Cyberresilienz

NIS2 in der Praxis: Pflichten in operative Sicherheit übersetzen

Cyber Resilience
LinkedInRedditWhatsApp

Unternehmen sollten NIS2 als Chance begreifen, Cybersicherheit nicht nur compliant, sondern operativ resilient aufzustellen. Gemeinsame Taxonomien, Meldewege und Kontrollen, die jetzt aufgebaut werden, tragen auch die Anforderungen von DORA, AI Act und kommenden Regulierungen.

NIS2 zwingt viele betroffene Unternehmen dazu, Cybersicherheit verbindlicher zu organisieren – von der Verantwortung der Geschäftsleitung über die Meldung von Sicherheitsvorfällen bis hin zur Sicherheit in der Lieferkette. Damit rückt IT-Sicherheit endgültig aus der rein technischen Ecke in den Verantwortungsbereich des Managements. Für Geschäftsleitungen bedeutet das: Sie müssen nicht nur nachweisen, dass Anforderungen erfüllt werden, sondern auch zeigen, dass ihre Organisation in einem schweren Sicherheitsvorfall handlungsfähig bleibt. Genau hier liegt die Herausforderung: Werden neue Pflichten isoliert umgesetzt, entstehen zusätzliche Prozesse, doppelte Dokumentation und parallele Zuständigkeiten. Der Compliance-Aufwand steigt. Die Fähigkeit, echte Bedrohungen zu erkennen und zu bewältigen, nicht.

Anzeige

NIS2 steht zudem nicht allein. Pflichten zur KI-Governance, sektorspezifische Regeln wie DORA und die DSGVO bewegen sich alle in dieselbe Richtung: hin zu einem Sicherheitsmodell, das mehrere Regulierungen gleichzeitig bedienen kann. Die zentrale Frage lautet daher: Wie lässt sich Cybersicherheit so strukturieren, dass regulatorische Pflichten und operative Sicherheit Hand in Hand gehen?

Compliance darf keine Parallelwelt werden

Viele IT-Landschaften in Unternehmen sind über Jahre gewachsen. Cloud-Dienste kamen hinzu, Ausnahmen wurden verlängert, temporäre Zugriffsrechte blieben bestehen, und einzelne Abteilungen führten eigene Tools ein. Was im Alltag flexibel wirken mag, kann unter Druck schnell fragil werden. Problematisch wird es, wenn Regulierung rein als Dokumentationsprojekt verstanden wird. In einem schweren Sicherheitsvorfall öffnet niemand den Richtlinienordner. Teams müssen schnell wissen: Welche Systeme sind kritisch, wer hat Zugriff, welche Daten sind betroffen, welche Dienstleister sind involviert, und wer darf entscheiden?

NIS2 ist hier ein wichtiger Hebel. Die Anforderungen an Risikomanagement, Meldeprozesse, Lieferkettensicherheit und Managementverantwortung adressieren Grundlagen, die auch für andere Regulierungen relevant sind: belastbare Asset- und Dateninventare, klare Verantwortlichkeiten, kontrollierte Zugriffsrechte, Incident-Response-Prozesse und getestete Wiederherstellungsfähigkeiten.

Anzeige

Meldepflichten brauchen eine klare Sprache

Ein besonders kritischer Punkt ist die Meldung von Sicherheitsvorfällen: Unternehmen müssen frühzeitig erkennen, ob ein Ereignis relevant ist, wer intern eingebunden werden muss und welche externen Behörden zu informieren sind. Das lässt sich in einer Krise nicht improvisieren. Ein funktionierender Meldeprozess braucht vordefinierte Kriterien, Eskalationswege und Verantwortlichkeiten. Security, IT, Legal, Datenschutz, Kommunikation und Management müssen dieselbe Lage aus unterschiedlichen Perspektiven bewerten können, ohne aneinander vorbeizuarbeiten. Dafür braucht es auch eine gemeinsame Taxonomie. Was ist ein Sicherheitsvorfall? Wann ist er erheblich? Wann sind personenbezogene Daten betroffen? Wann sind kritische Dienste berührt? Wann ist ein Dienstleister Teil der Bewertung? Ohne diese gemeinsame Sprache verlieren Organisationen wertvolle Zeit. Operativer Fortschritt zeigt sich daher in Kennzahlen wie Mean Time to Detect und Mean Time to Recover: Werden Vorfälle schneller erkannt, klassifiziert und behoben?

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

KI verschärft Identitätsrisiken

Gleichzeitig verändert KI die Bedrohungslage. Bestehende Angriffsmuster werden schneller, günstiger und glaubwürdiger: Phishing wird sprachlich sauberer, Social Engineering persönlicher und Deepfake-gestützte Betrugsversuche überzeugender. Der größte Hebel liegt häufig bei Identitäten und Vertrauen. Wenn ein Angreifer Zugriff auf ein privilegiertes Konto erhält, eine Sitzung übernimmt oder interne Freigabeprozesse manipuliert, braucht er keine hochkomplexe Malware mehr. Er nutzt bestehende Berechtigungen gegen das Unternehmen.

Die Antwort darauf sind nicht noch mehr Einzellösungen. Entscheidend ist, die Angriffskette dort zu unterbrechen, wo KI Angreifern den größten Vorteil verschafft: bei Identitäten, privilegierten Aktionen und vertrauensbasierten Prozessen. Dazu gehören phishing-resistente MFA für kritische Rollen, starke Conditional-Access-Regeln, Privileged Access Management und robustes Vier-Augen-Prinzip. Diese Grundlage ist auch mit Blick auf den AI Act entscheidend: Organisationen, die saubere Risiko-, Identitäts- und Kontrollmodelle etablieren, können neue Governance-Anforderungen rund um KI leichter integrieren.

Was Unternehmen jetzt tun sollten

Unternehmen sollten NIS2 nicht als Anlass verstehen, neue Dokumentationsschichten aufzubauen, sondern als Ausgangspunkt für mehr operative Kontrolle. Drei Maßnahmen sind besonders wichtig:

Zunächst braucht es eine ehrliche Bestandsaufnahme von Assets, Daten, Identitäten und kritischen Geschäftsprozessen, und zwar eine, die die operative Realität abbildet, nicht das Organigramm von vor drei Jahren. Welche Systeme laufen tatsächlich? Welche Daten müssen wirklich geschützt werden? Welche externen Anbieter berühren kritische Prozesse?

Danach sollten Identitäten und Berechtigungen bereinigt werden. Dauerhafte Adminrechte, verwaiste Service-Accounts, schwache MFA und unkontrollierte App-Berechtigungen gehören weiterhin zu den häufigsten Einstiegspunkten – und zu den am einfachsten zu erreichenden Verbesserungen.

Schließlich muss die Einsatzbereitschaft für Sicherheitsvorfälle getestet werden – wirklich getestet. Das bedeutet: nutzbares Logging, klare Eskalationswege, vorbereitete Vorlagen, definierte Entscheidungskompetenzen und Wiederherstellungsübungen, die tatsächlich durchgeführt werden. Ein Meldeprozess, der nur auf dem Papier funktioniert, hilft in der Krise nicht.

Über allem steht die Notwendigkeit eines gemeinsamen Kontrollrahmens – eines Frameworks, das NIS2, DSGVO, DORA, AI Act und den kommenden Cyber Resilience Act auf dieselben zugrunde liegenden Kontrollen abbildet. Einmal mappen, mehrfach erfüllen. Doppelarbeit ist nicht nur teuer; sie ist ein Zeichen dafür, dass das Modell nicht funktioniert.

Regulierung verdient ihren Platz, wenn sie die Zeit zwischen Angriff und Wiederherstellung verkürzt. Alles andere ist Papierarbeit.


Antonio Paolo Mecci

Antonio Paolo

Mecci

CISO, Head of IT und DPO

SecureSafe

Anzeige
Cyber Resilience
29. April 2026
NIS2 in der Praxis: Pflichten in operative Sicherheit übersetzen
Cyberangriffe, Hotel, Phishing
29. April 2026
Hotel-Betrug: Wie Hacker mit echten Buchungs-Daten Reisende abzocken
Microsoft Surface Pro 10
28. April 2026
RDP-Bug in Microsoft Windows: Sicherheitswarnungen unlesbar
KI, KI-Systeme, ki server sicherheit, ungeschützte ki server, cyberangriffe auf ki, Trend Micro State of AI Security Report, Trend Micro State of AI Security Report 1H 2025, KI-Server, künstliche Intelligenz
28. April 2026
KI-Wachstum trifft auf Sicherheitslücken

Weitere Artikel

Hotel-Betrug: Wie Hacker mit echten Buchungs-Daten Reisende abzocken
RDP-Bug in Microsoft Windows: Sicherheitswarnungen unlesbar
Microsoft Windows 11 Sicherheit: Reicht der Gratis-Schutz aus?
IT-Systeme schützen: Lösungen gegen GNSS-Jamming und Spoofing
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.