Cybersecurity ist längst kein reines IT-Thema mehr. Mit NIS-2 liegt die Verantwortung nicht nur bei Fachabteilungen, sondern ausdrücklich auch bei Management und Geschäftsführung. Wer Risiken nicht kennt, Entscheidungen nicht dokumentiert oder Vorfälle zu spät meldet, schafft nicht nur operative Probleme - sondern auch rechtliche und organisatorische Risiken für das eigene Unternehmen.
Für viele Unternehmen lautet die entscheidende Frage deshalb nicht mehr, ob Cybersicherheit wichtig ist, sondern wie sie auf Leitungsebene wirksam gesteuert wird. Genau hier setzt NIS-2 an: mit klaren Anforderungen an Governance, Risikomanagement, Meldeprozesse, Nachweise und Schulung.
Dieser Beitrag zeigt, was Geschäftsführung und Führungskräfte jetzt wissen müssen, welche typischen Fehler in der Praxis auftreten und mit welchen Maßnahmen sich die Anforderungen strukturiert angehen lassen.
Auf einen Blick
NIS-2 macht Cybersicherheit zur Führungsaufgabe.
Management muss Maßnahmen freigeben, überwachen und nachvollziehbar dokumentieren.
Schulungen für die Leitungsebene sind kein Nice-to-have, sondern ein zentraler Baustein.
Wer jetzt Betroffenheit, Risiken und Meldewege sauber klärt, reduziert Haftungs- und Umsetzungsrisiken deutlich.
Warum NIS-2 Chefsache ist
NIS-2 verschiebt Cybersicherheit endgültig in die Unternehmenssteuerung. Das ist folgerichtig: Angriffe treffen heute nicht mehr nur einzelne Systeme, sondern Lieferketten, Betriebsabläufe, Kundenbeziehungen und die Fähigkeit eines Unternehmens, Leistungen zuverlässig zu erbringen.
Damit wird IT-Sicherheit zu einer Frage der Resilienz und damit zu einer Managementaufgabe. Geschäftsführung und Führungskräfte müssen verstehen, welche Risiken bestehen, welche Schutzmaßnahmen angemessen sind und wie im Ernstfall entschieden wird. Delegation bleibt möglich - Verantwortung nicht.
Genau deshalb ist der Blick auf NIS-2 für die Leitungsebene so wichtig: Nicht technische Detailtiefe steht im Vordergrund, sondern die Fähigkeit, Risiken einzuordnen, Prioritäten zu setzen und die Umsetzung wirksam zu steuern.
Welche Unternehmen betroffen sein können
Der Kreis betroffener Unternehmen ist deutlich größer als viele vermuten. Neben klassischen Betreibern kritischer Infrastrukturen rücken mit NIS-2 auch zahlreiche mittelständische und größere Unternehmen in den Fokus - etwa aus Industrie, Energie, Gesundheit, Logistik, digitalen Diensten oder weiteren regulierten Sektoren.
In der Praxis ist die erste Herausforderung deshalb meist nicht die Maßnahme selbst, sondern die korrekte Einordnung: Fällt das Unternehmen in den Anwendungsbereich? Welche Rolle spielt Größe, Branche oder Bedeutung für Versorgung und Wertschöpfung? Wer diese Frage zu spät klärt, verliert wertvolle Zeit für die Umsetzung.
Für Geschäftsleitungen bedeutet das: Die Betroffenheitsprüfung ist kein formaler Nebenschritt, sondern die Grundlage jeder weiteren Priorisierung.
Schulen auch Sie erfolgreich mit UNIVADO
Cloud-Nutzung: Flexibel, aber oft riskant umgesetzt
Die Cloud verspricht Tempo und Entlastung. Dateien sind von überall abrufbar, Teams arbeiten parallel an Projekten, neue Anwendungen lassen sich in Minuten integrieren. Genau dieser Komfort führt jedoch häufig dazu, dass Sicherheit zur Nebensache wird.
In der Praxis entstehen viele Risiken nicht durch Hacker, sondern durch falsche Einstellungen. Ein Speicherbereich wird versehentlich öffentlich freigegeben. Zugriffsrechte wachsen über Jahre mit, ohne je überprüft zu werden. Ehemalige Mitarbeitende haben noch Zugriff, weil niemand die Berechtigungen sauber entzogen hat.
Dazu kommt ein verbreiteter Irrtum: „In der Cloud ist alles automatisch sicher.“ Das stimmt so nicht. Cloud-Anbieter schützen ihre Infrastruktur, aber nicht automatisch Ihre Datenstruktur, Ihre Zugriffslogik oder Ihre internen Prozesse. Wer den Umgang damit nicht klar regelt, riskiert Datenlecks, Kontrollverlust und im Ernstfall hohe Folgekosten.
Sicherheit ist auch Chefsache
Technische Schutzmaßnahmen allein reichen nicht aus. Die meisten Sicherheitsvorfälle entstehen nicht durch hochkomplexe Angriffe, sondern durch menschliches Fehlverhalten. Etwa durch einen Klick auf eine gut gemachte Phishing-Mail, ein schwaches Passwort oder den unbedachten Umgang mit sensiblen Daten. Gleichzeitig werden Angriffe immer gezielter. Cyberkriminelle recherchieren Verantwortlichkeiten, imitieren Vorgesetzte oder Geschäftspartner und nutzen gezielt Zeitdruck aus.
Hier kommt die Führungsebene ins Spiel. Führungskräfte prägen die Sicherheitskultur im Unternehmen durch ihr eigenes Verhalten, durch Prioritäten und durch klare Kommunikation. Viele Unternehmen machen dabei denselben Fehler. Schulungen finden einmal jährlich statt, sind stark technisch geprägt und erreichen die Mitarbeitenden inhaltlich kaum. Ohne regelmäßige Auffrischung und praxisnahe Beispiele verpufft der Effekt schnell.
Diese Pflichten liegen beim Management
Für Management und Geschäftsführung ergeben sich aus NIS-2 keine rein symbolischen Pflichten. Erwartet wird, dass die Leitungsebene Cybersicherheitsmaßnahmen billigt, deren Umsetzung überwacht und sich die dafür erforderlichen Kenntnisse aneignet.
In der Praxis lassen sich die Anforderungen in fünf Handlungsfelder übersetzen:
Risiken kennen und bewerten: Unternehmen brauchen ein belastbares Verständnis ihrer kritischen Prozesse, Abhängigkeiten und Schwachstellen. Ohne strukturierte Risikoanalyse bleibt Cybersicherheit reaktiv.
Maßnahmen priorisieren und steuern: Technische Tools allein reichen nicht aus. Entscheidend ist, dass geeignete organisatorische, personelle und technische Maßnahmen eingeführt, überprüft und weiterentwickelt werden.
Melde- und Eskalationswege festlegen: Im Sicherheitsvorfall zählt nicht Improvisation, sondern Vorbereitung. Zuständigkeiten, Informationswege und Entscheidungspunkte müssen vorab geklärt sein.
Notfall- und Wiederanlaufplanung absichern: Geschäftskritische Abläufe brauchen belastbare Notfallpläne, damit Vorfälle nicht zu langen Betriebsunterbrechungen oder Kommunikationschaos führen.
Nachweise und Governance dokumentieren: Was nicht dokumentiert ist, lässt sich im Zweifel kaum belegen. Führungskräfte brauchen deshalb Transparenz über Entscheidungen, Maßnahmenstände und Verantwortlichkeiten.
JAHRE ERFAHRUNG
1000+
KUNDEN
USER
Typische Fehler in der Vorbereitung
In vielen Unternehmen wird NIS-2 noch immer zu stark als Projekt der IT verstanden. Das führt fast zwangsläufig zu Lücken: Entscheidungen bleiben zu technisch, Prioritäten werden nicht auf Geschäftsrisiken bezogen und die Geschäftsführung ist im entscheidenden Moment zu wenig eingebunden.
Ein häufiger Fehler ist außerdem die fehlende Verzahnung von Risikomanagement, Incident Response und Business Continuity. Einzelne Maßnahmen mögen vorhanden sein, greifen aber nicht sauber ineinander. Genau dort entstehen im Ernstfall Verzögerungen, Missverständnisse und unnötige Reibungsverluste.
Ebenso problematisch ist eine zu späte Dokumentation. Viele Unternehmen setzen Maßnahmen um, ohne den Governance-Teil mitzuführen: Wer hat was entschieden? Wer ist zuständig? Welche Nachweise liegen vor? Ohne diese Transparenz wird Umsetzung schnell zur Blackbox.
Welche Maßnahmen jetzt Priorität haben
Wer pragmatisch starten will, sollte nicht versuchen, sofort ein perfektes Gesamtsystem aufzubauen. Sinnvoller ist ein priorisierter Einstieg entlang der größten Risiken und der wichtigsten Managementpflichten.
Bewährt hat sich folgende Reihenfolge:
- Betroffenheit sauber prüfen und Verantwortungsbereich auf Leitungsebene festlegen.
- Kritische Geschäftsprozesse, Systeme, Dienstleister und Abhängigkeiten identifizieren.
- Vorhandene Sicherheitsmaßnahmen mit den regulatorischen Anforderungen abgleichen.
- Eskalations-, Melde- und Entscheidungswege für Sicherheitsvorfälle verbindlich definieren.
- Nachweise, Richtlinien, Rollen und Freigaben strukturiert dokumentieren.
- Management und Schlüsselrollen gezielt schulen – nicht nur technisch, sondern entscheidungsorientiert.
Warum Schulungen für die Geschäftsführung so wichtig sind
NIS-2 verlangt nicht nur Maßnahmen, sondern auch Kompetenz. Leitungsgremien müssen Risiken erkennen, Schutzmaßnahmen einordnen und deren Auswirkungen auf Betrieb, Haftung und Unternehmenssteuerung bewerten können. Wer Entscheidungen verantwortet, braucht dafür ein belastbares Grundverständnis.
Genau deshalb gewinnen Schulungen für Management und Geschäftsführung an Bedeutung. Gute Formate vermitteln keine technische Überforderung, sondern Orientierung: Was ist für die Leitungsebene wirklich relevant? Wo liegen typische Fehlentscheidungen? Welche Fragen müssen an IT, Compliance, Datenschutz oder externe Dienstleister gestellt werden?
Für Unternehmen entsteht daraus ein doppelter Nutzen: Zum einen steigt die Handlungsfähigkeit der Führungsebene, zum anderen lassen sich Kompetenzaufbau und Organisationspflichten nachvollziehbar belegen.
Wie ein guter Schulungsansatz aussehen sollte
Gerade für Führungskräfte funktionieren Lernformate dann besonders gut, wenn sie kompakt, praxisnah und rollenspezifisch aufgebaut sind. Reine Gesetzeswiedergabe reicht in der Regel nicht aus. Entscheidend sind konkrete Entscheidungssituationen, typische Risiken, klare Verantwortlichkeiten und ein nachvollziehbarer Bezug zum Unternehmensalltag.
Hilfreich sind deshalb Formate, die regulatorische Anforderungen mit realistischen Szenarien verbinden – etwa zu Meldepflichten, Governance, Lieferkettenrisiken oder dem Umgang mit Sicherheitsvorfällen. So entsteht aus abstrakter Regulierung ein handlungsrelevantes Verständnis.
NIS-2 umsetzen: der sinnvolle nächste Schritt
Für Geschäftsführung und Management ist NIS-2 vor allem eine Führungsaufgabe mit Umsetzungsdruck. Der richtige Einstieg besteht daher selten in Einzelmaßnahmen, sondern in einer klaren Abfolge: Betroffenheit prüfen, Risiken priorisieren, Verantwortlichkeiten festlegen, Nachweise aufbauen und die Leitungsebene qualifizieren.
Unternehmen, die diesen Weg strukturiert gehen, reduzieren nicht nur regulatorische Risiken. Sie schaffen zugleich bessere Entscheidungsgrundlagen für Krisenfälle, stärken ihre Resilienz und verankern Cybersicherheit dauerhaft in der Unternehmenssteuerung.
Für genau diesen Wissenstransfer sind praxisnahe Lernformate besonders wertvoll – insbesondere dann, wenn sie Management, Fachbereiche und operative Rollen mitnehmen, ohne aus dem Beitrag einen Werbetext zu machen. Ein guter Blogartikel informiert deshalb zuerst. Vertrauen entsteht dann über Relevanz, Verständlichkeit und fachliche Substanz.
Starten Sie hier: NIS2 für Führungskräfte
Checkliste für die Geschäftsführung
Diese fünf Fragen helfen bei der ersten Selbstprüfung:
Prüfen Sie Branche, Größe, Rolle in der Lieferkette und regulatorische
Einordnung.
Leitung, IT, Compliance und weitere Funktionen brauchen klare
Zuständigkeiten und Eskalationswege.
Betrachten Sie kritische Prozesse, Systeme, Dienstleister und mögliche
Ausfallfolgen.
Meldewege, Entscheidungslogik, Notfallkommunikation und Wiederanlauf sollten definiert und geübt sein.
Dokumentation, Schulungen, Freigaben und Umsetzungsstände müssen nachvollziehbar vorliegen.
Kurzprofil Autor:in
Prof. Dr.-Ing. Christian Zenger ist Professor für IT-Sicherheit (IoT) an der Ruhr-Universität Bochum, Mitgründer der PHYSEC GmbH und tätig in der Forschung und Standardisierung.