom erheblich. Er beziffert die Gesamtschulden für die deutsche Wirtschaft im Jahr 2025 auf 289,2 Milliarden Euro. Davon entfallen allein 202 Milliarden Euro, also rund 70 Prozent, auf Schäden, die direkt durch Cyberangriffe verursacht wurden. Sein Lösungsweg führt über drei klare Säulen: die technische Eindämmung durch ICMS, die Sicherung der Betriebsfähigkeit durch BCM und ein übergreifendes Krisenmanagement, das alle Perspektiven übereinander kriegt.
Der erste Tag des NIS2-Kongresses 2026 lässt keinen Zweifel daran, dass Cybersicherheit in Deutschland endgültig erwachsen geworden ist. Es geht nicht mehr um bunte Werbeversprechen oder isolierte Softwarelösungen, sondern um harte Fakten, persönliche Haftung der Geschäftsführung und die tiefe Erkenntnis, dass Resilienz eine gesamtgesellschaftliche Aufgabe ist. Für eine Besucherin, die zum ersten Mal in der ersten Reihe diese Luft geatmet hat, bleibt die Erkenntnis, dass hinter all der Komplexität ein klares, gemeinsames Ziel steht: unsere digitale Souveränität in einer zunehmend feindseligen Welt zu verteidigen. Frankfurt hat eindrucksvoll gezeigt, dass die Pläne geschmiedet sind. Jetzt folgt der Proof Pack in der harten Realität des Marktes.
