Cybervize - Cybersecurity Beratung
Alle Artikel

NIS-2 pragmatisch starten: Warum parallele Workstreams scheitern – und was stattdessen hilft

Alexander Busse·23. März 2026
NIS-2 pragmatisch starten: Warum parallele Workstreams scheitern – und was stattdessen hilft

Letzte Woche saß ich in einem NIS-2-Kick-off. 12 Leute am Tisch, die Agenda: Umsetzung. Nach 20 Minuten hatte ich fünf Workstreams, drei Tool-Favoriten und null Priorisierung gehört. Der Projektleiter sagte: "Wir müssen einfach alles gleichzeitig anpacken." Genau das ist der schnellste Weg, NIS-2 zu verlieren.

Diese Situation ist kein Einzelfall. Sie wiederholt sich in zahlreichen Unternehmen – und sie ist kein Zeichen von Engagement, sondern von fehlender Struktur. Der Wunsch, alles auf einmal anzugehen, ist nachvollziehbar. Er führt aber fast immer zu demselben Ergebnis: viel Aktivität, wenig Substanz.

Das Problem mit dem "Alles gleichzeitig"-Ansatz

NIS-2-Umsetzungen mit langen Laufzeiten und mehreren parallelen Workstreams scheitern aus einem strukturellen Grund: Ressourcen sind begrenzt. Teams sind nicht ausschließlich mit NIS-2 beschäftigt. Expertise ist nicht gleichmäßig über alle Themen verteilt. Und Prioritäten, die nicht gesetzt werden, werden vom Tagesgeschäft gesetzt.

Das Ergebnis nach sechs Monaten parallel laufender Workstreams sieht dann typischerweise so aus: wenig Substanz in jedem Bereich, noch weniger Motivation bei den Beteiligten, und ein Meilenstein-Plan, der zunehmend mit der Realität divergiert. Die Versuchung, den Scope zu kürzen oder das Projekt zu strecken, ist dann groß – aber beides löst das Grundproblem nicht.

Was einen pragmatischen Start auszeichnet

Ein pragmatischer NIS-2-Start sieht anders aus. Er beginnt mit einem strukturierten Ist-Bild: Was ist tatsächlich vorhanden? Wo sind die größten Lücken – und wie schwerwiegend sind sie im Verhältnis zum Aufwand, sie zu schließen? Erst dann werden Prioritäten gesetzt.

Der pragmatische Ansatz hat vier Schritte: Ist-Bild schaffen (wo stehen wir wirklich?), Prioritäten setzen (welche Lücken haben das höchste Risiko bei gleichzeitig handhabbarem Aufwand?), Ownership klären (wer ist tatsächlich verantwortlich – mit Mandat und Kapazität?) und Aufwand realistisch planen (was können wir in den nächsten drei Monaten tatsächlich abschließen?).

Der Prioritätenfilter als praktisches Werkzeug

Ein bewährtes Mini-Artefakt für die Priorisierungsarbeit ist der Prioritätenfilter: Die Top-10-Lücken werden identifiziert, nach Risiko und Aufwand bewertet und daraus werden die Top-5-Backlog-Items mit Owner und erstem Nachweisdatum abgeleitet. Dieses einfache Werkzeug schafft sofort Handlungsfähigkeit.

Es verhindert die häufige Falle, bei der zwar viele Themen auf der Agenda stehen, aber keines davon wirklich vorankommt. Und es schafft eine Grundlage für das regelmäßige Reporting: Wir arbeiten an diesen fünf Themen, hier ist der Stand, hier sind die nächsten Schritte.

Ownership und Kapazität: Die unterschätzten Erfolgsfaktoren

Zwei Faktoren werden bei NIS-2-Projekten regelmäßig unterschätzt: Ownership und Kapazität. Ownership bedeutet nicht nur, einen Namen in eine RACI-Matrix zu schreiben. Es bedeutet, dass eine Person das Mandat und die Entscheidungskompetenz hat, ein Thema voranzutreiben – und dass sie dafür auch Zeit hat.

Kapazität ist oft das ehrlichste Gespräch, das im Kick-off geführt werden muss: Wieviel Zeit kann der CISO, der IT-Leiter oder der Compliance-Verantwortliche wirklich in NIS-2-Themen investieren – neben dem Tagesgeschäft? Die Antwort auf diese Frage bestimmt, wie ambitioniert der Plan realistischerweise sein kann.

Fazit: Klein anfangen, konsequent abschließen

Für Unternehmen im Mittelstand, die NIS-2 ernstnehmen wollen, gilt: Besser drei Themen vollständig abschließen als zehn Themen halb bearbeiten. Der erste abgeschlossene Workstream schafft Glaubwürdigkeit – intern und gegenüber Aufsichtsbehörden. Er zeigt, dass das Unternehmen nicht nur plant, sondern umsetzt.

Ein großer Wurf ist selten der richtige Weg. Kleine, greifbare Schritte mit klaren Ergebnissen schaffen die Basis für alles, was danach kommt. NIS-2 ist ein Marathon – aber er beginnt mit dem ersten, gut platzierten Schritt.

Zurück zur Übersicht

Weitere Artikel

Die Informationssicherheitsleitlinie als Quick Win: Fundament für NIS-2-Compliance

Viele Unternehmen schieben die Informationssicherheitsleitlinie auf die lange Bank. Dabei ist sie der wichtigste Quick Win auf dem Weg zur NIS-2-Compliance – wenn sie richtig aufgesetzt wird.

25. März 2026

Informationssicherheitsleitlinie als Quick Win: Warum das wichtigste ISMS-Dokument zuerst kommen sollte

Viele Unternehmen schieben die Informationssicherheitsleitlinie nach hinten. Dabei ist sie der operative Ankerpunkt fuer ISMS-Aufbau und NIS-2-Umsetzung und laesst sich in wenigen Wochen erarbeiten.

25. März 2026

Digitale Souveränität: Wer hat wirklich administrativen Zugriff auf Ihre Systeme?

"EU-Service" klingt beruhigend. Doch Souveränität beginnt nicht beim Vertragspartner – sie beginnt bei der Lieferkette. Vier Prüffragen, die jeder IT-Entscheider im Mittelstand kennen sollte.

24. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren
CISO & Führung

CISO Interviews | Christophe Monigadon | Berner Kantonalbank

Mit Christophe Monigadon, Berner Kantonalbank

38 minAnhoeren