NIS2 Umsetzung in Unternehmen: Vom Zertifikat zur nachweisbaren Wirksamkeit

Das eigentliche Problem: Kontrollillusion

Cybersicherheit hat ein Darstellungsproblem. In den meisten Organisationen gibt es Prozesse, Dokumente, Zertifikate. Was fehlt, ist der Beleg, dass diese Maßnahmen im Alltag tatsächlich wirken.

Fachleute sprechen von Kontrollillusion – oder im englischen Sprachgebrauch von Control Theater. Gemeint ist der Zustand, in dem Sicherheitsmaßnahmen formal vorhanden sind, operativ aber nicht greifen. Ein SIEM-System, das Alerts generiert, auf die kein Prozess reagiert. Eine MFA-Richtlinie, die für privilegierte Accounts nicht konsistent umgesetzt ist. Lieferantenverträge ohne tatsächliche Risikoprüfung. Ein ISO-27001-Zertifikat, dessen Geltungsbereich enger ist als der tatsächliche NIS2-Scope.

Das ist kein Versagen einzelner Unternehmen. Es ist ein strukturelles Muster, das entsteht, wenn Sicherheitsmaßnahmen auf Compliance ausgerichtet werden – auf das Bestehen eines Audits, nicht auf operative Wirksamkeit.

NIS2 bricht mit diesem Muster. Die Richtlinie fordert nicht nur die Existenz von Maßnahmen, sondern deren nachweisbare Wirksamkeit. § 30 BSIG n.F. verlangt „angemessene, wirksame und verhältnismäßige“ Maßnahmen. „Wirksam“ ist dabei kein unbestimmter Rechtsbegriff – es ist eine Anforderung, die in BSI-Audits konkret geprüft wird.

Warum ein ISMS für die NIS2 Umsetzung in Unternehmen nicht ausreicht

ISO 27001 ist ein solides Fundament. Es strukturiert Informationssicherheitsprozesse, schafft ein anerkanntes Rahmenwerk und deckt formal einen Großteil der NIS2-Anforderungen ab. Das Problem liegt nicht in dem, was ISO 27001 leistet – sondern in dem, was es nicht leistet.

Eine ISO-27001-Zertifizierung bescheinigt die Existenz eines Informationssicherheitsmanagementsystems (ISMS). Sie belegt, dass Prozesse definiert, dokumentiert und einem externen Audit unterzogen wurden. Sie belegt nicht, dass diese Prozesse täglich operativ wirksam sind.

Der Unterschied liegt in der Prüflogik: Ein ISMS-Audit prüft Design. Ein Internes Kontrollsystem (IKS) prüft Wirksamkeit. Wer ausschließlich auf sein ISMS-Zertifikat verweist, wenn BSI-Prüfer nach Evidenz fragen, wird feststellen, dass Zertifikate allein keine Antwort auf die Frage „Zeigen Sie mir, dass diese Kontrolle funktioniert“ sind.

Das Interne Kontrollsystem ergänzt das ISMS um genau diese Dimension. Es übersetzt normative Anforderungen in messbare Kontrollziele, definiert konkrete Kontrollverfahren und erhebt kontinuierlich Evidenz: Log-Auswertungen, Scan-Ergebnisse, Testprotokolle, Review-Dokumentationen. Erst damit wird aus einer dokumentierten Maßnahme ein nachweisbarer Sicherheitsbeitrag.

Als konzeptuelles Fundament dient das COSO Internal Control Framework (2013/2017), das von Wirtschaftsprüfern und Aufsichtsbehörden gleichermaßen anerkannt ist. Als Zertifizierungsformate kommen BSI C5, SOC 2 und ISAE 3402 in Betracht – Formate, die explizit Wirksamkeitsnachweise erbringen und nicht nur Prozessexistenz dokumentieren. ISO 27001 bleibt für die NIS2 Umsetzung in Unternehmen eine wichtige Basis – ersetzt aber kein IKS.

§ 38 BSIG: Haftung ist nicht delegierbar

Was NIS2 von seinen Vorgängern unterscheidet, ist nicht die Breite der technischen Anforderungen – es ist die persönliche Haftungsdimension. § 38 BSIG n.F. bindet die Verantwortung für Cybersicherheit direkt an die Leitungsorgane.

Das bedeutet konkret: Geschäftsführer, Vorstandsmitglieder und alle Personen mit Leitungsfunktion müssen Cybersicherheitsmaßnahmen nach § 30 BSIG ausdrücklich billigen und deren Umsetzung aktiv überwachen. Diese Pflicht kann nicht an den CISO, die IT-Abteilung oder externe Dienstleister delegiert werden. Wer entscheidet, muss verstehen – und wer nicht versteht, haftet trotzdem.

Bei Pflichtverletzung greift die direkte Innenhaftung gegenüber der Einrichtung. Ein vertraglicher Haftungsverzicht ist gesetzlich ausgeschlossen. D&O-Versicherungen enthalten häufig Ausschlussklauseln für schuldhaftes Wegsehen – ein Leitungsorgan, das nachweislich keine Befassung mit Cybersicherheitsrisiken dokumentieren kann, riskiert damit sowohl persönliche Haftung als auch Versicherungsausfall.

Hinzu kommt die Schulungspflicht nach § 38 Abs. 3 BSIG: Leitungsorgane müssen regelmäßig nachweisen, dass sie sich mit Cybersicherheitsrisiken befasst haben. Die BSI-Handreichung zur Geschäftsleitungsschulung empfiehlt mindestens 4 Stunden alle drei Jahre. Der Zweck ist nicht Wissenserwerb – es ist der dokumentierte Haftungsschutz durch nachgewiesene Befassung.

Für CISOs verändert das die Gesprächssituation grundlegend. Cybersicherheit ist keine technische Fachfrage mehr, die im Maschinenraum der IT verbleibt. Sie ist eine Governance-Frage, die im Vorstand oder der Geschäftsführung beantwortet werden muss – mit messbaren Ergebnissen, nachvollziehbaren Entscheidungen und protokollierten Genehmigungen.

KI: Die blinde Stelle, die viele Unternehmen bei der NIS2 Umsetzung übersehen

Parallel zu NIS2 entfaltet der EU AI Act (Verordnung (EU) 2024/1689) schrittweise seine Wirkung. Seit Februar 2025 gelten Verbote und Schulungspflichten, ab August 2026 sind die Hochrisiko-KI-Pflichten vollständig verbindlich. Die Bußgelder liegen bei bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes – und damit über den NIS2-Sanktionen.

Was Audits zeigen: KI-Systeme sind in den meisten Unternehmen weder inventarisiert noch risikoklassifiziert, und sie sind nicht im IKS abgebildet. Gleichzeitig werden sie produktiv eingesetzt – in Kreditentscheidungen, Personalprozessen, im Monitoring kritischer Infrastruktur. Systeme, die nach Anhang III des EU AI Act als Hochrisiko-KI einzustufen wären, laufen ohne entsprechende Dokumentation und ohne Konformitätsbewertung.

Das ist kein KI-spezifisches Problem – es ist ein Governance-Problem. Wer KI-Risiken nicht in sein bestehendes Risikomanagement integriert, hat blinde Flecken im IKS. Bedrohungsmodelle für KI-Systeme, Logging, Modell-Monitoring: keines davon erscheint als definierte Kontrolle in der überwiegenden Mehrheit der geprüften IKS-Strukturen.

Der erste Schritt ist ein KI-Asset-Hub: eine strukturierte Bestandsaufnahme aller eingesetzten KI-Systeme mit Betreiber, Zweck, Risikoklasse und Verantwortlichem. Ohne diesen Überblick ist weder eine Konformitätsbewertung nach EU AI Act noch eine Integration in das IKS möglich.

Der strategisch entscheidende Punkt: NIS2, EU AI Act und der kommende Cyber Resilience Act haben denselben konzeptuellen Kern – Risikomanagement, Dokumentation, Wirksamkeitsnachweise, Governance. Ein harmonisiertes IKS, das alle drei Regelwerke abdeckt, ist effizienter als drei parallele Compliance-Strukturen.

Drei strukturelle Prioritäten für CISOs

Die regulatorische Lage lässt wenig Interpretationsspielraum. Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Die BSI-Registrierungspflicht war ab dem 6. Januar 2026 fällig. Wer noch nicht registriert ist, ist bereits im Verzug.

Jenseits der Registrierungspflicht gibt es drei strukturelle Prioritäten, die Unternehmen bei der NIS2 Umsetzung jetzt angehen müssen:

• IKS-Reifegrad bestimmen. Der erste Schritt ist ein ehrliches Assessment: Auf welcher Ebene befinden sich die vorhandenen Kontrollstrukturen? Existieren Maßnahmen nur auf dem Papier, oder wird ihre Wirksamkeit regelmäßig geprüft und dokumentiert? Diese Gap-Analyse ist die Grundlage jeder weiteren Planung.
• Governance sichtbar machen. § 38 BSIG-konforme Schulungsdokumentation für Leitungsorgane ist kostengünstig und sofort umsetzbar – und hat direkte Wirkung auf das persönliche Haftungsrisiko. Ebenso wichtig: klare RACI-Strukturen für Informationssicherheit auf Leitungsebene, ein Security Steering Committee und Management-Reviews mit messbaren KPIs statt formaler Kenntnisnahme.
• KI in das IKS integrieren. KI-Inventar aufbauen, Hochrisiko-KI nach EU AI Act klassifizieren, KI-spezifische Kontrollen definieren. Die Hochrisiko-KI-Pflichten gelten ab August 2026 – das ist wenig Zeit, wenn die Bestandsaufnahme noch aussteht.

Der Maßstab: Auditbereitschaft, nicht Zertifizierung

Der entscheidende Perspektivwechsel ist dieser: Das Ziel einer erfolgreichen NIS2 Umsetzung in Unternehmen ist nicht das Bestehen des nächsten Audits. Das Ziel ist eine Sicherheitsstruktur, die jederzeit auditfähig ist – weil sie operativ wirksam ist, nicht weil sie für die Prüfung vorbereitet wurde.

BSI-Prüfer akzeptieren Kontrolllücken nicht als „work in progress“. Sie fordern Evidenz: konkrete Nachweise, dass definierte Kontrollen tatsächlich angewendet werden, mit Datum, Verantwortlichem und messbarem Ergebnis. Wer diese Evidenz nicht vorlegen kann, riskiert nicht nur ein schlechtes Audit-Ergebnis – sondern Maßnahmenanordnungen, Bußgelder und, im Fall von § 38 BSIG, persönliche Haftung.

Der NIS2 IKS Reifegrad ist damit der eigentliche Prüfstein. Er ist keine technische Kennzahl, sondern eine Governance-Frage, die auf der Leitungsebene beantwortet werden muss – mit strukturierten Kontrollzielen, kontinuierlicher Evidenzerhebung und einer klaren Verbindung zwischen operativer Sicherheit und nachweisbarer Wirksamkeit.

Rechtliche Grundlagen: Richtlinie (EU) 2022/2555 (NIS2), Art. 20–21 · NIS2UmsuCG, BGBl. 2025 · §§ 30, 38 BSIG n.F. · Verordnung (EU) 2024/1689 (EU AI Act), Art. 9, 23, Anhang III · COSO Internal Control Framework (2013/2017) · ISO/IEC 27001:2022, Clause 9.1

Dieser Beitrag wurde im Rahmen des Deep Dive Webinars „IKS-Reifegrad unter NIS2 und KI“ der CISO Alliance erarbeitet. Referent: Thomas Pfützenreuter, IT-Auditor, CISO, ISO 27001 Lead Auditor, Securance DACH.

Das Webinar findet am 2. April 2026 statt. Anmeldung zum Webinar

Sie möchten die NIS2 Umsetzung strukturiert angehen?

Securance begleitet Unternehmen von der Betroffenheitsanalyse über das Readiness Assessment bis zur Integration der NIS2-Anforderungen in bestehende IKS- und ISMS-Strukturen – mit Fokus auf nachweisbare Wirksamkeit und BSI-Auditbereitschaft.

Zu unseren NIS-2-Leistungen

FAQ: NIS2 Umsetzung in Unternehmen