top of page

NIS2 oder warten auf Godot

  • 26. Apr.
  • 4 Min. Lesezeit

Warum viele Organisationen zögern statt zu handeln


Viele Organisationen stehen aktuell vor den Anforderungen der NIS2 – und doch passiert oft… nichts.

Wie in Samuel Becketts Theaterstück „Warten auf Godot“ stehen sie abwartend da, diskutieren, prüfen Zuständigkeiten und Aufgaben, warten auf etwas, das nie wirklich kommt.


Das Ergebnis: NIS2 wird zur ewigen Hängepartie, man schiebt es vor sich her, es passiert nichts.


Und dies, obwohl die Risiken real sind und Maßnahmen längst überfällig angesichts der steigenden Anzahl von Cybervorfällen. Das ist verblüffend, an sich weiß doch mittlerweile jeder, daß die Risiken da sind und mit der Digitalisierung auch wachsen.


Wir diskutieren typische Gründe für dieses Zögern und zeigen auf, wie Organisationen die Prokrastination hinter sich lassen und NIS2 als Kompass für echte Informationssicherheit nutzen können.


Die „8 Ausreden des NIS2-Verzugs“:


1. Unklare Betroffenheit


Viele Organisationen sind unsicher, ob sie überhaupt unter die NIS2 fallen.

Typische Fragen:


  • Gehören wir zu den „wesentlichen“ oder „wichtigen“ Einrichtungen?

  • Zählen wir als Teil einer kritischen Lieferkette?

  • Wird unser Unternehmen überhaupt beaufsichtigt?


Diese Unsicherheit führt häufig zu einer „erst einmal abwarten“-Haltung.


Lösung: Sich selbst damit befassen und einlesen, einen Berater fragen und abschliessend einen IT-Anwalt einschalten! Denn wenn Maßnahmen ergriffen werden müssen, die Zeit und Geld kosten, sollte vorher klar sein, was die Rechtslage ist.


2. Nationale Umsetzung noch nicht vollständig


Stimmt, die europäische Richtlinie musste erst in nationales Recht umgesetzt werden. Solange das konkrete nationale Gesetz noch nicht final war, warteten viele Organisationen ab, um keine falschen Investitionen oder Maßnahmen zu treffen. Das führte zu der verbreiteten Haltung: „Wir schauen erst, was genau im Gesetz steht.“


Aber das ist jetzt seit 6.12.2025 vorbei. Auch wenn manches noch „reifen“ muss, steht der Rahmen fest.


Lösung: Sich selbst damit befassen und einlesen!


3. Wahrnehmung als reines Compliance-Thema


Informationssicherheit wird oft noch als regulatorische Pflicht und nicht als strategisch positives Thema verstanden. Das hat Folgen:


  • Umsetzung wird an Compliance oder IT delegiert

  • Wenig Unterstützung auf Management-Ebene

  • Maßnahmen werden nur minimal umgesetzt


Lösung: Das Management sollte sich selbst damit befassen und einlesen, Cybersicherheit ist kein Randthema mehr, es ist strategisch und liegt bei der Geschäftsleitung.


4. Ressourcen- und Fachkräftemangel


Viele Organisationen wissen zwar, dass sie handeln müssen, sehen aber große Herausforderungen bei der Umsetzung:


  • fehlende Cybersecurity-Experten

  • begrenzte Budgets

  • konkurrierende IT-Projekte

  • komplexe organisatorische Veränderungen


Lösung: Sich selbst damit befassen und einlesen, was man braucht, ideal ist eine "Gap-Analyse" zum Status Quo im Vergleich zur NIS2. Danach steht fest, was zu tun ist und man kann sehen, was man schon hat, selbst machen kann oder zukaufen muss.

Das NIS2-Ökosystem ist auf dem Markt vorhanden. Es gibt Seminare, Berater, Prüfer, Software, spezialisierte Unternehmen, Tools und viel Literatur.

Der wesentliche Engpass sind die Kosten. Aber ohne Gap-Analyse weiß ich noch nicht einmal, was ich brauche und was die Kosten sind!  


5. Überschätzung des organisatorischen Aufwands


Die NIS2 verlangt nicht nur technische Maßnahmen, sondern vor allem Aktivitäten, Regelungen und Managementstrukturen:


  • Risikomanagement

  • Governance

  • Incident-Management

  • Lieferkettenmanagement

  • Berichtspflichten


Das muss umgesetzt werden, aber viele Organisationen überschätzen diesen organisatorischen Transformationsbedarf, vieles an Regelungen und Prozessen ist oft schon vorhanden. Es gibt keinen Grund, das nicht anzugehen.


Lösung: Sich selbst damit befassen und einlesen, was wirklich zu tun ist. Das kann im Rahmen des NIS2-Projekten umgesetzt werden und ist oft auch intern lösbar, ohne externe Kosten zu verursachen.


6. Fehlende Verantwortlichkeit im Unternehmen


Ein häufiger Grund für Verzögerungen ist unklare Zuständigkeit:


  • IT sieht sich nicht allein verantwortlich

  • Compliance fühlt sich nicht technisch zuständig

  • Management betrachtet das Thema als operativ


Das Ergebnis ist oft organisatorische Lähmung, der "schwarze Peter" wird weitergereicht und es passiert nichts.


Lösung: Das Management muss sich selbst damit befassen und einlesen, das Management muss die Verantwortung annehmen, schließlich stehen auch Haftungsrisken für die Leitung auf dem Spiel!


7. Hoffnung auf „geringe Durchsetzung durch Behörden“


Ein Teil der Organisationen spekuliert darauf, dass Kontrollen und Sanktionen zunächst begrenzt bleiben. Das führt zu der Strategie: „Wir warten, bis die ersten geprüft werden, es wird uns schon nicht gleich treffen.“


Das kann eine Strategie sein, aber es wird sicher Durchsetzungsmaßnahmen geben! Vielleicht nicht sofort und nicht mit aller Härte (siehe Bußgelder), aber es wird kommen. Nur als Beispiel: Auf Basis der DSGVO wurden im Laufe der Zeit immer wieder hohe Strafen verhängt.


Und nicht vergessen: Es bestehen persönliche Haftungsfolgen für die Geschäftsleitung!


Lösung: Das Management sollte sich damit befassen und einlesen, ggf. einen Anwalt zu den Risiken einschalten! Und „umsetzen“!


  1. Compliance Fatigue


Es gibt viele Regeln, die man als Unternehmen befolgen muss, die Welt entwickelt sich weiter, mit der Digitalisierung kommen neue hinzu, manchmal kommen viele Gesetze auf einmal oder in engen Abständen. Da ist es nachvollziehbar, dass viele Unternehmen oder Unternehmer allmächlich "müde" sind und lieber abwarten, als Begriff hat sich die "Compliance Müdigkeit (Fatigue)" eingebürgert. Das können auch alle nachvollziehen.....


Das ist verständlich, aber "Müdigkeit und Nichtstun" schützt nicht vor Cyberattacken.


Lösung: Eine richtige "Lösung" kann es bei Gesetzen nicht geben, die ohnehin gelten, ob man das will oder nicht. Aber vielleicht erst einmal durchatmen, priorisieren und darüber nachdenken, was man integrieren kann. Zum Beispiel kann im Rahmen der Aktivitäten zu NIS2 auch vieles für den Cyber Resilience Act organisiert oder vorbereitet werden. Das damit verbunden positive Gefühl, zwei Dinge "angepackt" zu haben, kann helfen, aus der "Fatigue" herauszukommen. Es müssen ja nicht gleich "7 auf einen Streich" sein, um ein altes Märchen zu zitieren.


Und auch ein Erfolgserlebnis kannn heraushelfen, wenn man ein Thema nach dem anderen umsetzt. Daher: Besser "umsetzen“ als Nichtstun!


Empfehlung


Die beiden Hauptfiguren des Theaterstückes warten auf Godot, der nie erscheint. Sie hoffen, diskutieren, planen – doch ohne Ergebnis. Philosophisch symbolisiert dies die menschliche Suche nach Sinn und Orientierung.


Im Verglich zu dem Theaterstück ist der zentrale Unterschied, dass der Sinn der NIS2 klar ist: Mehr Sicherheit und Resilienz angesichts wachsender Bedrohungen!


Die größte Herausforderung bei der Umsetzung der NIS2 für sich selbst und in der Lieferkette ist erst einmal das "anfangen". Die Inhalte sind teils technischer Natur, aber auch organisatorisch und strategisch relevant. Und der regulatorische Rahmen ist vorhanden, das Ökosystem ebenso.


Warten Sie nicht mehr auf Godot, kommen Sie bei Bedarf auf uns zu, wir helfen Ihnen, die NIS2 wirtschaftlich umzusetzen!

 
 
bottom of page