Cybervize - Cybersecurity Beratung
Alle Artikel

NIS-2 Ownership: Warum 'eigentlich die IT' der Anfang vom Scheitern ist

Alexander Busse·16. März 2026
NIS-2 Ownership: Warum 'eigentlich die IT' der Anfang vom Scheitern ist

NIS-2 Ownership: Warum Verantwortung keine Frage des Organigramms ist

Wer traegt in Ihrem Unternehmen die Verantwortung für NIS-2? Wenn die Antwort lautet: 'Das macht eigentlich die IT', dann haben Sie bereits ein Problem. Denn das Wort 'eigentlich' verraet, dass niemand wirklich zuständig ist. Und wo niemand zuständig ist, scheitert jede Regulierung, bevor sie ueberhaupt umgesetzt wird.

Die NIS-2-Richtlinie stellt Unternehmen vor eine Herausforderung, die weit über die technische Umsetzung hinausgeht. Sie verlangt klare Verantwortlichkeiten, dokumentierte Prozesse und eine Governance-Struktur, die unter Druck funktioniert. Doch in vielen mittelstaendischen Unternehmen fehlt genau das: ein klarer Owner, der das Thema NIS-2 nicht nur kennt, sondern aktiv steuert.

Das 'Alle und Niemand'-Problem

In der Praxis zeigt sich ein wiederkehrendes Muster. Die Geschäftsführung sieht NIS-2 als IT-Thema. Die IT-Abteilung sieht es als Compliance-Thema. Der Datenschutzbeauftragte haelt es für ein Informationssicherheits-Thema. Das Ergebnis: Alle fuehlen sich irgendwie zuständig, aber niemand traegt die operative Verantwortung.

Dieses Verantwortungsvakuum hat konkrete Folgen. Fristen werden verpasst, weil niemand den Ueberblick hat. Maßnahmen werden doppelt oder gar nicht umgesetzt. Die Meldepflicht innerhalb von 24 Stunden wird zum Albtraum, weil im Ernstfall unklar ist, wer den Prozess ausloest, wer die Entscheidungen trifft und wer mit den Behoerden kommuniziert.

Der entscheidende Punkt ist: NIS-2 Ownership laesst sich nicht delegieren, indem man eine E-Mail mit dem Betreff 'Bitte kümmern' verschickt. Es braucht eine bewusste Entscheidung der Geschäftsführung, wer die Verantwortung traegt und welche Befugnisse diese Person erhaelt.

Warum ein Assessment den Unterschied macht

Ein strukturiertes Assessment schafft früh die Klarheit, die viele Unternehmen vermissen. Es beantwortet die drei entscheidenden Fragen, bevor operative Hektik einsetzt: Wer ist wofuer verantwortlich? Welche Prioritaeten gelten in den naechsten 30, 60 und 90 Tagen? Und welcher Aufwand ist intern realistisch leistbar?

Dabei geht es nicht um theoretische Rahmenwerke, sondern um praktische Artefakte. Ein RACI-Modell etwa klärt für jede NIS-2-Maßnahme, wer verantwortlich (Responsible), wer rechenschaftspflichtig (Accountable), wer zu konsultieren (Consulted) und wer zu informieren (Informed) ist. Ein konkretes Beispiel: Für die Maßnahme 'Meldeprozess testen' könnte das bedeuten: R steht beim Informationssicherheitsbeauftragten, A beim CIO, C bei Legal und dem Datenschutzbeauftragten, I bei der Geschäftsführung.

Diese Klarheit entsteht nicht in Powerpoint-Praesentationen, sondern in Workshops, in denen die Beteiligten gemeinsam erarbeiten, wer welche Rolle uebernimmt. Erst wenn jede Person weiß, was von ihr erwartet wird, kann NIS-2 vom Regulierungstext zur gelebten Praxis werden.

Ownership als kulturelle Entscheidung

Ownership ist mehr als ein Eintrag in einer RACI-Matrix. Es ist eine kulturelle Entscheidung. Unternehmen, die NIS-2 erfolgreich umsetzen, haben eines gemeinsam: Die Geschäftsführung versteht Informationssicherheit nicht als IT-Kostenstelle, sondern als strategische Fuehrungsaufgabe.

Das bedeutet konkret: Der NIS-2-Owner berichtet direkt an die Geschäftsführung. Er oder sie hat ein Budget, einen klaren Auftrag und die Befugnis, Entscheidungen zu treffen. Und die Geschäftsführung selbst bleibt in der Haftung. Denn NIS-2 macht die Leitungsebene persönlich verantwortlich für die Umsetzung. Das ist kein juristischer Formalismus, sondern ein bewusster Hebel der EU, um sicherzustellen, dass Cybersecurity Chefsache wird.

Fazit: Struktur vor Aktionismus

NIS-2 Ownership beginnt nicht mit der Auswahl eines Tools oder der Beauftragung eines Dienstleisters. Sie beginnt mit einer ehrlichen Antwort auf eine einfache Frage: Gibt es in Ihrem Unternehmen eine Person, die bei NIS-2 den Hut aufhat? Oder ist es noch 'irgendwie alle'?

Wenn die Antwort auf diese Frage nicht sofort klar ist, dann ist genau jetzt der richtige Zeitpunkt, diese Klarheit herzustellen. Denn Struktur vor Aktionismus ist der Grundsatz, der den Unterschied macht zwischen Unternehmen, die NIS-2 als laestiges Pflichtprogramm empfinden, und solchen, die es als Chance für bessere Governance nutzen.

Zurück zur Übersicht

Weitere Artikel

Cloud-Lock-in: Wenn 40 Prozent Aufschlag zum Weckruf werden

Ein Cloud-Anbieter erhöht die Preise um 40 Prozent. Kein Plan B. Was dieser Fall über digitale Souveränität und Vendor-Lock-in im Mittelstand zeigt.

10. April 2026

NIS-2 aufschieben: Warum Warten teurer wird als Starten

Wer NIS-2 aufschiebt, zahlt später mehr. Ressourcen werden knapper, Preise steigen und Behörden bauen Prüfkapazitäten auf. Der erste Schritt dauert zwei Stunden.

7. April 2026

Warum Governance-Programme an Woche 6 scheitern

Die meisten Sicherheitsprogramme scheitern nicht am Start, sondern wenn Initiative zu Regelbetrieb werden muss. Fünf verbindliche Routinen für nachhaltiges Governance.

7. April 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Startups & Innovation

Startups im Fadenkreuz

Mit Saskia Bestgen, Beraterin und Auditorin

34 minAnhoeren
Awareness & Kultur

Die Stimme lügt nie – Kommunikation als Schlüssel zur Cybersicherheit

Mit Mandy Brandt, Sprecherin

24 minAnhoeren