NIS2 hat den rechtlichen Rahmen für Cybersicherheit verschärft, aber viele Unternehmen verharren in Papier-Compliance. Prozesse sind dokumentiert, Tools beschafft, aber Phishing-Angriffe und Fehlkonfigurationen gehören weiterhin zum Alltag. Echte Sicherheit entsteht erst, wenn Mitarbeitende unter realen Bedingungen sicherheitsgerecht handeln können.
Papier-Compliance schützt nicht vor Cyberangriffen. Echte Cybersicherheit entsteht dort, wo Mitarbeitende unter realen Bedingungen sicherheitsgerecht handeln können.
Mit der Umsetzung von NIS2 hat sich der Stellenwert der Informationssicherheit deutlich verändert. Verantwortlichkeiten wurden klarer zugeordnet und Risiken systematischer erfasst. Informationssicherheit ist keine rein technische Aufgabe mehr, sondern eine zentrale Governance-Aufgabe auf Managementebene.
Die Geschäftsleitung muss die Umsetzung der internen Maßnahmen zum Cyber-Risikomanagement nun persönlich genehmigen, überwachen und dafür Verantwortung übernehmen. Zudem sind die Mitglieder des Führungsteams verpflichtet, regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse im Bereich der Cybersicherheit zu erwerben.
NIS2 schafft damit den rechtlichen Rahmen. Ob dieser im Alltag wirksam wird, entscheidet sich jedoch dort, wo Menschen unter Zeitdruck konkrete Entscheidungen treffen müssen.
Technische Maßnahmen und die Gefahr der „Papier-Compliance“
Neben den rein organisatorischen Anforderungen verpflichtet NIS2 auch zu konkreten technischen Sicherheitsmaßnahmen. Dazu gehören unter anderem:
Strenge Zugangskontrollmechanismen
Flächendeckende Multi-Faktor-Authentifizierung
Sichere Kommunikationsprotokolle
Konsequente Netzwerksegmentierung
In vielen Organisationen entsteht durch das bloße Abarbeiten solcher Maßnahmenlisten ein trügerisches Gefühl von Sicherheit. Formale Compliance beschreibt lediglich, welche Maßnahmen vorhanden sein müssen, nicht jedoch, wie sie wirksam im Arbeitsalltag umgesetzt werden.
Ein Compliance-System, das nur auf dem Papier existiert, ist jedoch kein wirksames System. Dokumentierte Prozesse sind notwendig, ersetzen aber keine gelebte Sicherheitskompetenz innerhalb einer Organisation.
Sicherheitsrelevante Vorfälle entstehen oft an den Schnittstellen zwischen Mensch und System. NIS2 versucht hier, die Widerstandsfähigkeit von Organisationen zu erhöhen, indem technische und organisatorische Risikomanagementpflichten kombiniert werden.
Fehler sind häufig kein individuelles Versagen. Häufig spiegeln sie strukturelle Probleme wider, etwa wenn Mitarbeitende zwischen Sicherheitsanforderungen, Effizienzdruck und knappen Zeitressourcen abwägen müssen.
Ob die Vorgaben der NIS2-Richtlinie tatsächlich wirken, entscheidet sich daher weniger in Richtlinien und Dokumentationen als im organisatorischen Alltag – dort, wo Verantwortlichkeiten wahrgenommen und Entscheidungen unter realen Bedingungen getroffen werden.
Cyberbedrohungen im Zeitalter künstlicher Intelligenz
Cyberbedrohungen verändern sich - insbesondere getrieben durch Künstliche Intelligenz (KI) - zunehmend schneller. Neue Angriffsmuster können automatisiert entwickelt, angepasst und skaliert werden.
Klassische Schulungskonzepte stoßen hier an ihre Grenzen. Inhalte können bereits nach wenigen Monaten an Aktualität verlieren. Sicherheitsstrategien sollten daher kontinuierlich angepasst werden, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.
Relevant sind insbesondere die Meldepflicht für Sicherheitsvorfälle sowie die Pflicht zur Aufrechterhaltung eines angemessenen Sicherheitsniveaus. Die Geschäftsleitung muss diese Maßnahmen persönlich überwachen - ein bloßes „Abhaken“ von Schulungsmaßnahmen kann erhebliche Haftungsrisiken begründen.
Wirksame Sicherheitskultur entsteht daher nur dann, wenn Lernprozesse reale Szenarien und aktuelle Bedrohungslagen widerspiegeln.
Viele Security-Awareness-Programme konzentrieren sich primär auf Wissensvermittlung. Sie erklären Bedrohungsszenarien, definieren Regeln und testen Verständnis. Diese Maßnahmen sind notwendig, reichen jedoch allein nicht aus, um sicheres Verhalten im Arbeitsalltag zu gewährleisten.
Sicherheitskritische Situationen entstehen selten unter idealen Lernbedingungen. Sie treten vielmehr unter Zeitdruck, mit unvollständigen Informationen und in Situationen auf, die von bekannten Schulungsbeispielen abweichen.
In solchen Momenten geht es nicht darum, irgendeine Entscheidung zu treffen, sondern eine angemessene und sicherheitsgerechte Entscheidung zu treffen.
Verantwortung auf dem Papier vs. Handeln im Alltag
Eine der gefährlichsten Fehlannahmen nach der NIS2-Umsetzung ist das Vertrauen darauf, dass Technik menschliche Fehler vollständig kompensieren kann. Da die Führungsebene die Umsetzung persönlich überwachen muss, reicht das Delegieren an die IT-Abteilung nicht mehr aus. Informationssicherheit wird damit zu einer zentralen Führungsaufgabe und ist eng mit der persönlichen Verantwortlichkeit der Unternehmensleitung verbunden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wirksam wird NIS2 letztlich dort, wo Mitarbeitende befähigt werden, unter realistischen Bedingungen sicherheitsgerecht zu handeln. Organisationen müssen daher lernen, Informationssicherheit nicht nur zu dokumentieren, sondern als kontinuierlichen organisationalen Prozess zu verstehen.
Erst im täglichen Umgang mit Risiken, Entscheidungen und Unsicherheiten zeigt sich, ob regulatorische Anforderungen tatsächlich zu mehr Resilienz führen.
Über den Autor: Dr. Jan Scharfenberg ist Rechtsanwalt und Experte für Informationssicherheitsrecht bei lawpilots, einem Anbieter für Lernkonzepte im Bereich Compliance und Cybersecurity. Seine Schwerpunkte liegen in der Unterstützung des Aufbaus von Informationssicherheitsmanagementsystemen, insbesondere im Rahmen der Compliance mit relevanten Regulierungen wie DORA, NIS2, BSI-G, KRITIS-VO und Cyber Resilience Act.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/da/7a/da7ada6ba3a95efec1a809ce27503772/0131424810v2.jpeg "66 Prozent aller Breaches im EMEA-Raum enthalten eine Malware-Komponente, meldet der aktuelle Verizon Data Breach Investigations Report 2026. (Bild: © Prasanth - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/29/122920f2aab70276554dcc4d6349110f/0131262432v2.jpeg "In S/4HANA Enterprise Search können bösartige SQL-Anweisungen injiziert werden. In SAP Commerce Cloud können Angreifer bösartige Konfigurations-Uploads nutzen, um beliebigen serverseitigen Code auszuführen. (©cendhika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/0b/390bc7954251fa4f0572c7af2f1c0fca/0131319205v1.jpeg "Vom 16. bis 18. September 2026 findet die Munich Cyber Tactics, Techniques & Procedures statt. (Bild: Vogel IT-Akademie )")
:quality(80)/p7i.vogel.de/wcms/6a/62/6a62d7fee3a3242f5c29854797ffdac7/0130594225v1.jpeg "Mit dem neuen IPsec-VPN-Client wollen Stormshield und ERCOM den sicheren Fernzugriff für sicherheitskritische Umgebungen absichern. (Bild: © Vladimir)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/f3/07/f307e44721f3a4f15e972ddad98b6a83/0130091785v1.jpeg "Der USB-Stick IronKey Locker+ 50 G2 von Kingston soll sensible Daten durch eine Verschlüsselung auf Enterprise-Niveau schützen. Mit FIPS-197-Zertifizierung und einer AES-256-Bit-Hardwareverschlüsselung im XTS-Modus. (Bild: Kingston)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e5e76de549e277eef763834c7ed24/0131181926v2.jpeg "Mithilfe von Feedback durch Hunderte von Organisationen wurde Claude Security nun als Beta freigegeben. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/62/4a62c503e12a78b6ec9f4d62a9045201/0130952805v2.jpeg "Heutzutage müssen Security Teams statt 100 Code-Zeilen nun bis zu 100.000 Zeilen Code, der von KI generiert wurde, pro Stunde bewerten. Das kann zu Fehlern führen, die Releasezyklen verzögern und das Incident-Risiko anheben. (© Stiefi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/78/f2/78f23a26ac3a2c184967379597308eff/0129498591v1.jpeg "Flexibles Identätsmanagement spielt eine immer wichtigere Rolle. Hier helfen zum Teil auch externe Tools. (Bild: Joos - FirstAttribute)")
:quality(80)/p7i.vogel.de/wcms/6b/91/6b91bf745cfb0bb24264ca4332729e82/0131347588v1.jpeg "Die European Digital Identity Wallet ist eine digitale Brieftasche, die von der Europäischen Union eingeführt wird. Sie kann unter anderem digitale Dokumente wie den Personalausweis und Führerschein speichern, digitale Zahlungen freigeben und Verträge elektronisch unterschreiben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/b5/b3b59ad153dc4983c685898088ff0467/0130992131v2.jpeg "Papier-Compliance schützt nicht vor Cyberangriffen. Echte Cybersicherheit entsteht dort, wo Mitarbeitende unter realen Bedingungen sicherheitsgerecht handeln können. (Bild: © Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/f2/9bf28cbca26d74e1248ccddadd1fe906/0131421992v2.jpeg "Die CertMap bietet einen Überblick aller Zertifizierungen aus den Bereichen Communication and Network Security, IAM, Security Architecture and Engineering, Asset Security, Security and Risk Management, Security Assessment and Testing, Software Security und Security Operations. (Bild: CertMap)")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ff/f5/fff5360bc369f9af6d901e9c2d083819/0129495526v1.jpeg "Das KRITIS-Dachgesetz ist noch jung und es stehen viele Fragen offen: Ab wann ist eine Einrichtung eine kritische Anlage? Welche Pflichten und Fristen gelten? Wann muss was gemeldet werden? Dr. Daniel Meßmer gibt den Hörerinnen und Hörern von Security-Insider die Antworten. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3d/c7/3dc7db4913400b59cbec945b73c616bd/0129828020v2.jpeg "Viele Unternehmen sind von der NIS2-Umsetzung überfordert. Eine strukturierte Checkliste übersetzt die ENISA-Anforderungen in prüfbare Schritte und ermöglicht die systematische Selbsteinschätzung. (Bild: © Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/42/6242c5ad2a5c8449d7757af4f0356bc4/0126745951v2.jpeg "Social Engineering und Phishing nutzen menschliche Schwächen, Awareness-Programme können daraus die stärkste Verteidigung machen. (Bild: © scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/79/3d798e3e3fee34ae9172880cb1d56a90/0122440131v2.jpeg "Um die Cyberresilienz ihres Unternehmens zu stärken, sollten Führungskräfte mit gutem Beispiel vorangehen. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/ae/72ae71478dabbb0e242a3dca5d530c87/0130973186v2.jpeg "Trotz steigender Security-Budgets wachsen die Schäden durch Cyberangriffe. Prävention reicht nicht mehr, Cyberresilienz entscheidet sich an Führung und Geschwindigkeit, nicht an Tools. NIS2 macht das zur Chefsache. (Bild: © Nopadon - stock.adobe.com)")