NIS2

Compliance reduziert kein Risiko. Governance schon.

Das NIS2-Umsetzungsgesetz ist in Kraft. Aber Compliance ohne Governance ist nur Papier. Warum Governance entscheidet, ob Sie die Anforderungen erfüllen.

Kim Borg
Kim Borg Gründer & CEO
7 Min. Lesezeit
  1. 24%
    der schwedischen Organisationen hatten bei Inkrafttreten von NIS2 eine in der Führung verankerte Cybersicherheitsstrategie
    MSB
  2. 68%
    der Sicherheitsvorfälle sind auf mangelnde Einhaltung bestehender Richtlinien zurückzuführen
    Verizon DBIR 2025
  3. Das
    Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist in Kraft getreten
    Bundestag
CEO in conversation with board member about governance

Ich habe im letzten Monat dasselbe Gespräch mit drei verschiedenen Führungsteams geführt. Alle haben investiert. Alle haben Werkzeuge. Alle haben Berater engagiert und Zertifizierungsprozesse gestartet. Aber keiner von ihnen konnte eine einfache Frage beantworten: Wo liegen unsere schwerwiegendsten Schwachstellen?

Das Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist in Kraft. Viele Organisationen sind nicht bereit. Nicht weil ihnen Budget fehlt, nicht weil ihnen Werkzeuge fehlen, sondern weil Governance in der Praxis nie existiert hat.

Meine Erfahrung ist eindeutig: Compliance reduziert kein Risiko. Governance schon. Organisationen, die die Anforderungen erfüllen, sind diejenigen, in denen Governance in der Entscheidungsfindung verankert ist, nicht in der Dokumentenablage.

Drei Investitionen, die ohne Governance nicht helfen

Organisationen investieren in drei Bereiche, die auf dem Papier gut aussehen, aber ohne funktionierende Governance keine Sicherheit schaffen.

Werkzeuge ohne Einhaltung

SIEM, EDR, Schwachstellenscanning. Die Werkzeugkästen wachsen. Aber 68 % der Sicherheitsvorfälle entstehen, weil bestehende Richtlinien nicht befolgt werden, nicht weil Werkzeuge fehlen. Ein Werkzeug, das niemand richtig nutzt, ist nur ein Kostenfaktor. Die Frage lautet nicht „Haben wir das richtige Werkzeug gekauft?", sondern „Hält sich tatsächlich jemand an die Sicherheitsmaßnahmen, die wir haben?"

Zertifizierungen ohne Leben

ISO 27001-Zertifikat. SOC 2-Berichte. Beeindruckend auf dem Papier. Aber wenn das Managementsystem in einem Ordner ruht, den zwischen den Audits niemand öffnet, schützt es nichts. Eine Zertifizierung beweist, dass Sie zu einem bestimmten Zeitpunkt Governance hatten. Sie sagt nichts über heute aus.

Berater ohne Wissenstransfer

Externe Berater, die das Framework aufbauen, die Richtlinien verfassen und dann gehen. Das Wissen verlässt die Organisation mit ihnen. Sechs Monate später erinnert sich niemand mehr, warum eine Kontrolle implementiert wurde oder wie sie gepflegt werden muss. Berater schaffen Mehrwert, aber nur, wenn das Wissen im Unternehmen bleibt.

Was das Cybersicherheitsstärkungsgesetz tatsächlich verlangt

Das Cybersicherheitsstärkungsgesetz ist keine Checkliste. Es verlangt Governance: dass Prozesse gelebt werden, dass die Führung engagiert ist und dass die Organisation nachweisen kann, dass die Sicherheitsarbeit in der Praxis funktioniert.

Das Cybersicherheitsstärkungsgesetz verlangt Governance, nicht nur Dokumente:

  1. Führungsverantwortung (Artikel 20): Der Vorstand soll genehmigen und überwachen, nicht nur unterschreiben
  2. Risikomanagement (Artikel 21): Systematischer und laufender Prozess, keine einmalige Bewertung
  3. Wirksamkeitsbewertung (Artikel 21.2g): Messen, ob die Maßnahmen tatsächlich wirken
  4. Schulung (Artikel 20.2): Die Führung soll die Risiken verstehen, nicht nur einen Kurs absolviert haben

Konsequenz: Die Aufsichtsbehörde wird nicht nur prüfen, ob die Dokumente vorhanden sind. Sie wird prüfen, ob die Governance gelebt wird.

Wir haben bereits darüber geschrieben, was das Cybersicherheitsstärkungsgesetz in der Praxis bedeutet und über die spezifische Verantwortung der Führung. Dieser Artikel befasst sich mit dem zugrunde liegenden Problem: warum Governance fehlt, obwohl Werkzeuge und Dokumente vorhanden sind.

Warum Governance fehlt: drei Muster

In meinen Gesprächen mit Führungsteams sehe ich dieselben Muster immer wieder. Das Problem ist selten mangelnder Wille. Es fehlen die Strukturen, die nie aufgebaut wurden.

  1. Sicherheit war nie ein Führungsthema Historisch war Cybersicherheit Aufgabe der IT-Abteilung. Es war technisch. Es war das Budget einer anderen Abteilung. Die Konsequenz: Wenn das Cybersicherheitsstärkungsgesetz verlangt, dass die Führung Verantwortung übernimmt, gibt es kein eingeübtes Verhalten. Die Führung hatte Cybersicherheit nie auf eine bedeutsame Weise auf der Agenda, und weiß nicht, wo sie anfangen soll.
  2. Compliance wurde zum Ziel, nicht zum Mittel Viele Organisationen haben darauf optimiert, das Audit zu bestehen, statt Risiken zu reduzieren. Die jährliche ISO-Durchsicht wurde zum Sprint, um Dokumente zu aktualisieren, nicht um die Sicherheit zu verbessern. Die Anreizstruktur belohnte saubere Berichte, nicht ehrliche Bewertungen.
  3. Niemand hat den Gesamtüberblick Die IT verantwortet die Werkzeuge. Die Rechtsabteilung verantwortet Compliance. Der CISO, falls vorhanden, sitzt dazwischen ohne Mandat. Risikoregister existieren in verschiedenen Systemen. Niemand hat ein vollständiges Bild, und niemand hat einen Anreiz, eines zu schaffen.

Die Kernfrage: Wissen wir, wo unsere schwerwiegendsten Schwachstellen liegen?

Das ist die Frage, die alles entscheidet. Nicht „Erfüllen wir die Anforderungen?” sondern „Wissen wir tatsächlich, wo wir am verwundbarsten sind?”

Die wichtigste Frage, die sich ein Vorstand stellen kann, lautet nicht „Sind wir konform?”, sondern „Wissen wir, wo unsere schwerwiegendsten Schwachstellen liegen?” Wenn die Antwort Nein lautet, oder Schweigen, dann haben Sie ein Governance-Problem, unabhängig davon, wie viele Werkzeuge Sie gekauft haben.

Das erlebe ich häufig in meinen Gesprächen mit Führungsteams, die glauben, vorbereitet zu sein, weil sie eine Plattform gekauft oder einen Partner beauftragt haben. Aber niemand hat die grundlegende Frage gestellt.

Fünf Anzeichen dafür, dass Governance fehlt:

  • Die Führung kann die drei größten Risiken nicht benennen, ohne die IT zu fragen
  • Das Risikoregister wurde zuletzt vor dem letzten Audit aktualisiert
  • Der Incident-Prozess wurde nie im Ernstfall getestet
  • Die Sicherheitsrichtlinie wurde genehmigt, aber niemand weiß, wer für die Nachverfolgung zuständig ist
  • „Das haben wir dokumentiert” ist die Standardantwort, aber niemand kann nachweisen, dass es eingehalten wird

Von Compliance zu Governance: fünf Schritte

Der Übergang von dokumentenbasierter Compliance zu gelebter Governance ist kein Sofortprojekt. Aber er beginnt mit einfachen, konkreten Schritten.

  1. Führen Sie eine ehrliche GAP-Analyse durch Nicht nur gegen die Anforderungen, sondern gegen die Realität. Messen Sie nicht nur, ob Dokumente vorhanden sind, sondern ob Prozesse tatsächlich eingehalten werden. Sprechen Sie mit den Mitarbeitenden, nicht nur mit den Verantwortlichen. Unser GAP-Analyse-Leitfaden zeigt Schritt für Schritt, wie Sie dabei vorgehen.
  2. Verankern Sie die Ergebnisse bei der Führung mit Risikobild, nicht mit Regelwerk Präsentieren Sie das Ergebnis in geschäftlichen Begriffen. Nicht „Wir erfüllen 64 % von NIS2", sondern „Wir haben drei Schwachstellen, die uns jeweils X Euro kosten können." Die Führung handelt auf Basis von Risiko und Konsequenz, nicht auf Basis von Prozentzahlen.
  3. Bestimmen Sie Verantwortliche für jeden Risikobereich Kein Risiko ohne Verantwortlichen. Keine Maßnahme ohne Zuständigen. Keine Frist ohne Nachverfolgung. Governance erfordert, dass Verantwortung persönlich und nachvollziehbar ist, nicht kollektiv und vage.
  4. Integrieren Sie Governance in bestehende Entscheidungsprozesse Machen Sie Cybersicherheit zu einem festen Tagesordnungspunkt der Geschäftsführung. Nicht als separates „Sicherheitsmeeting", sondern integriert in Geschäftsentscheidungen: neue Lieferanten, Systemwechsel, Organisationsveränderungen.
  5. Messen und nachverfolgen, kontinuierlich Governance, die nicht gemessen wird, ist Wunschdenken. Definieren Sie KPIs. Berichten Sie der Führung quartalsweise. Nutzen Sie Abweichungen als Lernchance, nicht als Misserfolg.

Compliance als Lebensweise, nicht als Projekt

Organisationen, die das Cybersicherheitsstärkungsgesetz als ein Projekt behandeln, das man „abschließt”, werden wieder am Anfang stehen, wenn das nächste Regelwerk kommt. Organisationen, die Governance in ihre Geschäftstätigkeit integrieren, stellen fest, dass neue Anforderungen inkrementell werden, nicht revolutionär.

Das Compliance-Projekt vs. das Governance-Modell:

  • Das Compliance-Projekt: Beginnt bei neuem Gesetz. Endet beim Audit. Verantwortet vom Projektleiter. Gemessen in Prozent Erfüllung. Nächstes Regelwerk = Neustart.
  • Das Governance-Modell: Lebt die ganze Zeit. Verantwortet von der Führung. Gemessen in reduziertem Risiko. Neue Regulierung wird zur Iteration, nicht zur Krise.

Die Organisationen, die ich treffe und die tatsächlich vorbereitet sind, sind nie diejenigen mit den meisten Werkzeugen oder den meisten Zertifizierungen. Es sind diejenigen, bei denen der Vorstand die Frage beantworten kann: Wo sind wir am schwächsten, und was tun wir dagegen?

Wie sieht es in Ihrer Organisation aus? Lebt die Governance in den Entscheidungen oder in den Dokumenten?

So kann Securapilot helfen

  • GAP-Analyse gegen die Realität: Erfassen Sie nicht nur Dokumentation, sondern die tatsächliche Einhaltung
  • Risikomanagement mit Verantwortlichen: Jedes Risiko hat einen Verantwortlichen, jede Maßnahme eine Frist
  • Führungsdashboard: Echtzeitüberblick für Vorstand und Geschäftsführung in geschäftlichen Begriffen
  • Kontinuierliche Nachverfolgung: Automatische Erinnerungen und Statusaktualisierungen
  • Nachvollziehbarkeit: Vollständiger Audit-Trail für Aufsichtsbehörden

Buchen Sie eine Demo und erfahren Sie, wie Governance in Ihrer Organisation Realität werden kann.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Compliance und Governance?

Compliance bedeutet, formale Anforderungen zu erfüllen: Kontrollen abhaken, Richtlinien verfassen, Audits bestehen. Governance bedeutet, dass Sicherheit tatsächlich alltägliche Entscheidungen steuert: dass jemand Risiken verantwortet, dass Abweichungen nachverfolgt werden und dass die Führung fundierte Entscheidungen auf Basis eines realen Risikobildes trifft.

Kann man NIS2-konform sein, ohne echte Governance zu haben?

Formal vielleicht, aber nicht in der Praxis. NIS2 und das Cybersicherheitsstärkungsgesetz verlangen, dass die Führung aktiv genehmigt, überwacht und Verantwortung übernimmt. Es reicht nicht, die Dokumente zu haben. Die Aufsichtsbehörde wird prüfen, ob die Prozesse tatsächlich gelebt werden.

Wie erkennen wir, ob unsere Governance funktioniert?

Stellen Sie drei Fragen: Wissen wir, wo unsere schwerwiegendsten Schwachstellen liegen? Trifft die Führung Entscheidungen auf Basis eines aktuellen Risikobildes? Werden Sicherheitsmaßnahmen regelmäßig nachverfolgt? Wenn die Antwort auf eine dieser Fragen Nein lautet, besteht eine Governance-Lücke.

Was ist der erste Schritt, um von Compliance zu Governance zu gelangen?

Beginnen Sie mit einer ehrlichen GAP-Analyse, die nicht nur Dokumentation erfasst, sondern misst, ob Prozesse tatsächlich eingehalten werden. Verankern Sie das Ergebnis bei der Führung und erstellen Sie einen Maßnahmenplan mit klaren Verantwortlichen.

#Governance#Steuerung#Cybersicherheitsstärkungsgesetz#NIS2#Compliance#Risikomanagement#Führung

Weitere Artikel

Wir verwenden anonyme Statistiken ohne Cookies, um die Website zu verbessern. Mehr erfahren