NIS-2 Ownership: Warum 'eigentlich die IT' der Anfang vom Scheitern ist

NIS-2 Ownership: Warum Verantwortung keine Frage des Organigramms ist

Wer traegt in Ihrem Unternehmen die Verantwortung fuer NIS-2? Wenn die Antwort lautet: 'Das macht eigentlich die IT', dann haben Sie bereits ein Problem. Denn das Wort 'eigentlich' verraet, dass niemand wirklich zustaendig ist. Und wo niemand zustaendig ist, scheitert jede Regulierung, bevor sie ueberhaupt umgesetzt wird.

Die NIS-2-Richtlinie stellt Unternehmen vor eine Herausforderung, die weit ueber die technische Umsetzung hinausgeht. Sie verlangt klare Verantwortlichkeiten, dokumentierte Prozesse und eine Governance-Struktur, die unter Druck funktioniert. Doch in vielen mittelstaendischen Unternehmen fehlt genau das: ein klarer Owner, der das Thema NIS-2 nicht nur kennt, sondern aktiv steuert.

Das 'Alle und Niemand'-Problem

In der Praxis zeigt sich ein wiederkehrendes Muster. Die Geschaeftsfuehrung sieht NIS-2 als IT-Thema. Die IT-Abteilung sieht es als Compliance-Thema. Der Datenschutzbeauftragte haelt es fuer ein Informationssicherheits-Thema. Das Ergebnis: Alle fuehlen sich irgendwie zustaendig, aber niemand traegt die operative Verantwortung.

Dieses Verantwortungsvakuum hat konkrete Folgen. Fristen werden verpasst, weil niemand den Ueberblick hat. Massnahmen werden doppelt oder gar nicht umgesetzt. Die Meldepflicht innerhalb von 24 Stunden wird zum Albtraum, weil im Ernstfall unklar ist, wer den Prozess ausloest, wer die Entscheidungen trifft und wer mit den Behoerden kommuniziert.

Der entscheidende Punkt ist: NIS-2 Ownership laesst sich nicht delegieren, indem man eine E-Mail mit dem Betreff 'Bitte kuemmern' verschickt. Es braucht eine bewusste Entscheidung der Geschaeftsfuehrung, wer die Verantwortung traegt und welche Befugnisse diese Person erhaelt.

Warum ein Assessment den Unterschied macht

Ein strukturiertes Assessment schafft frueh die Klarheit, die viele Unternehmen vermissen. Es beantwortet die drei entscheidenden Fragen, bevor operative Hektik einsetzt: Wer ist wofuer verantwortlich? Welche Prioritaeten gelten in den naechsten 30, 60 und 90 Tagen? Und welcher Aufwand ist intern realistisch leistbar?

Dabei geht es nicht um theoretische Rahmenwerke, sondern um praktische Artefakte. Ein RACI-Modell etwa klaert fuer jede NIS-2-Massnahme, wer verantwortlich (Responsible), wer rechenschaftspflichtig (Accountable), wer zu konsultieren (Consulted) und wer zu informieren (Informed) ist. Ein konkretes Beispiel: Fuer die Massnahme 'Meldeprozess testen' koennte das bedeuten: R steht beim Informationssicherheitsbeauftragten, A beim CIO, C bei Legal und dem Datenschutzbeauftragten, I bei der Geschaeftsfuehrung.

Diese Klarheit entsteht nicht in Powerpoint-Praesentationen, sondern in Workshops, in denen die Beteiligten gemeinsam erarbeiten, wer welche Rolle uebernimmt. Erst wenn jede Person weiss, was von ihr erwartet wird, kann NIS-2 vom Regulierungstext zur gelebten Praxis werden.

Ownership als kulturelle Entscheidung

Ownership ist mehr als ein Eintrag in einer RACI-Matrix. Es ist eine kulturelle Entscheidung. Unternehmen, die NIS-2 erfolgreich umsetzen, haben eines gemeinsam: Die Geschaeftsfuehrung versteht Informationssicherheit nicht als IT-Kostenstelle, sondern als strategische Fuehrungsaufgabe.

Das bedeutet konkret: Der NIS-2-Owner berichtet direkt an die Geschaeftsfuehrung. Er oder sie hat ein Budget, einen klaren Auftrag und die Befugnis, Entscheidungen zu treffen. Und die Geschaeftsfuehrung selbst bleibt in der Haftung. Denn NIS-2 macht die Leitungsebene persoenlich verantwortlich fuer die Umsetzung. Das ist kein juristischer Formalismus, sondern ein bewusster Hebel der EU, um sicherzustellen, dass Cybersecurity Chefsache wird.

Fazit: Struktur vor Aktionismus

NIS-2 Ownership beginnt nicht mit der Auswahl eines Tools oder der Beauftragung eines Dienstleisters. Sie beginnt mit einer ehrlichen Antwort auf eine einfache Frage: Gibt es in Ihrem Unternehmen eine Person, die bei NIS-2 den Hut aufhat? Oder ist es noch 'irgendwie alle'?

Wenn die Antwort auf diese Frage nicht sofort klar ist, dann ist genau jetzt der richtige Zeitpunkt, diese Klarheit herzustellen. Denn Struktur vor Aktionismus ist der Grundsatz, der den Unterschied macht zwischen Unternehmen, die NIS-2 als laestiges Pflichtprogramm empfinden, und solchen, die es als Chance fuer bessere Governance nutzen.