Cybervize - Cybersecurity Beratung
Alle Artikel

NIS-2 Ownership: Wenn alle verantwortlich sind, ist es niemand

Alexander Busse·16. März 2026
NIS-2 Ownership: Wenn alle verantwortlich sind, ist es niemand

Die häufigste Antwort auf die Frage "Wer verantwortet NIS-2 bei Ihnen?" lautet: "Eigentlich die IT." Oder: "Wir haben das aufgeteilt." Oder: "Das klären wir noch."

Alle drei Antworten bedeuten dasselbe: Ownership ist nicht geklärt. Und ohne geklärte Ownership wird NIS-2 zu einem Projekt, das alle und niemand verantwortet - mit dem vorhersehbaren Ergebnis, dass es im Regelbetrieb nicht vorankommt.

Was "Ownership" konkret bedeutet

Ownership bei NIS-2 bedeutet nicht, dass eine Person alle technischen Massnahmen alleine umsetzt. Es bedeutet drei Dinge:

Erstens: Eine Person weiss zu jedem Zeitpunkt, wo das Unternehmen beim Thema steht. Was abgeschlossen ist, was offen ist, was gefährdet ist.

Zweitens: Diese Person trifft Entscheidungen, wenn Ressourcen knapp sind oder Prioritäten konkurrieren. Nicht durch endlose Abstimmungsrunden, sondern mit Mandat.

Drittens: Diese Person eskaliert, wenn etwas nicht vorankommt. An die Geschäftsleitung, an den Vorstand - je nach Unternehmensstruktur.

Warum "alle" nicht funktioniert

Geteilte Verantwortung ist eine höfliche Umschreibung für fehlende Verantwortung. Wenn IT, Compliance, Geschäftsleitung und externe Berater gleichberechtigt "alle mitverantwortlich" sind, passiert Folgendes:

Jeder wartet darauf, dass jemand anderes die Initiative ergreift. Unangenehme Entscheidungen werden vertagt. Ressourcen werden nicht freigegeben, weil keine Eskalation stattfindet. Das Projekt verlangsamt sich, bis es zum Stillstand kommt.

Das ist keine Charakterfrage. Das ist Systemdynamik. Ohne klare Accountability-Struktur ist das Ergebnis vorhersehbar.

Das Ownership-Problem im Assessment klären

Ein gutes NIS-2 Assessment klärt Ownership nicht irgendwann am Ende, sondern früh im Prozess. Im Kick-off, spätestens im ersten Workshop.

Die Fragen, die dabei beantwortet werden müssen: Wer ist der NIS-2-Verantwortliche gegenüber der Geschäftsleitung? Wer verantwortet die einzelnen Massnahmen? Wer eskaliert, wenn die Umsetzung ins Stocken gerät?

Die Antworten müssen nicht perfekt sein. Sie müssen konkret sein. Einen Namen tragen, nicht einen Funktionsbereich.

Was passiert, wenn Ownership fehlt

Ohne Ownership gibt es keine Roadmap, die eingehalten wird. Es gibt kein Statusgespräch, das Fortschritt misst. Es gibt keine Eskalation, wenn Deadlines nicht gehalten werden.

Am Ende hat das Unternehmen einen NIS-2 Ordner mit Dokumenten, aber keinen Betrieb, der tatsächlich gegen die Anforderungen abgesichert ist. Das ist der Unterschied zwischen Compliance-Performance und echter Resilienz.

Fazit

NIS-2 Ownership ist keine organisatorische Formalität. Sie ist die Voraussetzung für jede andere Massnahme. Wer bei der Frage nach Ownership ausweicht, signalisiert, dass das Projekt bereits in Schwierigkeiten ist - bevor es richtig begonnen hat.

Im Assessment wird Ownership festgelegt, bevor die Roadmap entsteht. Nicht danach.

Zurück zur Übersicht

Weitere Artikel

Die umsetzbare NIS-2-Roadmap: Besser als die schönste Präsentation

Die beste NIS-2-Roadmap ist nicht die umfangreichste oder schönste. Sie ist die, die tatsächlich umgesetzt wird. Was das konkret bedeutet.

30. März 2026

NIS-2-Tool gesucht? Warum ein Betriebsmodell vor der Software kommen muss

Viele Unternehmen suchen als Erstes ein Tool für NIS-2. Dabei fehlt oft das Fundament: ein klares Betriebsmodell mit definierten Verantwortlichkeiten und Prozessen. Warum die Reihenfolge entscheidend ist.

27. März 2026

Wenn der IT-Dienstleister kuendigt: Warum Exit-Strategien Chefsache sind

Was passiert, wenn Ihr wichtigster IT-Dienstleister morgen kuendigt? Ohne Exit-Strategie wird aus einem Vertragsende schnell eine Krise. Vier operative Bausteine für echte Handlungsfaehigkeit.

26. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
OT-Security

OT-Security ohne Stillstand

Mit Fatmir Sinani, OT-Experte

36 minAnhoeren
Awareness & Kultur

Florian Jörgens | Vorwerk | Sensibilisierung ist der Schlüssel zur Cybersicherheit

Mit Florian Jörgens, Vorwerk

34 minAnhoeren