Funktioniert eure Organisation unter Druck? Welche Anforderungen NIS-2 & Co. an die Handlungsfähigkeit von Unternehmen stellen

Die Diskussion um NIS-2 wird derzeit von Zahlen dominiert. Wie viele Unternehmen sind betroffen, wer muss sich registrieren und welche Schwellenwerte greifen. Diese Perspektive greift zu kurz.

Denn selbst dort, wo die Betroffenheit korrekt eingeordnet wird, zeigt sich ein zweites, deutlich grundlegenderes Problem: Die tatsächlichen Anforderungen und deren Konsequenzen für die Organisation werden häufig unterschätzt.

Während der erste Beitrag die strukturellen Fehlannahmen bei der Betroffenheitsprüfung adressiert, rückt dieser Beitrag die operative Realität in den Fokus.

Schwachstellen werden heute durch den Einsatz von KI in sehr kurzer Zeit identifiziert und ausgenutzt. Angriffe erfolgen nicht mehr mit Vorlauf, sondern potenziell unmittelbar nach Entdeckung einer Schwachstelle. Vor diesem Hintergrund greift die klassische Antwort „mehr Sicherheit“ zu kurz.

Das Zielbild verschiebt sich:

• schneller erkennen
• besser entscheiden
• konsequent handeln

Entscheidend ist die Fähigkeit, auch unter realen Angriffsbedingungen handlungsfähig und resilient zu bleiben. Organisationen, die KI und Automatisierung gezielt einsetzen, werden schneller und effizienter reagieren können. Die Frage ist nicht, ob diese Entwicklung stattfindet, sondern ob Unternehmen diese Fähigkeit systematisch aufbauen.

Dabei wird häufig übersehen, dass es sich nicht primär um ein IT-, ISMS oder BCM-Thema handelt. Es ist eine Frage der operativen Leistungsfähigkeit und zahlt somit in das operative Risikomanagement ein.

Mit der EU-Durchführungsverordnung 2024/2690 steigt das Anforderungsniveau erheblich. Während NIS-2 und das BSIG (bzw. EnWG, TKG) überwiegend prinzipienbasiert formuliert sind, werden hier detaillierte und prüfbare Anforderungen vorgegeben. Damit verschiebt sich der Fokus von der Frage, ob angemessene Maßnahmen existieren, hin zu der Frage, ob spezifische Kontrollen tatsächlich umgesetzt und wirksam sind.

Gleichzeitig ist keine entsprechend ausgereifte und standardisierte Prüfmethodik erkennbar. Zwar stellt ENISA technische Umsetzungshinweise bereit, eine verbindliche Auditgrundlage existiert jedoch nicht. Damit entsteht ein Spannungsfeld: Unternehmen müssen ein hochgradig konkretes Anforderungsniveau erfüllen und nachweisen, ohne dass klar definiert ist, wie diese Nachweise konsistent geprüft werden.

Für die Praxis bedeutet das: Organisationen müssen ihre Sicherheitsarchitektur so aufstellen, dass sie unabhängig von einer konkreten Prüfmethodik belastbar nachweisfähig ist. Die Herausforderung liegt nicht nur in der Umsetzung der Anforderungen, sondern in der systematischen Herstellung von Nachweisbarkeit – im Sinne von „Nachweisbarkeit by Design“.

Ein weiterer Aspekt kommt hinzu. Das Thema ist längst auf Ebene der Geschäftsleitung angekommen. Die Verantwortung ist eindeutig: Leitung haftet. Versicherungen prüfen zunehmend, ob Organisationen ihre Sicherheitsmaßnahmen an die veränderte Bedrohungslage angepasst haben. In der Regulierung eines Schadensfalls wird bewertet, ob Maßnahmen dem Stand der Technik entsprachen, ob angemessen schnell reagiert wurde und ob die Organisation die Lage beherrschen konnte. Zudem wird diese Fragestellung künftig verstärkt durch Auditoren adressiert werden, da die Wirksamkeitsprüfung der umgesetzten Maßnahmen zunehmend in den Fokus rückt.