Europa kann vieles. Normen setzen, Prozesse definieren, Berichte verlangen. Wenn eine neue Richtlinie kommt, ist der Reflex daher verständlich: Noch mehr Papier, noch mehr Pflichten, noch mehr Bürokratie. NIS2 bildet da auf den ersten Blick keine Ausnahme. Meldepflichten, Risikomanagement, Geschäftsleiterhaftung, Sanktionen. Das klingt für viele Unternehmen erst einmal nach zusätzlicher Last auf ohnehin vollen Schultern.
Und doch greift diese Sicht zu kurz. Denn sie übersieht den eigentlichen Grund, warum NIS2 überhaupt notwendig geworden ist.
Die Cyber-Realität in europäischen Unternehmen ist, vorsichtig formuliert, ausbaufähig. Wer täglich in IT- und Sicherheitsstrukturen blickt, und das ist meine Realität, sieht kein fein justiertes Bollwerk, sondern häufig historisch gewachsene Systeme, Zuständigkeiten im Nebel und Sicherheitsmaßnahmen, die eher auf Hoffnung als auf Resilienz beruhen. Backups existieren, aber wurden nie getestet. Notfallpläne liegen vor, aber sind veraltet. Risikoanalysen werden gemacht, aber selten ernst genommen.
Das Problem ist nicht böser Wille. Es ist Priorisierung. Cyber-Sicherheit war lange ein IT-Thema. Und IT war Kostenstelle, nicht Geschäftsrisiko.
Genau hier setzt NIS2 an. Nicht technisch, sondern organisatorisch und haftungsrechtlich. Die Richtlinie zwingt Unternehmen erstmals konsequent dazu, Cyber-Risiken so zu behandeln wie finanzielle, rechtliche oder operative Risiken. Mit Verantwortung auf Leitungsebene. Mit dokumentierten Entscheidungen. Mit der Pflicht, sich überhaupt einen Überblick zu verschaffen, was kritisch ist und was nicht.
Ist das Bürokratie? Ja, natürlich. Jede Regulierung ist Bürokratie. Die entscheidende Frage ist jedoch, ob sie sinnlos oder sinnvoll ist.
NIS2 verlangt kein High-End-Sicherheitsniveau und keine Goldrand-Zertifizierungen. Sie verlangt angemessene Maßnahmen nach dem Stand der Technik, angepasst an Risiko, Größe und Bedeutung des Unternehmens, da ist alles Ergebnis einer Standard-Risikoanalyse. Das ist kein Selbstzweck, sondern ein Versuch, das strukturelle Sicherheitsdefizit zu adressieren, das sich über Jahre aufgebaut hat. Und das spätestens seit Lieferkettenangriffen, Ransomware-Wellen und geopolitischer Digitalisierung nicht mehr ignoriert werden kann.
Interessant ist dabei, was NIS2 nicht tut. Sie schreibt keine konkreten Tools vor. Sie diktiert keine Architektur. Sie sagt nicht, wie ein Unternehmen sicher zu sein hat. Sie sagt Umsetzung. Jetzt.
Man kann NIS2 auch anders lesen
Gerade der vielzitierte „Bürokratieaufwand“ entpuppt sich bei näherem Hinsehen oft als Spiegel. Dokumentation, Prozesse, Zuständigkeiten. All das fehlt nicht wegen NIS2, sondern weil man es bislang für verzichtbar hielt. Die Richtlinie macht diese Lücken sichtbar. Das ist unbequem, aber notwendig.
Man kann NIS2 daher auch anders lesen. Nicht als neue Last, sondern als verspätete Anerkennung einer Realität, die viele Unternehmen intern längst spüren, aber nach außen nie adressiert haben. Cyber-Sicherheit ist kein IT-Projekt. Sie ist Unternehmensführung.
Wer NIS2 heute nur als regulatorische Pflicht betrachtet, wird sie teuer und lästig finden. Wer sie als Anlass nutzt, Ordnung in Risiko-, Krisen- und Sicherheitsstrukturen zu bringen, investiert nicht in Compliance, sondern in Überlebensfähigkeit. Und das ist in einer digital vernetzten Wirtschaft kein Luxus, sondern Voraussetzung.
Vielleicht ist NIS2 also nicht die Frage nach Bürokratie oder Sinn. Sondern die späte Einsicht, dass Ignoranz bislang einfach günstiger war als Verantwortung. Das ändert sich jetzt. Und das ist, bei allem Aufwand, vermutlich überfällig.
Thilo Noack ist seit über 25 Jahren im Bereich Datenschutz sowie der IT- und Informationssicherheit tätig. Im Rahmen seiner beratenden Tätigkeit betreut er international mehr als 250 Unternehmen und Konzerne aus verschiedensten Branchen. Seine Arbeit konzentriert sich auf die praxisnahe Umsetzung gesetzlicher Anforderungen, den Aufbau von Managementsystemen sowie die Begleitung komplexer IT- und Compliance-Projekte.
