NIS-2 Assessment: Drei Outputs, die Entscheidungen ermöglichen

Ein NIS-2 Assessment ist nur dann hilfreich, wenn danach Entscheidungen möglich sind. Diese Aussage klingt selbstverständlich - ist es in der Praxis aber nicht.

Ich sehe regelmässig Assessments, die 40 Seiten Befunde produzieren, aber kein Management-Team in die Lage versetzen, am nächsten Montag mit der Umsetzung zu beginnen. Zu viele Themen, zu wenig Priorisierung, kein klarer Besitzer.

Die drei Outputs, die wirklich zählen

Wenn ein Assessment fertig ist, müssen drei Dinge glasklar sein. Nicht annähernd klar - sondern entscheidungsreif.

Output 1: Priorität

Was muss zuerst passieren? Nicht die vollständige Liste aller Lücken, sondern eine Reihenfolge, die sich an Risiko und Aufwand orientiert. Eine 30-60-90-Tage-Roadmap, die intern tatsächlich umsetzbar ist.

Die häufigste Schwäche von Assessments ist die fehlende Priorisierung. Alles ist wichtig, also ist nichts wichtig. Das Ergebnis: Paralyse statt Bewegung.

Output 2: Ownership

Wer trägt für welchen Bereich Verantwortung? Nicht "die IT" als Sammelbegriff, sondern eine konkrete Person, die in einem Statusgespräch Rechenschaft ablegen kann.

Ownership bedeutet nicht, dass eine Person alles alleine umsetzen muss. Sie bedeutet, dass eine Person den Überblick behält, Entscheidungen trifft und eskaliert, wenn etwas nicht vorankommt.

Ohne Ownership ist jede Roadmap ein Wunschzettel.

Output 3: Realistischer Aufwand

Wieviel Zeit braucht die Umsetzung? Wie viele interne Ressourcen sind nötig? Wann ist externer Support sinnvoll?

Diese Fragen werden in Assessments oft zu wenig konkret beantwortet. Das rächt sich später: Teams beginnen mit der Umsetzung, merken nach zwei Monaten, dass der Aufwand unterschätzt wurde, und verlieren das Momentum.

Warum alle drei zusammen nötig sind

Priorität ohne Ownership führt zu Projekten, die niemand vorantreibt. Ownership ohne klare Priorität führt zu Ownership für alles auf einmal - was in der Praxis bedeutet: für nichts. Aufwand ohne Priorität ist sinnlos zu planen.

Die drei Outputs hängen direkt zusammen. Ein Assessment, das nur einen oder zwei davon liefert, ist unvollständig.

Was ein gutes Assessment leisten muss

Ein strukturiertes Assessment beginnt mit einer Bestandsaufnahme, die nicht auf persönlichen Einschätzungen basiert, sondern auf einem systematischen Questionnaire. Darauf aufbauend entstehen in zwei Workshops priorisierte Massnahmen, klare Verantwortlichkeiten und ein realistischer Aufwandsplan.

Das Ergebnis ist eine Präsentation, die das Management konkret nutzen kann - nicht als Dokumentationsnachweis, sondern als Entscheidungsgrundlage.

Fazit

Die Frage, die jedes Assessment beantworten muss, ist nicht: "Wo haben wir Lücken?" Die richtige Frage ist: "Was tun wir jetzt als nächstes, wer macht es, und wieviel Zeit brauchen wir dafür?"

Ein Assessment, das diese drei Fragen klar beantwortet, ist hilfreich. Eines, das es nicht tut, ist eine teure Dokumentationsübung.