NIS-2: Mehr als eine Checkliste : Warum echte Resilienz jetzt zum entscheidenden Wettbewerbsvorteil wird

Die Konsequenzen – von Produktivitätsverlusten über schwindendes Vertrauen bis hin zu wirtschaftlicher Instabilität – stellen ein allgegenwärtiges Risiko für jedes Unternehmen dar. Cyber-Resilienz darf daher nicht nur eine reaktive Maßnahme sein, sondern muss zum fundamentalen Bestandteil der Infrastruktur und Geschäftsstrategie werden.

Hier setzt die NIS-2-Richtlinie der Europäischen Union an. Sie ist die legislative Antwort auf die neue Risikolandschaft und bietet – richtig interpretiert – Unternehmen einen strategischen Rahmen, um die eigene Widerstandsfähigkeit zu stärken. Dies gilt nicht nur für die Unternehmen der kritischen Infrastruktur, die direkt von NIS-2 betroffen sind, sondern für alle Organisationen, welche die Richtlinie als strategischen Rahmen für ihre Cybersicherheit nutzen.

Verlagerter Fokus

Die Richtlinie verschärft die Sicherheitsanforderungen für Unternehmen und erweitert den Kreis der betroffenen Sektoren. Ziel ist, ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU zu gewährleisten. Zwei Aspekte stehen dabei besonders im Fokus. NIS-2 verankert die Cybersicherheit unmissverständlich auf der Führungsebene. Geschäftsführer und Vorstände sind in der Pflicht, Risikomanagementmaßnahmen für die Cybersicherheit zu überwachen und zu genehmigen. Um strategische Entscheidungen zur Stärkung der Resilienz zu treffen, müssen sie daher die Risikolandschaft aktiv verstehen.

Zudem zeigt die Richtlinie, dass die eigene Resilienz untrennbar mit der Sicherheit der Partner und Dienstleister verbunden ist. Unternehmen werden verpflichtet, die Cybersicherheitsrisiken in ihrer gesamten Lieferkette zu bewerten und zu managen. Dazu gehören eine sorgfältige Auswahl von Lieferanten, die vertragliche Festlegung von Sicherheitsstandards und eine kontinuierliche Überwachung der Partner.

Zwischen Anspruch und Wirklichkeit

Das zentrale Hindernis bei der Umsetzung ist für viele Organisationen die Lücke zwischen den regulatorischen Anforderungen und den verfügbaren Ressourcen. Dies betrifft zum Beispiel den kritischen Mangel an qualifizierten Cybersicherheits-Fachkräften. So geben laut dem „State of Cybersecurity“-Report von ISACA 58 Prozent der europäischen Cybersicherheitsexperten an, dass ihre Teams unterbesetzt sind. Zudem sagen 54 Prozent aus, dass die Budgets für Cybersicherheit in ihrem Unternehmen unterfinanziert sind.

Verschärft wird die Herausforderung durch eine zunehmend komplexe regulatorische Landschaft, in der NIS-2 neben anderen wesentlichen Vorgaben wie DORA und dem AI Act steht. CISOs und die verantwortlichen Führungskräfte müssen jetzt unter hohem Druck die Compliance sicherstellen und gleichzeitig die Ressourcenknappheit navigieren.

Vom Regelwerk zum Wettbewerbsvorteil

Als globaler Berufsverband, der sich seit über 55 Jahren dem Aufbau von digitalem Vertrauen widmet, betrachtet ISACA die NIS-2-Richtlinie als Katalysator für einen überfälligen Wandel. Es geht darum, Cybersicherheit als integralen Bestandteil der Unternehmensstrategie und als Grundlage für digitales Vertrauen zu etablieren – ein Faktor, der zunehmend über den Markterfolg entscheidet. Denn er wird zum direkten Wettbewerbsvorteil: Kunden bevorzugen nachweislich sichere Anbieter und Partner wünschen sich resiliente Glieder in der Lieferkette.

NIS-2 fordert eine integrierte Sicht auf Governance, Risiko und Compliance (GRC), die Silos zwischen IT, Geschäftsleitung und Lieferanten aufbricht. Genau diese Vorgehensweise ist ausschlaggebend, um echte Resilienz zu schaffen. Wenn die Geschäftsführung die Risiken versteht und der CISO die Sprache des Vorstands spricht, können Investitionen gezielt und strategisch getätigt werden: zum Schutz kritischer Prozesse und Aufbau eines vertrauenswürdigen digitalen Ökosystems. NIS-2 ist der Rahmen, der Unternehmen befähigt, diese Transformation strukturiert anzugehen.

Kompetenz als Fundament

Die erfolgreiche Umsetzung von NIS-2 hängt maßgeblich von der nachweisbaren Expertise der verantwortlichen Fachkräfte ab. Die international anerkannten Qualifikationen von ISACA bieten einen weltweit akzeptierten Standard für die Kompetenzen, die für die neuen Anforderungen unerlässlich sind. Sie befähigen Experten unter anderem dazu, Cybersicherheitsstrategien auf Führungsebene zu entwickeln und zu steuern, robuste Governance-Strukturen zu etablieren, komplexe Risiken in der gesamten Lieferkette zu bewerten und zu managen sowie die implementierten Sicherheitsmaßnahmen unabhängig zu prüfen und die Compliance zu belegen.

Die Struktur für diese Prozesse liefern international anerkannte Rahmenwerke wie das von ISACA entwickelte Control Objectives for Information and Related Technology (COBIT), das als bewährtes Modell für die IT-Governance dient. Ergänzt wird es unter anderem durch Leitfäden und Whitepaper sowie den Austausch innerhalb der globalen ISACA-Community, der bei der Interpretation neuer Regularien hilft. Durch das Zusammenspiel aus Qualifizierung, strukturierten Rahmenwerken und praxisorientiertem Wissen unterstützt ISACA Organisationen dabei, NIS-2 nicht nur als Pflicht zu erfüllen, sondern als strategische Chance für den Aufbau nachhaltiger Resilienz und eines entscheidenden Wettbewerbsvorteils zu nutzen: digitales Vertrauen.

Der CISO als Architekt der Resilienz

Die erfolgreiche Bewältigung der NIS-2-Anforderungen ist eine Bewährungsprobe für die strategische Reife eines Unternehmens. Sie etabliert den CISO endgültig als Architekten der unternehmerischen Resilienz und löst ihn von der Rolle des technischen Verwalters. Organisationen, die jetzt in die Kompetenz ihrer Fachkräfte investieren, sichern nicht nur ihre Compliance, sondern vor allem ihre Zukunftsfähigkeit in einer zunehmend vernetzten und anfälligen digitalen Welt.

Chris Dimitriadis, ISACA