Interview

NIS2: Governance als Schwachstelle

LinkedInRedditWhatsApp

NIS2 rückt erstmals die Unternehmensführung ins Zentrum der Cybersicherheit und macht persönliche Haftung spürbar. Die größten Schwachstellen liegen nicht in Firewalls und Netzsegmenten, sondern in der Art, wie Vorstände Risiken bewerten und Entscheidungen treffen.

Viele Führungsetagen unterschätzen die rechtlichen Pflichten, die mit NIS2 entstehen, und reagieren zu spät oder zu oberflächlich. Thomas Kress erläutert, warum Governance im Jahr 2026 zur sicherheitskritischen Funktion wird und wie Unternehmen ihre Führung in die Lage versetzen, wirkliche Verantwortung zu übernehmen.

Anzeige

Welche Missverständnisse über NIS2 begegnen Ihnen derzeit am häufigsten und warum bremsen sie viele Unternehmen aus?

Thomas Kress: Wir sehen aktuell mehrere Missverständnisse, die Unternehmen beim Thema NIS2 erheblich ausbremsen. Viele reduzieren die Richtlinie noch immer auf ein IT-Security-Projekt. Damit bleibt der eigentliche Kern – nämlich die Anforderungen an Führung, Risikosteuerung und klare Verantwortlichkeiten – weitgehend unberücksichtigt. Wer NIS2 in der IT verortet, startet zu spät mit den organisatorischen Weichenstellungen.

Hinzu kommt die Erwartung, die Vorgaben würden am Ende abgeschwächt oder die Aufsicht agiere zunächst zurückhaltend. Diese Hoffnung auf Kulanz führt dazu, dass zentrale Aufgaben wie Risikoanalysen, Meldewege oder Lieferantensteuerung aufgeschoben werden – mit entsprechendem Rückstand in der Umsetzung.

Anzeige

Ein weiteres Muster ist die Delegation an die Rechtsabteilungen, häufig mit dem Ziel, sich formal als nicht betroffen zu erklären. Das verlagert die Diskussion weg von der notwendigen Governance-Perspektive und verzögert den Aufbau operativer Strukturen, die bereits heute vorbereitet werden müssten.

Und schließlich herrscht in vielen Organisationen Unsicherheit über den Geltungsbereich. Statt sich aktiv selbst zu klassifizieren, warten Unternehmen auf externe Klarheit – und verlieren damit entscheidende Zeit.

All diese Faktoren führen zu einer Governance-Lücke. Sie blockieren Entscheidungen und bremsen die Organisation insgesamt aus. Aus Sicht der Deutschen Cyberkom ist das einer der Hauptgründe, warum viele noch nicht in die Umsetzung kommen: Solange NIS2 nicht als Führungsaufgabe verstanden wird, entsteht weder Tempo noch Verbindlichkeit.

Welche ersten drei Schritte sollten Unternehmen sofort einleiten, um sich realistisch auf das Jahr 2026 vorzubereiten?

Thomas Kress: Für das Jahr 2026 brauchen Unternehmen ein Setup, das realistisch tragfähig ist und nicht auf kosmetischen Maßnahmen beruht. Aus unserer Sicht kristallisieren sich drei konkrete Startpunkte heraus, die sofort angestoßen werden sollten und die den größten Hebel für eine belastbare Vorbereitung haben.

Der erste Schritt besteht darin, eine klare Governance-Struktur zu etablieren. Unternehmen müssen Verantwortlichkeiten auf Führungsebene definieren, Entscheidungswege festziehen und ein verbindliches Reporting zu Cyberrisiken implementieren. Ohne diesen organisatorischen Rahmen laufen alle späteren Maßnahmen ins Leere, weil es keine klare Steuerung gibt.

Als zweites braucht es eine belastbare Risikoanalyse über alle kritischen Prozesse, Systeme und Abhängigkeiten hinweg – inklusive der Lieferkette. Viele Organisationen beginnen hier zu spät, obwohl genau diese Transparenz die Grundlage für Prioritäten, Budgets und technische wie organisatorische Maßnahmen darstellt.

Der dritte Schritt ist die gezielte Professionalisierung der Melde- und Reaktionsfähigkeit. Das umfasst klare Incident-Prozesse, abgestimmte Meldeketten und eine geübte Krisenorganisation. Ab 2026 müssen Unternehmen in der Lage sein, Vorfälle nicht nur technisch zu managen, sondern sie auch regelkonform und fristgerecht zu kommunizieren.

Diese drei Schritte schaffen die operative Basis, auf der alles Weitere aufbauen kann. Sie sorgen dafür, dass Unternehmen nicht nur regelkonform sind, sondern in eine Position kommen, in der sie ihr eigenes Risiko wirklich steuern. Aus Sicht der Deutschen Cyberkom ist genau das die Voraussetzung dafür, 2026 nicht im Modus des Aufholens, sondern im Modus der Gestaltung zu sein.

Wie viel Zeit benötigt eine Organisation typischerweise, um Governance, Rollen und Reporting so zu etablieren, dass die Anforderungen der Richtlinie erfüllt werden können?

Thomas Kress: Für die Etablierung einer funktionierenden Governance, klarer Rollen und eines belastbaren Reporting-Setups sollten Unternehmen realistisch von sechs bis zwölf Monaten ausgehen. Die Spannbreite ergibt sich daraus, wie ausgereift die vorhandenen Strukturen sind und ob bereits ein etabliertes Risikomanagement existiert. In Unternehmen, die über gewachsene Prozesse verfügen, lässt sich die Governance schneller justieren. In vielen Fällen müssen jedoch erst Verantwortlichkeiten neu definiert, Entscheidungswege angepasst und Reporting-Routinen aufgebaut werden.

Diese Arbeit ist weniger technisch als vielmehr organisatorisch – und genau das macht sie zeitintensiv. Rollen müssen abgestimmt, Schnittstellen zwischen IT, Fachbereichen, Recht und Management geklärt und Prozesse in der Praxis erprobt werden. Erfahrungsgemäß braucht es mehrere Iterationen, bis eine Organisation wirklich stabil handlungsfähig ist und die notwendigen Informationen zuverlässig fließen.

Aus meiner Sicht ist es daher entscheidend, früh anzusetzen. Nicht, um ein formales Häkchen zu setzen, sondern um eine Governance-Struktur zu schaffen, die im Ernstfall trägt und die Anforderungen der Richtlinie nicht nur erfüllt, sondern dauerhaft unterstützt.

Welche strukturellen Veränderungen sind aus Sicht der Unternehmensführung besonders wichtig, um Cybersicherheit nicht mehr als isoliertes IT-Thema zu behandeln?

Thomas Kress: Entscheidend ist, dass die Unternehmensführung Cybersicherheit als integralen Bestandteil der Steuerung versteht und nicht als technische Randdisziplin. Daraus ergeben sich klare strukturelle Weichenstellungen, die Organisationen nachhaltig verändern.

Aus Sicht der Unternehmensführung braucht es vor allem eine strukturelle Aufwertung des Themas. Cybersicherheit muss dort verankert werden, wo strategische Entscheidungen fallen. Das beginnt mit einer eindeutigen Verantwortlichkeit auf C-Level und der Einbindung des Themas in die reguläre Unternehmenssteuerung. Sobald Cyberrisiken denselben Stellenwert wie finanzielle oder operative Risiken erhalten, verändern sich Prioritäten, Ressourcen und Entscheidungsroutinen spürbar.

Wesentlich ist außerdem eine klare Trennung zwischen operativer IT-Sicherheit und der übergeordneten Steuerungsfunktion. Viele Organisationen erwarten von ihren technischen Teams gleichzeitig Governance, Risikoaufsicht und operative Umsetzung. Das führt zu Zielkonflikten und verhindert eine saubere Berichtslinie. Ein dediziertes GRC-Setup schafft hier Transparenz und ermöglicht der Führungsebene ein realistisches Lagebild.

Darüber hinaus müssen Reporting-Strukturen etabliert werden, die regelmäßig und strukturiert in die Geschäftsführung hineinspielen. Cyberrisiken dürfen nicht erst im Incident sichtbar werden. Führung benötigt kontinuierliche Kennzahlen, Trendanalysen und eine Bewertung der organisatorischen Resilienz. Dieses Reporting ist einer der stärksten Hebel, um Cybersicherheit aus der technischen Ecke herauszulösen.

Aus Sicht der Deutschen Cyberkom entsteht erst durch diese strukturellen Veränderungen der notwendige Kulturwandel: Weg vom reaktiven IT-Fokus hin zu einem unternehmensweiten Steuerungsansatz, der Cybersicherheit als festen Bestandteil der Unternehmensführung begreift.

Was passiert mit Unternehmen, die zu spät reagieren oder die Umsetzung auf ein rein technisches Projekt reduzieren?

Thomas Kress: Unternehmen, die zu spät reagieren oder NIS2 ausschließlich als technisches Projekt behandeln, geraten strukturell ins Hintertreffen. Sie schaffen es nicht, die notwendige Governance aufzubauen und damit auch nicht die Transparenz, die für eine wirksame Steuerung der eigenen Cyberrisiken notwendig wäre. Das führt dazu, dass Maßnahmen punktuell und reaktiv bleiben, statt auf einer belastbaren Risikobewertung zu basieren.

In der Aufsichtspraxis hat das unmittelbare Folgen: Ohne klare Rollen, Verantwortlichkeiten und ein funktionierendes Reporting können Unternehmen die gesetzlichen Anforderungen schlicht nicht erfüllen. Verpasste Meldefristen, unzureichende Dokumentation und fehlende Entscheidungswege werden dann schnell zu Compliance-Verstößen. Die Richtlinie ist hier ausdrücklich auf Durchsetzung ausgelegt – mit entsprechenden Sanktionen und Haftungsrisiken für das Management.

Parallel entsteht ein operatives Risiko. Wenn Organisationen Governance und Steuerung vernachlässigen, wird die Krisenfähigkeit massiv geschwächt. Technische Teams werden alleine gelassen, Entscheidungen dauern zu lange, und im Ernstfall fehlt die strukturierte Reaktion. Viele Unternehmen unterschätzen, wie stark sich das auf Verfügbarkeit, Reputation und Kundenvertrauen auswirkt.

Die größte Gefahr ist jedoch strategischer Natur: Wer NIS2 als reines IT-Thema behandelt, verpasst die Chance, Cybersicherheit als Managementaufgabe zu verankern und die eigene Resilienz nachhaltig zu stärken. Das führt langfristig zu höheren Risiken, höheren Kosten und einer deutlich geringeren Wettbewerbsfähigkeit.

Welche Rolle spielt die Nachweisbarkeit von Entscheidungen für die persönliche Haftung und wie können Unternehmen diese Anforderung pragmatisch erfüllen?

Thomas Kress: Die Nachweisbarkeit von Entscheidungen ist einer der zentralen Hebel, wenn es um die persönliche Haftung von Geschäftsführung und Vorstand geht. Die Richtlinie fordert nicht nur, dass Unternehmen angemessene Maßnahmen umsetzen, sondern auch, dass die Führungsebene nachweisen kann, wie Entscheidungen zustande gekommen sind. Genau an dieser Stelle wird sichtbar, ob eine Organisation ihr Cyberrisiko tatsächlich steuert oder nur verwaltet.

Für die persönliche Haftung bedeutet das: Entscheidungen müssen begründet, dokumentiert und im Kontext der jeweiligen Risiko- und Bedrohungslage nachvollziehbar sein. Wer im Ernstfall nicht belegen kann, warum bestimmte Maßnahmen gewählt oder priorisiert wurden, befindet sich schnell in einer Beweislastumkehr. Die Frage lautet dann nicht mehr, ob eine Maßnahme getroffen wurde, sondern ob sie verantwortungsvoll getroffen wurde.

Pragmatisch lässt sich diese Anforderung durch drei Elemente erfüllen. Erstens braucht es ein klares, regelmäßiges Reporting an die Unternehmensführung, das Risiken, Maßnahmen und Entscheidungen strukturiert abbildet. Zweitens müssen Entscheidungsprozesse dokumentiert werden – nicht bürokratisch, sondern so, dass ersichtlich wird, auf welcher Grundlage Prioritäten gesetzt wurden. Drittens sollte die Organisation ein wiederkehrendes Format etablieren, in dem Cyberrisiken auf Managementebene besprochen, bewertet und freigegeben werden.

Dadurch entstehttkeine zusätzliche Bürokratie, sondern ein robuster Entscheidungsrahmen. Wenn Risiko, Maßnahme und Entscheidung sauber miteinander verknüpft sind, reduziert sich das Haftungsrisiko erheblich – und gleichzeitig gewinnt die Organisation an Steuerungsfähigkeit. Genau diese Verknüpfung macht die Nachweisbarkeit zu einem strategischen Instrument, nicht zu einer Pflichtübung.


Thomas Kress TKUC Group

Thomas

Kress

IT-Sicherheitsexperte und Inhaber

TKUC Group

Thomas Kress ist IT-Sicherheitsexperte und Inhaber der TKUC Group mit den Marken TKUC und TheUnified. Nachdem er über 25 Jahren als IT-Consultant und Projektmanager für namhafte Unternehmen arbeitete, beschloss er, sich im Bereich IT-Sicherheit und Telekommunikation selbstständig zu machen.
Anzeige
16. Januar 2026
NIS2: Governance als Schwachstelle
VMware,
16. Januar 2026
Was die Zeit nach VMware für Unternehmen bedeutet
Partnerschaft
15. Januar 2026
Swissbit und RetailForce bauen Fiskalisierungs-Partnerschaft in Europa aus
Rechenzentrum, IT-Resilienz, Colocation Rechenzentrum, Colocation, IT-Infrastruktur
15. Januar 2026
Vertiv: Modulare Rechenzentrumsinfrastruktur für hohe Leistungsdichten

Weitere Artikel

Wenn Angreifer längst im Netzwerk sind: Warum Cyberresilienz heute anders gedacht werden muss
Droht 2026 die E-Mail-Krise? 
Ein Jahr DORA – Die Schonfrist ist vorbei
Physische Sicherheit wird zum strategischen Geschäftsfeld
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.