NIS-2 in 6 Wochen: Der Sprint, der beim Vorstand ankommt
NIS-2 in 6 Wochen: Der Sprint, der beim Vorstand ankommt
Die falsche Frage am Anfang
Viele Unternehmen starten NIS-2 mit der falschen Frage. Sie fragen, welches Tool sie kaufen sollen, welches Framework sie einführen, welchen Berater sie engagieren. Beides ist die falsche Reihenfolge.
Die richtige Frage lautet: Wo stehen wir wirklich, und was sind unsere drei kritischsten Lücken?
Wer diese Frage nicht beantworten kann, landet in einem 18-Monate-Projekt mit einem 200-Seiten-Konzept, das niemand liest. Und in einem Vorstandsmeeting, in dem die CISO erklären muss, warum nach einem Jahr noch nichts Messbares geliefert wurde.
Sechs Wochen. Ein Vorstand. Erste Ergebnisse.
Der Sprint-Ansatz macht daraus einen 6-Wochen-Zyklus mit klarem Output.
Woche 1-2: Ist-Aufnahme ohne PowerPoint
Keine Folien. Keine vorgefertigten Antworten. Stattdessen: Interviews mit den Personen, die operative Verantwortung tragen. IT-Leiter, Datenschutzbeauftragter, Operations-Manager.
Das Ziel ist ein reales Bild der aktuellen Sicherheitslage, nicht das Wunschbild aus dem letzten Audit-Bericht. Wer nur Dokumente liest, versteht die Lücken zwischen Papier und Praxis nicht.
Woche 3: Priorisierung mit System
Nicht alle 47 Maßnahmen aus der NIS-2-Checkliste sind gleich wichtig. Die Formel ist simpel: Risiko multipliziert mit Aufwand. Daraus entstehen die Top-5-Lücken mit dem höchsten Hebel.
Fokus statt Aktionismus. Drei umgesetzte Maßnahmen schlagen zwanzig begonnene.
Woche 4-5: Erste Maßnahmen, erste Nachweise
Umsetzung beginnt, bevor das Konzept fertig ist. Rollen werden geklärt: Wer ist verantwortlich, wer liefert Nachweise, wer eskaliert?
Erste Dokumentationen entstehen. Nicht perfekt. Aber belastbar genug, um im Prüfungsfall zu bestehen.
Woche 6: Vorstandsbericht auf zwei Seiten
Keine 60-seitige Präsentation. Zwei Seiten mit klarer Sprache: Was war der Ausgangspunkt, was wurde erreicht, was sind die nächsten Schritte.
Vorstände haben wenig Zeit und niedrige Toleranz für Fachjargon. Zwei Seiten funktionieren. Sechzig Seiten enden im Ablagefach.
Der eigentliche Durchbruch: Sichtbarkeit
NIS-2-Compliance ist kein reines IT-Projekt. Es ist ein Governance-Thema. Und Governance-Themen scheitern, wenn sie unsichtbar bleiben.
Der Wert des Sprint-Ansatzes liegt nicht nur in den Maßnahmen, die umgesetzt werden. Er liegt darin, dass der Vorstand zum ersten Mal in klarer Sprache versteht: Hier stehen wir. Das sind unsere Lücken. Das ist unser nächster Schritt.
Sichtbarkeit schafft Vertrauen. Vertrauen schafft Budget. Budget ermöglicht Umsetzung.
Was Unternehmen jetzt tun können
Ein Sprint-Ansatz ist kein Wundermittel. Er funktioniert, wenn drei Bedingungen erfüllt sind:
- Klares Mandat von oben. Ohne Rückendeckung der Geschäftsführung stockt jeder Sprint in Woche 3.
- Erfahrene Moderation. Die Ist-Aufnahme ist so gut wie die Fragen, die gestellt werden.
- Bereitschaft, Prioritäten zu setzen. Wer alles gleichzeitig machen will, kommt in 6 Wochen nicht weit.
Der erste Schritt kostet nichts: Ein ehrliches Gespräch mit den drei Personen, die am meisten über die tatsächliche Sicherheitslage wissen. Kein Workshop. Kein Template. Nur das Gespräch.