Für viele Geschäftsführer und Führungskräfte ist ein Umstand selbstverständlich: NIS2 und die Umsetzung entsprechender Maßnahmen liegen in der Verantwortung der IT-Abteilung. Dass sich die IT um Wartung von Hard- und Software kümmert, ist etabliert. Doch genau dieses Grundverständnis wird durch NIS2 grundlegend verändert. IT-Sicherheit ist kein reines Technikthema mehr, sondern wird zur Führungsaufgabe.
Eine typische Aussage im Management lautet: „Dafür habe ich ja meine Leute.“ Das klingt zunächst plausibel, ist jedoch aus Sicht von NIS2 nicht ausreichend. Denn auch wenn Aufgaben delegiert werden können, bleibt die Verantwortung bei der Geschäftsführung. Sie muss sicherstellen, dass geeignete Sicherheitsmaßnahmen nicht nur vorhanden sind, sondern auch korrekt umgesetzt werden und im Ernstfall funktionieren. NIS2 verlangt damit eine klare Veränderung im Rollenverständnis: Die Geschäftsführung muss wissen, was im Unternehmen passiert und wie es umgesetzt wird.
Damit wird Cybersecurity zu einem festen Bestandteil der Unternehmensführung, vergleichbar mit Finanzen oder Compliance. Risiken im Bereich IT-Sicherheit müssen verstanden, bewertet und aktiv gesteuert werden. Entscheidungen dürfen nicht mehr ausschließlich auf operativer Ebene getroffen werden, sondern müssen auch auf Management-Ebene nachvollziehbar und begründet sein.
Ein typisches Beispiel aus der Praxis ist der On- und Offboarding-Prozess von Mitarbeitern. In der Theorie ist dieser klar geregelt: Die IT legt Benutzer an und löscht sie wieder, wenn ein Mitarbeiter das Unternehmen verlässt. In der Praxis kommt es jedoch häufig zu Abweichungen. Ein Mitarbeiter scheidet aus, die Information wird nicht rechtzeitig weitergegeben, und der Benutzeraccount bleibt aktiv. Dadurch besteht weiterhin Zugriff auf interne Systeme und sensible Daten. Solche Situationen entstehen nicht aus Absicht, sondern aus fehlenden oder unzureichend kontrollierten Prozessen.
Genau hier liegt die Rolle der Geschäftsführung. Es ist nicht ihre Aufgabe, Benutzerkonten selbst zu verwalten, sondern sicherzustellen, dass es klare, funktionierende und überprüfbare Prozesse gibt. Dazu gehört, dass Zuständigkeiten zwischen HR und IT eindeutig geregelt sind, dass Abläufe dokumentiert werden und dass deren Einhaltung regelmäßig kontrolliert wird. Ebenso wichtig ist die Nachweisbarkeit dieser Kontrollen, insbesondere im Hinblick auf mögliche Prüfungen oder Haftungsfragen.
Ein ähnliches Bild zeigt sich beim Einsatz von Sicherheitslösungen. Viele Unternehmen verfügen über Firewalls, Antivirus-Systeme und Backup-Lösungen. Dennoch fehlt häufig die systematische Überprüfung dieser Maßnahmen. Backups werden zwar erstellt, aber selten auf ihre Wiederherstellbarkeit getestet. Sicherheitsmeldungen werden erzeugt, aber nicht konsequent ausgewertet. In solchen Fällen entsteht ein trügerisches Sicherheitsgefühl, das im Ernstfall zu erheblichen Problemen führen kann.
Auch hier ist die Geschäftsführung nicht gefordert, technische Details zu verstehen oder Systeme selbst zu konfigurieren. Entscheidend ist vielmehr, dass sie Transparenz einfordert und sich regelmäßig berichten lässt. Dazu gehören beispielsweise Testprotokolle für Datenwiederherstellungen, Auswertungen von Sicherheitsvorfällen oder Berichte über erkannte und behandelte Bedrohungen. Nicht Aussagen sind entscheidend, sondern belastbare Nachweise.
Ein häufiger Irrglaube ist, dass fehlendes technisches Detailwissen eine aktive Rolle der Geschäftsführung verhindert. Genau das ist jedoch nicht der Fall. NIS2 verlangt keine tiefgehenden IT-Kenntnisse, sondern ein strukturiertes Vorgehen im Umgang mit Risiken. Die zentrale Aufgabe besteht darin, sicherzustellen, dass Prozesse definiert, umgesetzt, überprüft und dokumentiert werden.
Viele Unternehmen verfügen bereits über die notwendigen technischen Lösungen, sind jedoch dennoch nicht NIS2-konform. Der Grund dafür liegt selten in fehlender Technologie, sondern vielmehr in mangelnder Steuerung, unklaren Verantwortlichkeiten und fehlender Nachweisbarkeit. Genau hier entstehen die typischen NIS2-Gaps.
