Herr Angenheister, viele IT-Leiter stöhnen aktuell über NIS-2. Noch eine Richtlinie, noch mehr Aufwand. Ist das berechtigt?
Ich verstehe die Reaktion gut. Sie erinnert mich an die Einführung der Helmpflicht beim Mofa fahren. Das war nämlich genau in meiner Jugend und zu meiner Mofazeit. Damals hieß es: unbequem, überflüssig, Bevormundung.

Heute wissen wir: Der Helm rettet Leben.

Inzwischen fahre ich Motorrad und ich kann dazu nur sagen, ich fahre nie ohne Schutzkleidung, wenn ich Motorradfahren gehe.

Und genau so sollte man NIS-2 betrachten. Am Anfang wirkt es wie Bürokratie, ist unbequem und vielleicht fühlt es sich nach Bevormundung und überflüssig an. In Wahrheit ist es ein Rahmen, der Unternehmen dazu zwingt, sich ernsthaft mit ihrer eigenen Widerstandsfähigkeit (Cyber Resilienz) auseinanderzusetzen.
Nicht als Selbstzweck, sondern um den eigenen Betrieb zu schützen und für die Zukunft aufzustellen.

Das klingt fast ungewohnt positiv. Wo liegt denn konkret der Nutzen für Unternehmen?
Der zentrale Effekt von NIS-2 liegt in der strukturierten Steuerung von Cybersicherheitsrisiken. Unternehmen sind verpflichtet, Risiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen umzusetzen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme zu vermeiden bzw. deren Auswirkungen zu minimieren.

 Das zwingt Unternehmen dazu, grundlegende Fragen belastbar zu beantworten, etwa:

• Welche Systeme und Prozesse sind für die Leistungserbringung kritisch?
• Wir haben viel Erfahrung mit IBM-Umgebungen, die oft geschäftskritische Kernprozesse tragen. Hier ist diese Frage wichtig.
• Welche Abhängigkeiten bestehen, auch in der Lieferkette?
• Welche Auswirkungen haben Sicherheitsvorfälle auf den Geschäftsbetrieb?

 Der konkrete Nutzen ergibt sich daraus direkt auf betrieblicher Ebene:

• Reduzierung von Störungen: Sicherheitsmaßnahmen sollen explizit darauf abzielen, Ausfälle zu vermeiden und deren Folgen zu begrenzen
• Verbesserte Reaktionsfähigkeit: Unternehmen müssen Vorfälle erkennen, bewerten und strukturiert darauf reagieren können
• Klare Verantwortlichkeiten: Die Geschäftsführung ist verpflichtet, Maßnahmen umzusetzen und deren Wirksamkeit zu überwachen
• Höhere betriebliche Resilienz: Risiken werden als Geschäftsrisiken verstanden und systematisch in Entscheidungen einbezogen

Sie sprechen IBM-Systeme an. Was bedeutet NIS-2 konkret für IBM Systeme und Infrastrukturen?
Viele denken, dass gerade IBM Systeme besonders sicher und „unangreifbar sind. Das stimmt technisch oft, aber NIS-2 geht deutlich weiter.

Es geht nicht nur um das System selbst, sondern um das Gesamtbild:

• Identity & Access Management (z. B. Benutzer- und Rechtekonzepte)
• Logging und Monitoring (zentrale Auswertung, SIEM-Anbindung)
• Patch- und Schwachstellenmanagement, auch im Zusammenspiel mit angrenzenden Systemen
• Backup- und Recovery-Strategien (Stichwort: getestete Wiederanlaufzeiten)
• Absicherung von Schnittstellen, APIs und angebundenen Cloud-Diensten

Die eigentliche Herausforderung liegt also weniger im einzelnen System, sondern in der Integration in eine ganzheitliche Sicherheitsarchitektur.

Viele Unternehmen empfinden genau diese Komplexität als größte Hürde.
Absolut! Und genau darin liegt gleichzeitig die Chance.

Unternehmen, die ihre IT-Landschaft sauber strukturieren:

• verstehen ihre Abhängigkeiten besser
• reduzieren Komplexität aktiv
• schaffen belastbare Prozesse

Sicherheit wird dadurch vom „Feuerlöscher-Prinzip“ zu einem echten Steuerungsinstrument.

Gerade bei hybriden Architekturen, bei IBM-Systemen kombiniert mit Cloud, Microsoft 365 oder externen Services ist das ein echter Wettbewerbsvorteil.

Ein zentraler Punkt der Richtlinie sind Schulungen. Warum wird dem so viel Gewicht gegeben?
Weil Technik allein nicht reicht. Die meisten Sicherheitsvorfälle entstehen nicht durch fehlende Firewalls, sondern durch Fehlverhalten oder Fehleinschätzungen.

NIS-2 adressiert das sehr klar:

• Die Geschäftsführung muss verstehen, wofür sie haftet und welche Entscheidungen sie treffen muss
• Die Mitarbeiter müssen Risiken erkennen und richtig reagieren können

Konkret geht es um Themen wie:

• Phishing und Social Engineering
• Passwortsicherheit
• Meldewege bei Vorfällen
• Umgang mit externen Dienstleistern
• Verständnis für die eigene Rolle in der Sicherheitskette

Cybersicherheit ist damit keine reine IT-Aufgabe mehr, sondern eine Führungs- und Verhaltensfrage.

Sie haben die Geschäftsführung angesprochen, wie stark ist diese wirklich betroffen?
Sehr stark. NIS-2 lässt sich nicht delegieren.

Die Verantwortung liegt klar auf Management-Ebene:

• Governance
• Risikobewertung
• Priorisierung von Maßnahmen
• Krisenmanagement

Das ist ungewohnt, aber sinnvoll. Denn nur wenn das Thema oben verankert ist, bekommt es die notwendige Priorität im Unternehmen.

Viele sehen vor allem Kosten. Wann rechnet sich das Ganze?
Die bessere Frage ist: Wann rechnet sich die „Sicherheitskleidung“?

NIS-2 hilft konkret dabei:

• teure Ausfälle zu vermeiden
• Schäden durch Angriffe zu reduzieren
• Wiederanlaufzeiten drastisch zu verkürzen

Ein ungeplanter Stillstand einer IBM-basierten Produktions- oder ERP-Umgebung kann schnell sechs- oder siebenstellige Kosten verursachen.
Dagegen sind strukturierte Sicherheitsmaßnahmen eine sehr überschaubare Investition.

Was beobachten Sie aktuell bei Ihren Kunden?
Zwei Extreme:

• „Wir ignorieren das erstmal“
• „Wir sind völlig überfordert“

Beides ist nicht zielführend.
Der richtige Weg liegt dazwischen: strukturiert, pragmatisch, priorisiert.

Und genau da setzen wir an.

Wie unterstützen Sie konkret?
Der eigentliche Nutzen von NIS-2 liegt darin, Cybersicherheit endlich strukturiert und steuerbar zu machen. Unternehmen müssen Risiken systematisch bewerten und beantworten zentrale Fragen: Welche Systeme sind geschäftskritisch? Welche Abhängigkeiten bestehen, auch in der Lieferkette? Und welche Auswirkungen hätte ein Sicherheitsvorfall auf den Betrieb?

NIS-2 zwingt dazu, genau diese Themen belastbar zu klären und liefert damit auch die Grundlage, um IT-Sicherheit intern auf Management-Ebene richtig zu adressieren.

Wie wir unterstützen:
Wir verbinden über 20 Jahre IT-Erfahrung, insbesondere im Umfeld geschäftskritischer IBM-Systeme, mit einer praxisnahen NIS-2-Umsetzung für den Mittelstand. Dabei gehen wir bewusst über Theorie hinaus:

• Analyse Ihrer bestehenden Infrastruktur & Identifikation von Schwachstellen (Gap-Analyse)
• Priorisierung konkreter Maßnahmen statt pauschaler Checklisten
• Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen

Unser Fokus: Ganzheitliche Cyber-Resilienz

• Prävention: Härtung, Zugriffskonzepte, Netzwerksicherheit
• Detection: Monitoring, SIEM/SOC, Transparenz über Angriffe
• Backup & Recovery: Immutable Backups, Wiederanlaufstrategien
• Betrieb & Notfallfähigkeit: Disaster Recovery, Business Continuity
• Infrastruktur: Absicherung von On-Prem, Hybrid- und Cloud-Umgebungen

Das Ziel ist klar: Nicht nur NIS-2 erfüllen, sondern eine IT aufbauen, die auch im Ernstfall stabil und handlungsfähig bleibt.

Zum Abschluss: Ihr wichtigster Rat an IT-Leiter und Entscheider?

Sehen Sie NIS-2 nicht als Pflicht, sondern als Chance.

Oder anders gesagt:
Der Helm ist kein Hindernis.
Er sorgt dafür, dass Sie überhaupt sicher Vollgas geben können.

Herzlichen Dank Herr Angenheister!