NIS 2 ist deutsches Recht und erweitert Pflichten sowie Haftung deutlich. Doch der entscheidende Hebel liegt in der Umsetzung. Ohne Datenkompetenz, sauberes Logging, geübte Incident Response und gelebte Sicherheitskultur droht Papier‑Compliance statt Resilienz.
NIS 2 sollte mithilfe von Sichtbarkeit durch zentrales Logging und Asset-Daten, Incident Response mit Runbooks und Übungen und Lieferketten mit klaren Standards und Nachweisen umgesetzt werden.
Deutschland gießt NIS 2 in nationales Recht. Mit erweitertem Geltungsbereich, klareren Verantwortlichkeiten und einem gestärkten BSI. Das sind klare Signale, doch die zentrale Frage bleibt: Wie wird aus Regulierung belastbare Praxis? Der Abstand zwischen Pflichtenkatalog und operativer Umsetzung entscheidet darüber, ob NIS 2 das Sicherheitsniveau hebt oder vor allem Dokumentation produziert. Technisch ist NIS 2 vor allem die Konsolidierung bewährter Prinzipien. Wirkung entsteht dort, wo Sicherheitskultur gelebte Praxis ist, Datentransparenz Verhältnismäßigkeit ermöglicht und Architekturen vorausschauend mit Blick auf kritische Komponenten geplant werden.
Aus Security-Sicht ist NIS 2 weniger Revolution als Konsolidierung: Gefordert werden bewährte Grundsätze wie kontinuierliche Risikoanalyse, konsequentes Schwachstellenmanagement oder reife Incident-Response-Prozesse. Neu ist jedoch die flächendeckende Verbindlichkeit. Damit dieser Schritt wirkt, müssen zwei Voraussetzungen zusammenkommen: echte Datenkompetenz und eine gelebte Sicherheitskultur.
Die Richtlinie benennt Verantwortlichkeiten klarer als bisher, inklusive Führungsverantwortung für technisch-organisatorische Maßnahmen. Das ist richtig – aber in der Praxis scheitert Security oft an fehlender Koordination. Unternehmen sollten frühzeitig alle relevanten Bereiche einbinden, von IT und Security über Betriebsrat, HR, Einkauf und Rechtsabteilung bis zur Geschäftsleitung. Das BSI empfiehlt mindestens zwei zentrale Ansprechpartner für Cybersicherheit. Aus der Praxis heraus sind jedoch klar definierte Eskalationswege und eine verbindliche Runbook-Disziplin wichtiger als zusätzliche Organigramme. Schulungen und Awareness dürfen nicht als wenig beachtete und ungeliebte Pflichtübung enden. Teams, die Vorfälle früh erkennen, sauber melden und Fehler als Lernchancen behandeln, werden schneller compliant und robuster.
Ein Punkt, der in der Diskussion häufig unterschätzt wird, ist der risikobasierte Ansatz der Richtlinie. NIS 2 verlangt kein starres Maßnahmenpaket, sondern Verhältnismäßigkeit auf Basis eines verlässlichen Lagebilds. Um Risiken angemessen zu steuern, braucht es Daten, die zusammenpassen und belastbar sind: aus IT-Systemen, Sicherheitslösungen und operativen Prozessen. Viele Häuser kämpfen hier mit Datenrauschen – Logs liegen fragmentiert, Asset-Informationen sind unvollständig, Signale werden zu spät korreliert. Wer unter diesen Bedingungen priorisiert, handelt zwangsläufig reaktiv.
Entlastung schaffen intelligente, KI-gestützte Datenplattformen, die Transparenz herstellen, Risiken früh erkennbar machen, Abwehrmaßnahmen orchestrieren und Compliance-konformes Reporting automatisieren. Entscheidend ist, dass Log- und Telemetriedaten vollständig erfasst und normalisiert werden, dass sie mit Asset-, Identitäts- und Schwachstelleninformationen angereichert sind und in Echtzeit für Audits und Meldeprozesse zur Verfügung stehen. Dieser Überblick reduziert langfristig den operativen Aufwand – weniger Ad-hoc-Analysen, klarere Audit-Nachweise, schnelleres Onboarding neuer Anforderungen – und stützt die Verhältnismäßigkeit als Kernprinzip der Richtlinie.
Technische Mindestanforderungen: altbekannt, aber diesmal verbindlich
Viele der geforderten technischen Kontrollen sind bekannt, werden aber selten durchgängig umgesetzt. Die größte Hürde ist selten die Technik, sondern die End-to-End-Integration entlang der Prozesse. Wer beispielsweise Multifaktor-Authentifizierung (MFA) einführt, aber privilegierte Konten und Dienstkonten nicht konsequent abgrenzt, baut auf Scheinsicherheit. Gleiches gilt für Backups: Ohne regelmäßige Restore-Übungen und klare RTO-/RPO-Ziele (Recovery Time Objective/Recovery Point Objective) sind Sicherungen nur Hypothesen.
Die neue Ex-Post-Regelung zu kritischen Komponenten ist pragmatischer als eine Vorab-Anzeigepflicht, schafft aber ein neues Risikofenster: Betreiber können Komponenten einsetzen, müssen deren Verwendung melden und sie bei einem nachträglichen Verbot wieder ausbauen. Der richtige Umgang damit ist kein pauschales Plädoyer für Austauschbarkeit überall, sondern eine konsequent risikobasierte Betrachtung auf Komponentenebene. Risiko entsteht aus dem Zusammenspiel von Wahrscheinlichkeit und Konsequenzen. Investiert wird dort, wo beide zusammen einen hohen Wert ergeben. Andernfalls drohen schlechter Return on Investment (ROI) und Opportunitätskosten. Bei weit verbreiteten Software‑Bibliotheken zeigen Erfahrungen, dass eher Versionswechsel als vollständige Verbote anstehen. Hier reichen belastbare Patch‑Prozesse und Kompatibilitätstests, eine vollständige Bibliotheksagnostik wäre ein eigener, separat zu bewertender Risikofall.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Umgekehrt sind Fertigungsanlagen mit hoher Austausch‑ und Integrationskomplexität bei geringer Blacklist‑Wahrscheinlichkeit ein Fall für Monitoring, vertragliche Absicherungen und dokumentierte Exit‑Pläne statt teurer herstelleragnostischer Gesamtarchitekturen mit hohem Capex‑ und Opex‑Fußabdruck. Wo sowohl Wahrscheinlichkeit als auch Konsequenz hoch sind, sollte frühzeitig mitigiert werden: alternative Anbieter wählen und gezielt dort auf modulare, offene Schnittstellen sowie gesicherte Datenportabilität setzen, wo ein späterer Ausbau sonst zum Stillstandsrisiko würde. Lieferantenrisiken bleiben dabei zentral – von Herkunft und Eigentumsverhältnissen bis zur gelebten Support‑ und Patch‑Disziplin. Das Ergebnis einer sauberen Analyse kann auch sein, dass keine zusätzliche Vorrüstung nötig ist. Entscheidend ist die Nachvollziehbarkeit der Entscheidung, die NIS 2 ohnehin fordert und als eigenständigen Mehrwert für das Unternehmen stiftet.
Auch die jährliche Reporting-Pflicht lässt sich als Chance nutzen: Ein gepflegtes Komponentenregister, dokumentierte Änderungen und vorbereitete Exit-Szenarien erhöhen die operative Souveränität. Technische Kriterien sollten transparent bleiben und BSI sowie Bundesnetzagentur eng eingebunden werden. Entscheidend ist, Branchen nicht im Jahresrhythmus mit Richtungswechseln zu konfrontieren. Anderenfalls entsteht Unsicherheit in Investitionen und Lieferketten.
Mittelstand im Fokus: Verhältnismäßigkeit operationalisieren
Dass NIS 2 mehr Unternehmen erfasst, ist richtig. Die Belastung für den Mittelstand ist gleichwohl real. Die Lösung liegt nicht in abgesenkten Standards, sondern in praxistauglicher Unterstützung. Starterpakete des BSI sollten konsequent praxisnah sein, mit Schritt-für-Schritt-Leitfäden, Beispielszenarien und Vorlagen für Registrierung und Meldeprozesse, inklusive Rollenmodell, Freigabe-Workflow und Update-SLA für die laufende Pflege von Inhalten. Einheitliche Begriffe und eine Harmonisierung mit dem KRITIS-Dachgesetz schaffen Rechtsklarheit statt zusätzlicher Komplexität. Ein Information-Sharing-Portal ist nur dann wertvoll, wenn Informationen verständlich und handlungsorientiert aufbereitet sind und ihre Aktualität durch klare Verantwortlichkeiten, redaktionelle Review-Prozesse und verbindliche Aktualisierungszyklen gesichert ist. Technologie kann diesen Kuratierungsprozess unterstützen, ersetzt ihn aber nicht. Unternehmen können selbst vorbauen, indem sie einen klaren GRC-Fahrplan (Governance, Risk & Compliance) entwickeln, Maßnahmen entlang anerkannter Rahmenwerke wie ISO 27001 priorisieren und eine realistische Roadmap mit Meilensteinen für Audits, Schulungen und Lieferkettenabsicherung festlegen.
NIS 2 adressiert die richtigen Felder, doch der Hebel entsteht erst durch konsequente Umsetzung. Erfahrungsgemäß entfalten drei Schritte schnell Wirkung:
1. Sichtbarkeit wird hergestellt, indem zentrales Log- und Telemetrie-Management aufgebaut und mit Asset- und Identitätsdaten verknüpft wird, um Blind Spots systematisch zu schließen. Die größte Hürde bleibt das Asset-Bild: Lockdown hemmt Innovation, mehr Freiheit benötigt hingegen Leitplanken wie Auto-Discovery, Ownership, Pflichtregistrierung.
2. Incident Response wird professionalisiert, mit klar definierten Rollen, geübten Alarmierungs- und Eskalationswegen und belastbaren Zeitvorgaben, die auch an Wochenenden und Feiertagen funktionieren.
3. Die Lieferkette wird abgesichert, durch definierte Mindeststandards für Dritte, eingeforderte Nachweise sowie auditierbare Integrations- und Update-Prozesse.
4. Diese Maßnahmen sind nicht spektakulär, aber sie markieren den Unterschied zwischen Papier-Compliance und operativer Resilienz.
Fazit: Datenplattformen als Fundament, Sicherheitskultur als Katalysator
Die deutsche NIS-2-Umsetzung schafft den rechtlichen Rahmen. Ob daraus robuste Sicherheit wird, entscheidet die operative Fähigkeit, Daten intelligent zu nutzen und Sicherheit als Kultur zu verankern. KI-gestützte Datenplattformen geben die notwendige Transparenz und Geschwindigkeit für Risikoerkennung, Compliance-Reporting und belastbare Resilienz. Eine gelebte Sicherheitskultur sorgt dafür, dass Prozesse nicht auf dem Papier enden, sondern im Alltag funktionieren. NIS 2 ist damit weniger ein Zielzustand als ein Startpunkt: Wer jetzt konsequent Datenkompetenz und Governance zusammenführt, wird compliant und widerstandsfähig. Und genau das braucht Deutschland in einer angespannten Cybersicherheitslage: Sicherheit, die beweisbar ist und im Ernstfall trägt.
Über den Autor: Thorben Jändling ist Principal Solutions Architect in der Global Security Specialist Group bei Elastic.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/b5/a9b5c5c5c325864029ac6639759c5d27/0129786112v2.jpeg "NIS 2 sollte mithilfe von Sichtbarkeit durch zentrales Logging und Asset-Daten, Incident Response mit Runbooks und Übungen und Lieferketten mit klaren Standards und Nachweisen umgesetzt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/54/60/54604dd9ae65674f94a61c1744bc2b40/0129673001v2.jpeg "Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/0c/960c75ffe0a62d339278b3c6ce6cc076/0129346648v2.jpeg "Vermutlich, um mit wenig Aufwand hohe Prämien für entdeckte Sicherheitslücken einzuheimsen, erreichten das Team von cURL vermehrt KI-generierte Berichte. Diese seien jedoch teils so falsch gewesen, dass das Team sein Bug-Bounty-Programm eingestellt hat. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/70/8070dd073ca803c665eed95cc230a701/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5f/1d/5f1d070630e02593c44d07f590a62330/0129718619v1.jpeg "„Viele Security-Teams sind heute im Dauerstress – nicht, weil sie zu wenig tun, sondern weil sie in einem reaktiven Paradigma gefangen sind: Vorfall erkennen, isolieren, analysieren, schließen.“ sagt Max Rahner, Senior Business Development Manager bei Tenable. (Bild: Tenable)")
:quality(80)/p7i.vogel.de/wcms/91/8e/918e589e4ee9bb4c02dad8354f57045b/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei IDMerit, einem kalifornischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e40e56693da64739ef54abf30a0413f/0127316436v2.jpeg "Bei „VeRA“ handelt es sich um eine Analyse-Software des US-Unternehmens Palantir, mit der die Polizei große Datenmengen aus unterschiedlichen Quellen zusammenführen, durchsuchen und Verbindungen zwischen Personen, Ereignissen und Informationen sichtbar machen kann. (©Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/de/82/de828351d24ce22947e9c469931ffd20/0126593157v1.jpeg "Eine Post-Incident Review (PIR) ist eine strukturierte Nachbetrachtung eines (Cyber-)Vorfalls, um die Ursachen zu verstehen und ähnliche Ereignisse zukünftig zu verhindern. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c6/ef/c6ef28bf165f5d4c68b636e28ccda78f/0127922748v2.jpeg "Alexander Dobrindt (CSU), Bundesminister des Innern, vertrat bei der Debatte im Deutschen Bundestag zur Verabschiedung der NIS-2-Richtlinie am 13. November 2025, die Bundesregierung. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/a3/1ca34b6e6f9b0710240f45c11b018270/0128704560v1.jpeg "So sieht das BSI-Portal aus, dass seit dem 6. Januar freigeschaltet ist. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/02/11/0211f5095c6c1f9b79804d865edda9eb/0111241212.jpeg "Die Verringerung des jährlichen Verlusts, der durch einen Cyberangriff zu erwarten ist, ist der bedeutendste Faktor, durch den sich Investitionen in die Cybersicherheit für ein Unternehmen auszahlen. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/2e/5f2e58b876e5738449d7c6570ff8d019/0123767931v2.jpeg "Tritt man einen Schritt zurück, so erkennt man, dass eine der größten Hürden nicht im technischen Aspekt der Compliance besteht, sondern in dem Kulturwandel, den NIS-2 verlangt. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/0c/6e0c265f328f57bbd511b7862ab0f2d1/0122516400v4.jpeg "Staatliche Regulierungen wie DORA und NIS2 fordern Unternehmen heraus: Reifegrade, Managementsysteme und eine faktenbasierte Zusammenarbeit ersetzen Vertrauen und Subjektivität. Warum das Top-Management jetzt handeln muss – und welche Strategien wirklich zählen. (Bild: MYZONEFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/36/4c368865a39c4713c03d77a442f5b998/0127912181v2.jpeg "Die NIS-2-Richtlinie macht IT-Dokumentation zum zentralen Sicherheitsfaktor, weil sie Transparenz schafft, Risiken sichtbar macht und Unternehmen in die Lage versetzt, Compliance, Incident-Response und IT-Sicherheitsstrategien wirksam und nachweisbar umzusetzen. (©Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/10/2c108e3f84fea2d09efa76ae73aed267/0127977405v2.jpeg "Der Secure Data Report 2025 zeigt, dass unsichere und kaum automatisierte Datenwege trotz vorhandener Technik zur größten Schwachstelle in Unternehmen werden und mit NIS-2 zwingend klare, durchgängige und automatisierte Sicherheitsprozesse erforderlich sind. (Bild: Tierney - stock.adobe.com)")