Cybervize - Cybersecurity Beratung
Alle Artikel

NIS2 und echte Resilienz: Warum Compliance allein nicht reicht

Alexander Busse·17. März 2026
NIS2 und echte Resilienz: Warum Compliance allein nicht reicht

Viele Unternehmen begegnen NIS2 wie einem bürokratischen Pflichtprogramm: Checklisten abhaken, Dokumentation erstellen, Audit bestehen, fertig. Doch wer Cybersicherheit auf diese Weise betreibt, verpasst den eigentlichen Kern der Regulierung. Die zweite Cross-Border Cybersecurity Tour, die in der East Side Fab in Saarbrücken stattfand, hat diese Diskrepanz zwischen Compliance-Denken und echter Resilienz eindrücklich auf den Punkt gebracht.

NIS2 als Häkchen-Projekt – eine gefährliche Fehlinterpretation

Die NIS2-Richtlinie der EU ist die bisher umfassendste gesetzliche Anforderung an die Cybersicherheit von Unternehmen und Organisationen in Europa. Sie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Umsetzung technischer und organisatorischer Maßnahmen, zum Vorfallsmanagement, zur Business-Continuity-Planung und zu einer Reihe weiterer Anforderungen. Für viele IT-Verantwortliche stellt sich NIS2 damit primär als Compliance-Aufgabe dar: Was muss bis wann nachgewiesen werden?

Diese Sichtweise ist gefährlich kurzsichtig. Ein Unternehmen, das NIS2 ausschließlich als Dokumentationsprojekt begreift, hat nach dem Audit möglicherweise alle Anforderungen auf dem Papier erfüllt – aber keine nennenswerte Verbesserung seiner tatsächlichen Sicherheitslage erreicht. Compliance ist kein Schutzschild gegen Angreifer. Zertifikate und Berichte halten keine Ransomware auf.

Die Cross-Border Tour: Austausch über Grenzen hinweg

Die Cross-Border Cybersecurity Tour versammelt Expertinnen und Experten aus verschiedenen Regionen und Ländern, um gemeinsam über die Praxis der Cybersicherheit zu diskutieren. Die zweite Station in Saarbrücken stand dabei unter einem klaren Leitmotiv: Eine funktionierende Sicherheitsoperation ist mehr wert als eine perfekte Toollandschaft oder eine lückenlose Richtliniendokumentation. Was zählt, ist die tatsächliche Handlungsfähigkeit im Ernstfall.

Der grenzüberschreitende Austausch – die Veranstaltung bringt Teilnehmende aus Deutschland, Frankreich und dem Saarland-Luxemburg-Dreieck zusammen – schärft das Bewusstsein dafür, dass Cybersicherheit kein lokales Problem ist. Angriffe machen an nationalen Grenzen nicht halt, und auch die Regulierung durch NIS2 und DORA gilt europaweit. Umso wichtiger ist es, voneinander zu lernen und Best Practices zu teilen.

Compliance versus Resilienz: Was den Unterschied macht

Compliance beschreibt den Nachweis, dass bestimmte Anforderungen erfüllt sind. Resilienz beschreibt die Fähigkeit, Angriffe zu erkennen, zu stoppen, zu überstehen und sich davon zu erholen. Beides ist wichtig, aber Compliance ist nicht dasselbe wie Resilienz. Ein Unternehmen kann compliant sein und trotzdem innerhalb von Stunden nach einem Angriff handlungsunfähig sein – weil niemand weiß, wie der Incident-Response-Plan in der Praxis funktioniert, weil Backups zwar vorhanden, aber nie getestet wurden, oder weil das Security Operations Center zwar auf dem Papier existiert, aber in der Nacht und am Wochenende nicht besetzt ist.

Echte Resilienz entsteht durch regelmäßige Übungen, durch geprüfte und getestete Prozesse, durch klar definierte Verantwortlichkeiten und durch eine Sicherheitskultur, die über alle Hierarchieebenen hinweg gelebt wird. Sie entsteht nicht durch ein abgehaktes Audit.

Was DORA für den Finanzsektor zeigt

Ein Blick auf DORA – den Digital Operational Resilience Act, der parallel zu NIS2 für den Finanzsektor gilt – zeigt, wohin die Reise geht. DORA stellt explizit Anforderungen an die operative Belastbarkeit digitaler Systeme: Nicht nur der Schutz vor Angriffen wird geprüft, sondern auch die Fähigkeit, im Angriffsfall den Betrieb aufrechtzuerhalten und sich danach vollständig zu erholen. Testpflichten für kritische Systeme, Anforderungen an Drittanbieter und lückenlose Dokumentation von Abhängigkeiten sind Teil des Regelwerks.

DORA antizipiert das, was auch für NIS2 gilt: Regulierung allein reicht nicht. Der Gesetzgeber kann Mindeststandards definieren, aber die eigentliche Sicherheitsarbeit muss in den Unternehmen selbst geleistet werden. Die Verantwortung liegt beim Management.

Handlungsempfehlungen für IT-Entscheider

Wer NIS2 als Chance statt als Bürde begreift, kann mit der Umsetzung echte Sicherheitsgewinne erzielen. Konkret bedeutet das: Etablieren Sie einen regelmäßigen Incident-Response-Übungszyklus. Testen Sie Ihre Backups – nicht nur ob sie existieren, sondern ob sie im Ernstfall tatsächlich genutzt werden können. Stellen Sie sicher, dass Ihre Security-Organisation rund um die Uhr handlungsfähig ist, entweder intern oder durch einen qualifizierten externen Partner. Überprüfen Sie Ihre Drittanbieter auf deren Sicherheitsniveau, denn Angreifer nutzen häufig die schwächste Stelle in der Kette.

Die Cross-Border Cybersecurity Tour macht deutlich: Cybersicherheit ist eine Daueraufgabe, keine Projektaufgabe. Wer NIS2 als Startpunkt für den Aufbau echter Resilienz nutzt, statt es als Endpunkt der Compliance-Reise zu betrachten, ist langfristig besser aufgestellt – und schützt nicht nur sich selbst, sondern auch die Partner, Kunden und die Gesellschaft, von der Sicherheit abhängt.

Zurück zur Übersicht

Weitere Artikel

Datenmaskierung im KI-Zeitalter: Warum Copy-Paste das größte Sicherheitsrisiko ist

Der häufigste KI-Fehler im Unternehmen ist kein Prompt-Engineering-Problem – es ist der unreflektierte Copy-Paste-Reflex. Warum Datenmaskierung der entscheidende Sicherheitsgurt für KI-Nutzung ist.

18. März 2026

Clinejection: Wenn KI-Automatisierung zur Angriffsfläche wird

Der Clinejection-Fall zeigt, wie Prompt Injection über GitHub Issues KI-Agenten manipulieren kann, um Schadcode in Release-Workflows einzuschleusen. Automatisierung ohne Security-by-Design schafft gefährliche neue Angriffsvektoren.

18. März 2026

NIS-2 Assessment: Managementtaugliche Ergebnisse statt technischer Berichte

Das NIS-2 Assessment liefert mehr als eine technische Analyse: Priorisierte Roadmap, klare Verantwortlichkeiten, Aufwandsschätzungen und Quick Wins – in einer Management-tauglichen Präsentation mit Ampel-Logik. Start ab 13. April.

18. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Die Stimme lügt nie – Kommunikation als Schlüssel zur Cybersicherheit

Mit Mandy Brandt, Sprecherin

24 minAnhoeren
CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren