IT- UND CYBERSICHERHEIT 4 DSD 1 | 2026 NIS2-Richtlinie: Wenn Cybersicherheit zur Führungsaufgabe wird Von Dirk H. Bürhaus Die Digitalisierung von Geschäfts- und Produktionsprozessen macht Unternehmen abhängig von stabilen und sicheren IT- und Informationssystemen. Parallel dazu nimmt die Zahl gezielter Cyberangriffe stetig zu. Auch mittelständische Unternehmen geraten verstärkt in den Fokus von Angreifern. Mit der NIS2-Richtlinie reagiert die Europäische Union auf diese Entwicklung und hebt das Sicherheitsniveau für Netz- und Informationssysteme deutlich an. In Deutschland ist die Richtlinie mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 in Kraft. Damit sind die neuen Anforderungen verbindlicher Rechtsrahmen und nicht länger eine reine Zukunftsankündigung. Gegenüber der bisherigen NIS1-Richtlinie wurde der Anwendungsbereich erheblich ausgeweitet. Deutlich mehr Unternehmen sind nun verpflichtet, ein strukturiertes und nachweisbares Cyber-Sicherheitsniveau umzusetzen. Ziel ist ein europaweit einheitlicher Schutzstandard, der nicht nur einzelne IT-Systeme absichert, sondern die Resilienz von Organisationen insgesamt stärkt. Cybersicherheit rückt damit aus der rein technischen Perspektive heraus und wird zu einer organisationsweiten Aufgabe, die Prozesse, Verantwortlichkeiten und Managemententscheidungen einschließt. Komplexität und Silodenken als zentrale Herausforderung In der Praxis stehen viele Unternehmen zunächst vor der Frage, ob und in welchem Umfang sie von der NIS2-Richtlinie betroffen sind. Die Einstufung als„wesentliche“ oder„wichtige“ Einrichtung, die Zuordnung zu den betroffenen Sektoren sowie Schwellenwerte bei Beschäftigtenzahl oder Umsatz führen häufig zu Unsicherheiten. Gleichzeitig unterschätzen insbesondere mittelständische Unternehmen den organisatorischen, technischen und dokumentarischen Aufwand, den die neuen Vorgaben mit sich bringen. Hinzu kommt ein strukturelles Problem, das in vielen Organisationen anzutreffen ist: Cybersicherheit wird weiterhin in getrennten Zuständigkeiten gedacht. IT, Compliance, Risikomanagement und operative Einheiten agieren nebeneinander, anstatt gemeinsam an einem integrierten Sicherheitskonzept zu arbeiten. Dieses Silodenken führt zu Lücken in Prozessen, unklaren Verantwortlichkeiten und verzögerten Reaktionen auf Sicherheitsvorfälle. NIS2 macht deutlich, dass ein solcher Ansatz nicht mehr ausreicht. Gefordert ist ein strategisches Sicherheitsverständnis, das Cyberrisiken ganzheitlich betrachtet und systematisch steuert. Was NIS2 konkret fordert Die NIS2-Richtlinie verpflichtet betroffene Unternehmen dazu, Risiken für ihre Netz- und Informationssysteme strukturiert zu identifizieren, zu bewerten und zu behandeln. Im Mittelpunkt steht ein nachweisbares Risikomanagement, das technische, organisatorische und prozessuale Maßnahmen umfasst. Unternehmen müssen zeigen können, dass sie Cyberbedrohungen frühzeitig erkennen, Sicherheitsvorfälle wirksam bewältigen und die Kontinuität kritischer Geschäftsprozesse sicherstellen. Dazu gehören u. a. klar definierte Prozesse für Incident Response und Meldewesen, technische Schutzmaßnahmen wie Zugriffskontrollen, Verschlüsselung oder Patch-Management sowie Vorkehrungen zur Absicherung von Lieferketten und Dienstleistern. Ergänzt werden diese Anforderungen durch Schulungs- und Awareness-Maßnahmen, regelmäßige Wirksamkeitsprüfungen sowie eine klare Verantwortung der Unternehmensleitung für Steuerung, Kontrolle und Dokumentation der Sicherheitsmaßnahmen. Deutlich wird: NIS2 ist keine punktuelle Checkliste, sondern ein umfassender organisatorischer Transformationsprozess. Der Weg zu einer integrierten Sicherheitsarchitektur Um die Anforderungen der NIS2-Richtlinie wirksam umzusetzen, empfiehlt sich ein strukturiertes, schrittweises Vorgehen. Ausgangspunkt ist eine fundierte Analyse, die klärt, ob und in welchem Umfang ein Unternehmen unter die Richtlinie fällt seit vielen Jahren Geschäftsführender Direktor in der KÖTTER Security Gruppe und zudem Geschäftsführer des Cybersecurity-Spezialisten G.I.P., an dem das Familienunternehmen eine Mehrheitsbeteiligung hält. Darüber hinaus ist er u. a. im Vorstand des BDSW engagiert, langjähriges Mitglied der ASIS International (der weltweit größten Organisation für Fragen der Sicherheit in der privaten Wirtschaft) und wirkt in verschiedenen Arbeitskreisen im europäischen Dachverband des Bewachungsgewerbes CoESS mit. Dirk H. Bürhaus
RkJQdWJsaXNoZXIy Mjc4MQ==