NIS2-Umsetzung mit OKR strukturiert steuern Mehr Fokus, weniger Hektik bei NIS2

Ein Gastbeitrag von Christoph Ramke und Dr. Bernhard Schiemann 4 min Lesedauer

Anbieter zum Thema

NIS2 verlagert Cybersicherheit in die Chefetage und fordert Struktur statt hektischer Einzelmaßnahmen. OKR, kurz für Objectives and Key Results, liefert dafür den Steuerungsrahmen. Wenige, priorisierte Ziele ersetzen unübersichtliche Maßnahmenkataloge.

NIS2 erfordert strategisches Vorgehen statt hektischer Einzelmaßnahmen. Mit OKR lassen sich Sicherheitsziele klar priorisieren, Verantwortlichkeiten zuweisen und Fortschritte messbar machen.(Bild: ©  ImageFlow - stock.adobe.com)
NIS2 erfordert strategisches Vorgehen statt hektischer Einzelmaßnahmen. Mit OKR lassen sich Sicherheitsziele klar priorisieren, Verantwortlichkeiten zuweisen und Fortschritte messbar machen.
(Bild: © ImageFlow - stock.adobe.com)

Mit der Umsetzung der NIS2-Richtlinie hat sich Cyber Security auch in Deutschland endgültig zu einem wichtigen Thema der obersten Führungsebene entwickelt. Die Zeiten, in denen Informationssicherheit als reines IT-Anliegen betrachtet werden konnte, sind vorbei. NIS2 adressiert Geschäftsführungen und Vorstände ausdrücklich: Sie tragen die Gesamt­ver­ant­wor­tung, müssen angemessene Maßnahmen anstoßen, deren Umsetzung überwachen und sich regelmäßig über Risiken und Fortschritte informieren. Damit rückt Cybersicherheit in eine Reihe mit anderen originären Managementaufgaben wie Risikomanagement, Compliance oder Arbeitssicherheit.

Alte Strukturen stoßen an ihre Grenzen

In der Praxis zeigt sich jedoch, dass genau dieser Perspektivwechsel vielen Organisationen schwerfällt. Häufig ist Security historisch gewachsen, verteilt auf unterschiedliche Rollen, Fachbereiche oder Einzelinitiativen. Technische Maßnahmen sind vorhanden, ebenso Richtlinien, Schulungen oder Notfallpläne, allerdings oft ohne übergreifende Klammer. NIS2 macht diese Fragmentierung sichtbar und verlangt ein konsistentes Gesamtkonzept.

Erst analysieren, dann handeln

Der erste sinnvolle Schritt ist daher keine hektische Maßnahmenumsetzung, sondern eine strukturierte Standortbestimmung: Was existiert bereits? Welche Anforderungen werden heute schon ganz oder teilweise erfüllt? Und wo bestehen tatsächlich relevante Lücken? Diese Gap-Analyse dient nicht der Selbstkritik, sondern der Transparenz. Sie hilft, bestehende Stärken zu identifizieren und gezielt weiterzuentwickeln, statt bei null zu beginnen.

Klare Verantwortung statt Zuständigkeitslücken

Ein zentrales Praxisproblem, das sich dabei immer wieder zeigt, ist die fehlende Klarheit bei Verantwortlichkeiten. Zwar liegt die Gesamtverantwortung gemäß gesetzlicher Vorgaben bei der Geschäftsleitung, operativ bleibt Sicherheit jedoch häufig „zwischen den Stühlen“: Zuständigkeiten sind unklar, Rollen nicht sauber definiert oder ohne echtes Mandat ausgestattet. Für eine wirksame Umsetzung ist es daher unerlässlich, eine zentrale Ansprechperson für das Thema Informationssicherheit zu benennen und diese Rolle mit klaren Kompetenzen auszustatten. Diese Funktion muss nicht zwingend in der IT angesiedelt sein. Viele Anforderungen aus NIS2 betreffen Organisation, Prozesse, Awareness und Steuerung und damit klassische Management- und Querschnittsthemen. Zudem zahlt eine gewisse organisatorische Unabhängigkeit darauf ein, Zielkonflikte zu vermeiden, etwa wenn Sicherheitsmaßnahmen überprüft oder priorisiert werden müssen.

Keine Sicherheit ohne Budget

Eng damit verknüpft ist ein weiterer kritischer Pain Point: fehlende dedizierte Budgets für Cyber Security. In vielen Unternehmen wird Sicherheit noch immer „mitgemacht“, finanziert aus allgemeinen IT- oder Betriebsbudgets und damit in Konkurrenz zu anderen Vorhaben gestellt. NIS2 macht deutlich, dass dieser Ansatz nicht mehr ausreicht. Wer Maßnahmen umsetzen, Risiken systematisch managen und Anforderungen nachweisbar erfüllen will, braucht planbare Ressourcen. Die Verantwortung dafür liegt klar beim Management. Budgets sind kein technisches Detail, sondern Ausdruck strategischer Priorisierung.

Fortschritt zählt mehr als Perfektion

Seit dem 06.12.2025 gelten die Anforderungen der Richtlinie. Dennoch ist klar, dass nicht alle Maßnahmen kurzfristig realisiert werden können. Ausschreibungen, Anbieterauswahl oder Budgetfreigaben benötigen Zeit. Entscheidend ist daher nicht, sofort „fertig“ zu sein, sondern strukturiert vorzugehen und den Stand der Umsetzung nachvollziehbar zu dokumentieren. Maßnahmen, die geplant, konzipiert oder vorbereitet werden, gelten nicht als ignoriert. Im Gegenteil: Wer transparent darlegen kann, dass Anforderungen identifiziert, priorisiert und systematisch adressiert werden, zeigt, dass NIS2 ernst genommen wird.

Mit OKR zur mehr Steuerung und Fokus

Gerade in komplexen Organisationen hat sich für die wirksame Steuerung der Cyber Security ein OKR-basierter-Ansatz als besonders geeignet erwiesen. Objectives & Key Results ermöglichen es, strategische Sicherheitsziele klar aus der Verantwortung der Geschäftsleitung abzuleiten, präzise zu formulieren und in wenige, gut verständliche Objectives zu überführen, die operativ wirklich greifbar sind. Anstelle umfangreicher und häufig unübersichtlicher Maßnahmenkataloge rücken bewusst wenige, priorisierte und messbare Ziele in den Fokus, deren Fortschritt über klar definierte Key Results regelmäßig überprüft, transparent bewertet und bei Bedarf angepasst wird. Dadurch wird sichergestellt, dass Maßnahmen nicht im operativen Alltag versanden, sondern nachvollziehbar zur Zielerreichung beitragen. Gleichzeitig fördert dieser Ansatz Transparenz, erleichtert eine wirksame Priorisierung und verbessert die Zusammenarbeit zwischen Management, IT und Fachbereichen deutlich.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Sicherheit als kontinuierlicher Prozess

Der Weg zur NIS2-Compliance: Auf eine initiale Gap-Analyse, geklärte Verantwortlichkeiten und messbare Ziele (OKRs) folgt der Übergang in einen kontinuierlichen Verbesserungsprozess (PDCA-Zyklus), der das Sicherheitsniveau dynamisch an aktuelle Bedrohungen und regulatorische Vorgaben anpasst.(Bild:  BTC AG)
Der Weg zur NIS2-Compliance: Auf eine initiale Gap-Analyse, geklärte Verantwortlichkeiten und messbare Ziele (OKRs) folgt der Übergang in einen kontinuierlichen Verbesserungsprozess (PDCA-Zyklus), der das Sicherheitsniveau dynamisch an aktuelle Bedrohungen und regulatorische Vorgaben anpasst.
(Bild: BTC AG)

Statt unkoordinierter Einzelaktivitäten konzentrieren sich Organisationen dann gezielt auf jene Maßnahmen, die den größten Beitrag zur NIS2-Umsetzung und zur Erhöhung des Sicherheitsreifegrads leisten. Cyber Security wird so nicht als starres Compliance-Projekt verstanden, sondern als kontinuierlicher Steuerungs-, Management- und Verbesserungsprozess, der Verantwortung, Fortschritt und Reifegrad jederzeit sichtbar macht und nachhaltig in der Organisation verankert.

Angesichts sich ständig verändernder Bedrohungslagen, neuer Angriffsmethoden sowie rasanter technologischer Innovationen kann ein einmal erreichtes Sicherheitsniveau nicht als dauerhaft gegeben angesehen werden. Vielmehr erfordert wirksame Cyber Security eine regelmäßige Überprüfung, Weiterentwicklung und Nachsteuerung der gesetzten Ziele und Maßnahmen. Der OKR-Ansatz unterstützt diesen Gedanken ausdrücklich, indem Objectives und Key Results nicht statisch festgeschrieben, sondern zyklisch reflektiert, angepasst und weiterentwickelt werden. So bleiben Sicherheitsziele dauerhaft an der aktuellen Risikolage, den regulatorischen Anforderungen und den technologischen Möglichkeiten ausgerichtet. Organisationen schaffen damit die notwendige Fähigkeit, auf neue Bedrohungen frühzeitig zu reagieren, Innovationen kontrolliert zu integrieren und ihr Sicherheitsniveau nachhaltig aufrechtzuerhalten.

NIS2 als wertvolles Führungsinstrument

NIS2 zwingt Unternehmen, Cybersicherheit strukturiert, verantwortungsvoll und nachhaltig anzugehen. Wer die Richtlinie ausschließlich als regulatorische Pflicht versteht, verpasst ihren eigentlichen Mehrwert. Richtig umgesetzt, stärkt sie Entscheidungsfähigkeit, Transparenz und Resilienz und wird damit zu einem echten Führungsinstrument in einer zunehmend digitalen und risikobehafteten Unternehmenswelt.

Über die Autoren: Christoph Ramke ist Cybersecurity-Consultant und Dr. Bernhard Schiemann ist Senior Manager Cybersecurity bei der BTC AG.

(ID:50882660)