Cybervize - Cybersecurity Beratung
Alle Artikel

Das 40-Seiten-Assessment-Problem: Warum NIS-2 Assessments entscheidungsreif sein müssen

Alexander Busse·17. März 2026
Das 40-Seiten-Assessment-Problem: Warum NIS-2 Assessments entscheidungsreif sein müssen

Letzte Woche landete ein 40-seitiges NIS-2 Assessment auf dem Schreibtisch eines CISOs. Sein einziger Kommentar: „Und jetzt?" Dieser kurze Satz beschreibt ein weit verbreitetes Problem in der Informationssicherheit des deutschen Mittelstands. Assessments werden durchgeführt, Befunde dokumentiert, Berichte gedruckt — und dann liegt das Dokument im Regal. Keine Entscheidungen werden getroffen, keine Maßnahmen eingeleitet, kein Fortschritt erzielt.

Die Frage ist nicht, ob ein Assessment gemacht wurde. Die Frage ist: Was passiert danach?

Die Entscheidungsfalle

Ein Assessment, nach dem niemand entscheiden kann, ist schlicht Zeitverschwendung. Das klingt hart, aber es ist die Realität in vielen mittelständischen Unternehmen. Die Herausforderung liegt nicht im Fehlen von Wissen — die Fachkompetenz ist meistens vorhanden. Das eigentliche Problem ist struktureller Natur: Assessments werden zu ausführlichen Statusberichten, aber nicht zu Handlungsgrundlagen.

NIS-2 stellt dabei besondere Anforderungen. Die Richtlinie verlangt nicht nur die Identifikation von Schwachstellen, sondern auch die klare Zuweisung von Verantwortlichkeiten auf Leitungsebene. Ohne diese Zuweisungen bleibt jedes Assessment unvollständig — egal wie professionell es erstellt wurde. Genau hier scheitern die meisten Umsetzungsprojekte im ersten Schritt.

Drei Outputs, die jedes NIS-2 Assessment liefern muss

Aus der praktischen Arbeit mit mittelständischen Unternehmen hat sich gezeigt: Ein wirksames NIS-2 Assessment braucht genau drei klare Outputs. Fehlt auch nur einer davon, wird das Assessment zur Schubladenübung.

Was hat Priorität? Das Ergebnis eines Assessments sollte keine alphabetisch sortierte Liste von Findings sein. Es muss eine klare Priorisierung enthalten: Welche Maßnahmen sind kritisch und müssen sofort angegangen werden? Welche haben mittelfristige Relevanz? Und was kann vorerst zurückgestellt werden, ohne das Risikoprofil wesentlich zu verschlechtern? Diese Priorisierung muss nachvollziehbar begründet sein — auf Basis von Risikowert, Aufwand und regulatorischer Anforderung.

Wer übernimmt Ownership? NIS-2 macht klar, dass Cybersicherheit Chefsache ist. Das bedeutet konkret: Für jede identifizierte Maßnahme muss ein verantwortlicher Owner benannt sein — nicht „die IT-Abteilung", sondern eine Person mit Name, Funktion und Entscheidungsbefugnis. Dazu gehört eine klar benannte Stellvertretung sowie ein definierter Review-Takt, zum Beispiel monatlich. Ohne diese Strukturen verdunstet Verantwortung in der Hierarchie — ein klassisches Muster, das bei Audits und im Ernstfall teuer werden kann.

Welcher Aufwand ist realistisch? Jede Maßnahme ohne realistische Aufwandsschätzung wird nicht umgesetzt. Das ist keine Kritik an den Beteiligten, sondern eine organisatorische Realität. Wenn ein Assessment nur sagt „Maßnahme X ist notwendig", aber nicht „Maßnahme X erfordert ca. 80 Stunden externer Beratung plus 30 Stunden interner Ressourcen im zweiten Quartal", dann fehlt die Grundlage für Budgetplanung und Ressourcenallokation.

Assessments als Hebel, nicht als Pflichtübung

Diese drei Outputs transformieren ein Assessment von einer Compliance-Pflichtübung in ein strategisches Steuerungsinstrument. Plötzlich hat die Geschäftsführung eine Entscheidungsgrundlage. Plötzlich weiß der CISO, wer nächste Woche was tun muss. Plötzlich lässt sich Fortschritt messen und kommunizieren.

NIS-2 ist kein bürokratisches Hindernis — es ist eine Strukturierungshilfe. Die Richtlinie zwingt Organisationen dazu, Prozesse zu definieren, Verantwortlichkeiten zu klären und Risiken systematisch zu managen. Das sind Fähigkeiten, die auch unabhängig von regulatorischen Anforderungen den Geschäftsbetrieb robuster machen. Ein Assessment ist dabei nicht das Ende, sondern der Startpunkt einer strukturierten Umsetzung.

Praktische Umsetzung: Was ein strukturiertes Assessment leisten muss

Ein betreutes NIS-2 Assessment, das diese drei Outputs systematisch liefert, folgt einem klaren Ablaufmodell. Im ersten Schritt erfolgt eine strukturierte Bestandsaufnahme über einen digitalen Questionnaire, der den aktuellen Sicherheitsstatus entlang aller NIS-2-relevanten Bereiche erfasst: Governance, Risikomanagement, Incident Response, Lieferkettensicherheit und Zugriffssteuerung.

Im zweiten Schritt folgen zwei gezielte Workshops: einer zur Priorisierung der Findings gemeinsam mit der Leitungsebene, und einer zur Ownership-Zuweisung mit den verantwortlichen Fachbereichen. Diese Workshops sind keine Reporting-Sessions — sie sind Entscheidungsforen, in denen konkrete Verantwortlichkeiten und Zeitpläne festgelegt werden.

Das Ergebnis ist kein weiteres 40-seitiges Dokument. Das Ergebnis ist eine kompakte Umsetzungsmatrix: Maßnahmen, Prioritäten, Owner, Stellvertretungen, Aufwand, Zeitplan. Alles, was ein Unternehmen braucht, um sofort loszulegen — und um bei der nächsten Geschäftsführungssitzung konkret berichten zu können.

Fazit: Die Frage darf nach dem Assessment nicht mehr offen sein

Die Unternehmen, die NIS-2 erfolgreich umsetzen, sind nicht jene mit den vollständigsten Dokumentationen. Es sind jene, die nach dem Assessment wissen, was als nächstes zu tun ist, wer es tut und wie lange es dauert. Das „Und jetzt?" ist kein Zeichen fehlender Kompetenz — es ist ein Zeichen eines unvollständigen Prozesses.

Ein gutes NIS-2 Assessment beantwortet diese Frage, bevor sie gestellt wird. Es liefert nicht nur eine Bestandsaufnahme, sondern einen klaren Fahrplan. Denn Compliance ohne Handlungsfähigkeit ist nur Papier — und Papier schützt keine Systeme.

Zurück zur Übersicht

Weitere Artikel

NIS-2 Ownership: Warum 'eigentlich die IT' der Anfang vom Scheitern ist

Wenn 'alle und niemand' fuer NIS-2 verantwortlich sind, scheitert die Umsetzung, bevor sie beginnt. Warum Ownership der unterschaetzte Erfolgsfaktor ist und wie ein strukturiertes Assessment Klarheit schafft.

16. März 2026

KI wird besser im Finden menschlicher Fehler: Warum Cybersecurity resiliente Systeme braucht

Nicht Menschen werden schlechter in Cybersecurity. KI wird besser darin, ihre Fehler zu finden. Das verändert die Spielregeln grundlegend – und macht resiliente Systeme zur wichtigsten Antwort.

15. März 2026

CROSSBORDER CYBERSECURITY TOUR #2: Warum NIS2 eine strategische Chance für den Mittelstand ist

Alexander Busse spricht auf der CROSSBORDER CYBERSECURITY TOUR #2 in Saarbrücken über operative Exzellenz durch NIS2. Warum 70 % der KMU die Regulierung falsch einschätzen – und wie sie daraus einen echten Wettbewerbsvorteil machen können.

14. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren
Startups & Innovation

Startups im Fadenkreuz

Mit Saskia Bestgen, Beraterin und Auditorin

34 minAnhoeren