Cybervize – Cybersecurity Beratung
Alle Artikel

NIS2: Die Brücke zwischen Compliance und Technik bauen

Alexander Busse·18. November 2025
NIS2: Die Brücke zwischen Compliance und Technik bauen

Der Graben zwischen Compliance und Technik: Warum "Alibi-IT" entsteht

In meinem vorletzten Beitrag zu NIS2 als "Management-Nagelprobe" habe ich vor "Potemkinscher Compliance" gewarnt. Einer Compliance, die auf dem Papier perfekt aussieht, aber in der Realität keinen echten Schutz bietet. Doch wie entsteht diese gefährliche Scheinwelt? Die Antwort liegt in einem tiefen, strukturellen Graben zwischen Compliance und Technik, zwei Welten, die oft nicht dieselbe Sprache sprechen.

Dieser Artikel zeigt Ihnen, warum dieser Graben existiert, wie er "Alibi-IT" erzeugt und welche zentrale Rolle ein CISO oder virtueller CISO (vCISO) als Übersetzer spielen muss, um die Brücke zu bauen.

Die zwei Welten: Compliance vs. Technik

Links: Die Compliance-Welt

In der Compliance-Welt dreht sich alles um Ordnung, Dokumentation und Nachweisbarkeit. Die Sprache hier ist geprägt von Standards wie ISO 27001, konkret etwa von Controls wie A.5.1 (Richtlinien für Informationssicherheit).

Das Ziel: Der grüne Haken im Audit. Die entscheidenden Fragen lauten:

  • Ist die Richtlinie freigegeben?
  • Ist der Prozess dokumentiert?
  • Sind wir audit-sicher?

Die Realität: Helle Büros, geordnete Prozesse, strukturierte Meetings. Die Compliance-Abteilung arbeitet mit Frameworks, Policies und Governance-Strukturen. Aus dieser Perspektive wirkt die IT-Technik oft wie ein chaotisches, unkontrollierbares "Chaos", das endlich in geordnete Bahnen gelenkt werden muss.

Rechts: Die Technik-Welt

In der Technik-Welt herrscht eine völlig andere Dynamik. Hier sprechen die Menschen die Sprache von CVSS-Scores, Vulnerability-Scans und Incident Response. Ein CVSS 9.8 bedeutet: kritische Sicherheitslücke, höchste Priorität.

Das Ziel: Die rote Warnung eliminieren. Die dringenden Fragen lauten:

  • Das System hat eine kritische Lücke!
  • Es brennt!
  • Wir brauchen JETZT ein Wartungsfenster!

Die Realität: Dunkle Rechenzentren, 24/7-Bereitschaft, Stress, Ad-hoc-Firefighting. Die IT-Abteilung kämpft täglich mit realen Bedrohungen, Zero-Day-Exploits und knappen Ressourcen. Aus dieser Perspektive wirkt Compliance oft wie überflüssige "Bürokratie", die von der eigentlichen Arbeit ablenkt.

Wie "Alibi-IT" entsteht: Das Compliance-Silo

Genau in diesem strukturellen Graben entsteht das, was ich als "Alibi-IT" bezeichne. Der Mechanismus ist einfach und gefährlich zugleich:

  1. Compliance behandelt GRC isoliert: Governance, Risk und Compliance (GRC) werden als eigene, abgeschlossene "Lösung" betrachtet, oft unterstützt durch ein dediziertes GRC-Tool.
  2. Das Compliance-Silo entsteht: Dieses Tool soll den grünen Haken verwalten, die Controls dokumentieren und audit-sichere Nachweise liefern. Ein perfektes Compliance-Silo ist geboren, das sich von der technischen Realität abkoppelt.
  3. Die Technik muss zusätzlich liefern: Während die IT-Abteilung gegen reale Bedrohungen kämpft (CVSS 9.8), muss sie parallel Daten, Dokumentationen und Status-Updates für das Compliance-Silo "füttern".
  4. Der Fokus verschiebt sich: Die Energie fließt nicht mehr primär in echte Risikoreduktion, sondern ins Silo-Füttern. Man arbeitet für das Audit, nicht für die Sicherheit.

Das Ergebnis: Eine Compliance-Struktur, die auf dem Papier perfekt aussieht, aber in der Praxis die echten technischen Risiken nicht adressiert. Potemkinsche Compliance in Reinform.

Das Management-Vakuum: Beide Seiten haben Recht

Das Tragische an dieser Situation: Beide Seiten haben vollkommen Recht aus ihrer jeweiligen Perspektive.

  • Die Compliance-Seite hat Recht, dass ohne klare Prozesse, Dokumentation und Governance-Strukturen Chaos entsteht und das Unternehmen im Audit scheitert.
  • Die Technik-Seite hat Recht, dass eine kritische Sicherheitslücke mit CVSS 9.8 sofort geschlossen werden muss, bevor ein Angreifer sie ausnutzt.

Das Problem: Niemand übersetzt zwischen beiden Welten. Es entsteht ein Management-Vakuum, in dem strategische Entscheidungen auf Basis unvollständiger Informationen getroffen werden.

Die Brücke: Der CISO / vCISO als Übersetzer

Die Lösung liegt nicht darin, eine Seite zu eliminieren oder zu dominieren. Die Lösung liegt im Brückenbau. Und die zentrale Figur dieser Brücke ist der Chief Information Security Officer (CISO) oder virtuelle CISO (vCISO).

Die Rolle des Übersetzers

Der CISO steht nicht auf einer Seite des Grabens. Er steht mittendrin und muss beide Welten für das Management übersetzen:

➡️ Technische Risiken in Geschäftsrisiken übersetzen: "CVSS 9.8" bedeutet dem Management oft wenig. Der CISO übersetzt: "Diese Sicherheitslücke kann unsere Produktion für 48 Stunden lahmlegen. Das Geschäftsrisiko liegt bei 2 Millionen Euro Umsatzverlust plus Reputationsschaden."

➡️ Compliance-Anforderungen in technische Mandate übersetzen: "A.5.1" klingt abstrakt. Der CISO übersetzt: "Das ist euer Management-Mandat und das Budget, um das Problem strukturell zu lösen, statt nur ein Compliance-Silo zu pflegen, das uns im Ernstfall nicht schützt."

Die Kompetenz des Brückenbauers

Ein erfolgreicher CISO oder vCISO braucht drei Kernkompetenzen:

  1. Technisches Verständnis: Er muss die Sprache der IT sprechen, CVSS-Scores einordnen und technische Lösungsansätze bewerten können.
  2. Compliance-Know-how: Er muss Standards wie ISO 27001, NIS2, DSGVO verstehen und in praktische Anforderungen übersetzen können.
  3. Business-Perspektive: Er muss Risiken in Geschäftssprache kommunizieren und mit dem Management auf Augenhöhe über Investitionen, Prioritäten und Ressourcen sprechen können.

NIS2 als Chance: Das Mandat für den Brückenbau

Mit der NIS2-Richtlinie erhalten Unternehmen genau das Mandat, das sie brauchen, um diese Brücke endlich zu bauen. NIS2 macht Cybersicherheit zur Chefsache und fordert:

  • Management-Verantwortung: Die Geschäftsführung haftet persönlich für Cybersicherheit.
  • Risikomanagement: Nicht Compliance-Theater, sondern echte Risikoanalyse und Risikoreduktion.
  • Integration: Cybersicherheit muss in die Geschäftsprozesse integriert werden, nicht als isoliertes Silo existieren.

NIS2 ist damit nicht nur eine weitere Compliance-Anforderung. Es ist die Aufforderung an das Management, endlich den Übersetzer einzustellen, der zwischen Compliance und Technik vermittelt.

Praktische Handlungsempfehlungen

Für das Management:

  1. Identifizieren Sie Ihren Übersetzer: Wer steht in Ihrem Unternehmen im Graben? Haben Sie einen CISO oder vCISO, der beide Welten versteht?
  2. Investieren Sie in die Brücke: Geben Sie dieser Rolle Mandat, Ressourcen und direkte Berichtslinie zur Geschäftsführung.
  3. Fordern Sie Übersetzungen: Akzeptieren Sie keine reinen Technik-Berichte ("CVSS 9.8") oder reinen Compliance-Reports ("A.5.1 erfüllt"). Fordern Sie Geschäftsrisiko-Bewertungen.

Für die Compliance-Abteilung:

  1. Verlassen Sie das Silo: GRC ist kein Selbstzweck. Suchen Sie aktiv den Dialog mit der IT.
  2. Verstehen Sie technische Risiken: Lernen Sie die Grundlagen von CVSS, Vulnerabilities und Incident Response.
  3. Messen Sie Wirksamkeit: Der grüne Haken ist nicht das Ziel. Das Ziel ist Risikoreduktion.

Für die IT-Abteilung:

  1. Lernen Sie Compliance-Sprache: ISO 27001, NIS2 und andere Standards sind keine Bürokratie, sondern Ihr Management-Mandat für Budgets und Ressourcen.
  2. Dokumentieren Sie strukturiert: Ja, es kostet Zeit. Aber im Ernstfall schützt Sie nur, was dokumentiert ist.
  3. Kommunizieren Sie Geschäftsrisiken: Übersetzen Sie technische Probleme in Geschäftssprache.

Fazit: Hören Sie auf, den Graben zu zementieren

Der Graben zwischen Compliance und Technik ist real, strukturell und in vielen Unternehmen tief. Die Antwort darauf darf nicht sein, diesen Graben mit weiteren Compliance-Silos zu zementieren, die von der technischen Realität abgekoppelt sind.

NIS2 ist das Mandat, endlich einen Übersetzer in die Mitte zu stellen und die Brücke zu bauen. Diese Brücke heißt CISO oder vCISO. Sie verbindet Compliance und Technik, übersetzt zwischen beiden Welten und macht Cybersicherheit zur echten Geschäftsstrategie statt zum Compliance-Theater.

Die entscheidende Frage für Ihr Unternehmen lautet: Wer steht in Ihrem Unternehmen im Graben? Haben Sie einen Übersetzer, oder kämpfen Compliance und Technik noch gegeneinander statt miteinander?

Die Zeit für Alibi-IT ist vorbei. Die Zeit für echte Integration ist jetzt.

Zurück zur Übersicht