NIS2 verlagert Cybersicherheit in die Chefetage und fordert Struktur statt hektischer Einzelmaßnahmen. OKR, kurz für Objectives and Key Results, liefert dafür den Steuerungsrahmen. Wenige, priorisierte Ziele ersetzen unübersichtliche Maßnahmenkataloge.
NIS2 erfordert strategisches Vorgehen statt hektischer Einzelmaßnahmen. Mit OKR lassen sich Sicherheitsziele klar priorisieren, Verantwortlichkeiten zuweisen und Fortschritte messbar machen.
Mit der Umsetzung der NIS2-Richtlinie hat sich Cyber Security auch in Deutschland endgültig zu einem wichtigen Thema der obersten Führungsebene entwickelt. Die Zeiten, in denen Informationssicherheit als reines IT-Anliegen betrachtet werden konnte, sind vorbei. NIS2 adressiert Geschäftsführungen und Vorstände ausdrücklich: Sie tragen die Gesamtverantwortung, müssen angemessene Maßnahmen anstoßen, deren Umsetzung überwachen und sich regelmäßig über Risiken und Fortschritte informieren. Damit rückt Cybersicherheit in eine Reihe mit anderen originären Managementaufgaben wie Risikomanagement, Compliance oder Arbeitssicherheit.
In der Praxis zeigt sich jedoch, dass genau dieser Perspektivwechsel vielen Organisationen schwerfällt. Häufig ist Security historisch gewachsen, verteilt auf unterschiedliche Rollen, Fachbereiche oder Einzelinitiativen. Technische Maßnahmen sind vorhanden, ebenso Richtlinien, Schulungen oder Notfallpläne, allerdings oft ohne übergreifende Klammer. NIS2 macht diese Fragmentierung sichtbar und verlangt ein konsistentes Gesamtkonzept.
Erst analysieren, dann handeln
Der erste sinnvolle Schritt ist daher keine hektische Maßnahmenumsetzung, sondern eine strukturierte Standortbestimmung: Was existiert bereits? Welche Anforderungen werden heute schon ganz oder teilweise erfüllt? Und wo bestehen tatsächlich relevante Lücken? Diese Gap-Analyse dient nicht der Selbstkritik, sondern der Transparenz. Sie hilft, bestehende Stärken zu identifizieren und gezielt weiterzuentwickeln, statt bei null zu beginnen.
Ein zentrales Praxisproblem, das sich dabei immer wieder zeigt, ist die fehlende Klarheit bei Verantwortlichkeiten. Zwar liegt die Gesamtverantwortung gemäß gesetzlicher Vorgaben bei der Geschäftsleitung, operativ bleibt Sicherheit jedoch häufig „zwischen den Stühlen“: Zuständigkeiten sind unklar, Rollen nicht sauber definiert oder ohne echtes Mandat ausgestattet. Für eine wirksame Umsetzung ist es daher unerlässlich, eine zentrale Ansprechperson für das Thema Informationssicherheit zu benennen und diese Rolle mit klaren Kompetenzen auszustatten. Diese Funktion muss nicht zwingend in der IT angesiedelt sein. Viele Anforderungen aus NIS2 betreffen Organisation, Prozesse, Awareness und Steuerung und damit klassische Management- und Querschnittsthemen. Zudem zahlt eine gewisse organisatorische Unabhängigkeit darauf ein, Zielkonflikte zu vermeiden, etwa wenn Sicherheitsmaßnahmen überprüft oder priorisiert werden müssen.
Keine Sicherheit ohne Budget
Eng damit verknüpft ist ein weiterer kritischer Pain Point: fehlende dedizierte Budgets für Cyber Security. In vielen Unternehmen wird Sicherheit noch immer „mitgemacht“, finanziert aus allgemeinen IT- oder Betriebsbudgets und damit in Konkurrenz zu anderen Vorhaben gestellt. NIS2 macht deutlich, dass dieser Ansatz nicht mehr ausreicht. Wer Maßnahmen umsetzen, Risiken systematisch managen und Anforderungen nachweisbar erfüllen will, braucht planbare Ressourcen. Die Verantwortung dafür liegt klar beim Management. Budgets sind kein technisches Detail, sondern Ausdruck strategischer Priorisierung.
Seit dem 06.12.2025 gelten die Anforderungen der Richtlinie. Dennoch ist klar, dass nicht alle Maßnahmen kurzfristig realisiert werden können. Ausschreibungen, Anbieterauswahl oder Budgetfreigaben benötigen Zeit. Entscheidend ist daher nicht, sofort „fertig“ zu sein, sondern strukturiert vorzugehen und den Stand der Umsetzung nachvollziehbar zu dokumentieren. Maßnahmen, die geplant, konzipiert oder vorbereitet werden, gelten nicht als ignoriert. Im Gegenteil: Wer transparent darlegen kann, dass Anforderungen identifiziert, priorisiert und systematisch adressiert werden, zeigt, dass NIS2 ernst genommen wird.
Mit OKR zur mehr Steuerung und Fokus
Gerade in komplexen Organisationen hat sich für die wirksame Steuerung der Cyber Security ein OKR-basierter-Ansatz als besonders geeignet erwiesen. Objectives & Key Results ermöglichen es, strategische Sicherheitsziele klar aus der Verantwortung der Geschäftsleitung abzuleiten, präzise zu formulieren und in wenige, gut verständliche Objectives zu überführen, die operativ wirklich greifbar sind. Anstelle umfangreicher und häufig unübersichtlicher Maßnahmenkataloge rücken bewusst wenige, priorisierte und messbare Ziele in den Fokus, deren Fortschritt über klar definierte Key Results regelmäßig überprüft, transparent bewertet und bei Bedarf angepasst wird. Dadurch wird sichergestellt, dass Maßnahmen nicht im operativen Alltag versanden, sondern nachvollziehbar zur Zielerreichung beitragen. Gleichzeitig fördert dieser Ansatz Transparenz, erleichtert eine wirksame Priorisierung und verbessert die Zusammenarbeit zwischen Management, IT und Fachbereichen deutlich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Weg zur NIS2-Compliance: Auf eine initiale Gap-Analyse, geklärte Verantwortlichkeiten und messbare Ziele (OKRs) folgt der Übergang in einen kontinuierlichen Verbesserungsprozess (PDCA-Zyklus), der das Sicherheitsniveau dynamisch an aktuelle Bedrohungen und regulatorische Vorgaben anpasst.
(Bild: BTC AG)
Statt unkoordinierter Einzelaktivitäten konzentrieren sich Organisationen dann gezielt auf jene Maßnahmen, die den größten Beitrag zur NIS2-Umsetzung und zur Erhöhung des Sicherheitsreifegrads leisten. Cyber Security wird so nicht als starres Compliance-Projekt verstanden, sondern als kontinuierlicher Steuerungs-, Management- und Verbesserungsprozess, der Verantwortung, Fortschritt und Reifegrad jederzeit sichtbar macht und nachhaltig in der Organisation verankert.
Angesichts sich ständig verändernder Bedrohungslagen, neuer Angriffsmethoden sowie rasanter technologischer Innovationen kann ein einmal erreichtes Sicherheitsniveau nicht als dauerhaft gegeben angesehen werden. Vielmehr erfordert wirksame Cyber Security eine regelmäßige Überprüfung, Weiterentwicklung und Nachsteuerung der gesetzten Ziele und Maßnahmen. Der OKR-Ansatz unterstützt diesen Gedanken ausdrücklich, indem Objectives und Key Results nicht statisch festgeschrieben, sondern zyklisch reflektiert, angepasst und weiterentwickelt werden. So bleiben Sicherheitsziele dauerhaft an der aktuellen Risikolage, den regulatorischen Anforderungen und den technologischen Möglichkeiten ausgerichtet. Organisationen schaffen damit die notwendige Fähigkeit, auf neue Bedrohungen frühzeitig zu reagieren, Innovationen kontrolliert zu integrieren und ihr Sicherheitsniveau nachhaltig aufrechtzuerhalten.
NIS2 zwingt Unternehmen, Cybersicherheit strukturiert, verantwortungsvoll und nachhaltig anzugehen. Wer die Richtlinie ausschließlich als regulatorische Pflicht versteht, verpasst ihren eigentlichen Mehrwert. Richtig umgesetzt, stärkt sie Entscheidungsfähigkeit, Transparenz und Resilienz und wird damit zu einem echten Führungsinstrument in einer zunehmend digitalen und risikobehafteten Unternehmenswelt.
Über die Autoren: Christoph Ramke ist Cybersecurity-Consultant und Dr. Bernhard Schiemann ist Senior Manager Cybersecurity bei der BTC AG.