Cybervize - Cybersecurity Beratung
Alle Artikel

NIS-2 als Toolprojekt: Der teuerste Startfehler

Alexander Busse·2. März 2026
NIS-2 als Toolprojekt: Der teuerste Startfehler

NIS-2 als Toolprojekt aufzusetzen ist der häufigste und teuerste Startfehler. Ich sehe ihn bei fast jedem zweiten Unternehmen, das sich zum ersten Mal mit der Richtlinie befasst.

Das Problem ist nicht das Tool selbst. Tools können sinnvoll sein. Das Problem ist die Reihenfolge: Wer zuerst ein Tool kauft und dann versucht, Ownership und Priorisierung nachzuziehen, hat das Pferd von hinten aufgezäumt.

Warum der Toolkauf zuerst passiert

Die Erklärung ist einfach: Tools lassen sich zeigen. Man kann sie dem Management präsentieren, einen Screenshot machen, eine Lizenz nachweisen. Das fühlt sich nach Fortschritt an - und ist es nicht.

Was hinter dem Toolkauf steckt, ist oft eine unangenehme Vermeidungsbewegung: Die wirklich schwierigen Fragen werden nicht gestellt. Wer ist verantwortlich? Was hat Priorität? Wieviel Aufwand ist intern realistisch leistbar?

Diese Fragen haben keine schönen Antworten. Verantwortung bedeutet, dass jemand konkret benannt wird. Prioritäten bedeuten, dass etwas anderes zurückstellt wird. Aufwand bedeutet, dass Budget und Zeit sichtbar gemacht werden müssen.

Was ohne Struktur passiert

Ohne Ownership, Priorisierung und Nachweisstruktur endet jedes NIS-2 Projekt im Regelbetrieb in Abstimmungsrunden und Excel. Die Energie, die zu Beginn vorhanden ist, verpufft. Sechs Monate später hat das Unternehmen ein Tool, das niemand richtig nutzt, und eine Compliance-Lücke, die grösser geworden ist als vorher.

Das ist kein Ausnahmefall. Das ist das Standardergebnis, wenn das Tool vor dem Betriebsmodell kommt.

Was in der Praxis funktioniert

Drei Elemente müssen vor dem Toolkauf feststehen:

Erstens: klare Verantwortlichkeiten. Nicht "eigentlich die IT" oder "wir alle". Eine Person, die entscheidet und Rechenschaft ablegt.

Zweitens: eine Roadmap, die in 30-60-90 Tage umsetzbar ist. Nicht ein 18-Monats-Plan, der in der Schublade landet. Konkrete Schritte, die intern tatsächlich leistbar sind.

Drittens: Aufwand, der in den Alltag passt. NIS-2 ist kein Vollzeitprojekt für die meisten Mittelständler. Es muss neben dem Tagesgeschäft funktionieren - oder es funktioniert nicht.

Der strukturierte Einstieg

Ein betreutes NIS-2 Assessment liefert genau diese drei Outputs: Ist-Bild, priorisierte Roadmap, Verantwortlichkeiten und Aufwandsschätzung. Mit Kick-off, Questionnaire in einer strukturierten Plattform, zwei Workshops und einer Ergebnis-Präsentation, die das Management tatsächlich nutzen kann.

Fazit

Wer NIS-2 ernst nimmt, fängt nicht mit dem Tool an. Er fängt mit der Frage an: Wer trägt Ownership, was hat Priorität, und was ist realistisch? Erst wenn diese Fragen beantwortet sind, macht ein Tool Sinn.

Der Toolkauf zuerst ist kein Zeichen von Fortschritt. Er ist ein Zeichen, dass die schwierigen Fragen noch nicht gestellt wurden.

Zurück zur Übersicht

Weitere Artikel

Die umsetzbare NIS-2-Roadmap: Besser als die schönste Präsentation

Die beste NIS-2-Roadmap ist nicht die umfangreichste oder schönste. Sie ist die, die tatsächlich umgesetzt wird. Was das konkret bedeutet.

30. März 2026

NIS-2-Tool gesucht? Warum ein Betriebsmodell vor der Software kommen muss

Viele Unternehmen suchen als Erstes ein Tool für NIS-2. Dabei fehlt oft das Fundament: ein klares Betriebsmodell mit definierten Verantwortlichkeiten und Prozessen. Warum die Reihenfolge entscheidend ist.

27. März 2026

Die Informationssicherheitsleitlinie als Quick Win: Fundament für NIS-2-Compliance

Viele Unternehmen schieben die Informationssicherheitsleitlinie auf die lange Bank. Dabei ist sie der wichtigste Quick Win auf dem Weg zur NIS-2-Compliance – wenn sie richtig aufgesetzt wird.

25. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren