Cybersicherheit ist Chefsache: Warum NIS-2 die Geschäftsführung in die Pflicht nimmt

Cybersicherheit ist längst kein reines IT-Thema mehr — sie ist Chefsache. Das wird spätestens mit NIS-2 und dem EU AI Act auch regulatorisch unmissverständlich. In einem aktuellen Beitrag für contentway bringt Dr. Andreas Herch, CEO der Business Unit accompio Enterprise, die zentrale Botschaft auf den Punkt: Wer Cyberresilienz will, braucht Führung — nicht nur Technik.

NIS-2 macht Cybersicherheit zur Pflichtaufgabe der Geschäftsführung

Die NIS-2-Richtlinie und der EU AI Act heben das Schutzniveau in Europa auf ein verbindlicheres Level. Was früher als freiwillige Kür galt — Risikomanagement, Incident Response, Business Continuity, Audits — wird jetzt Pflicht. Und die Verantwortung liegt nicht mehr bei der IT-Abteilung allein, sondern direkt bei der Geschäftsführung. Inklusive persönlicher Haftung.

Dr. Herch formuliert es klar: Cybersicherheit ist eine strategische Führungsaufgabe geworden. Unternehmen müssen Prozesse, Governance und Verantwortlichkeiten strukturell verankern. NIS-2 zwingt dazu — und das ist im Kern keine Bedrohung, sondern eine Chance.

Der blinde Fleck: Fokus auf Technik statt auf Menschen

Ein zentraler Punkt des Artikels verdient besondere Aufmerksamkeit: Häufig liegt der Fokus von IT-Organisationen zu stark auf der Technik. Die Mitarbeitenden, deren Verhalten oft die Haupteinfallstore sind, werden dagegen häufig vergessen. Firewalls und Endpoint Protection sind notwendig — aber ohne Awareness-Programme, klare Governance-Strukturen und definierte Verantwortlichkeiten bleiben sie Lösungen für nur die Hälfte des Problems.

Organisatorische Maßnahmen sind neben den technischen Schritten genauso wichtig: Governance-Strukturen aufbauen, Verantwortlichkeiten klar definieren, zentrale Aufgaben so verteilen, dass sie nicht in Zuständigkeitslücken fallen.

Der richtige Startpunkt: Security-IST-Analyse

Dr. Herch empfiehlt Unternehmen, zunächst einen erfahrenen Dienstleister mit einer Security-IST-Analyse zu beauftragen — Status quo und Benchmark ermitteln, bevor investiert wird. Das klingt selbstverständlich, wird aber in der Praxis oft übersprungen. Stattdessen wird in teure Software investiert, ohne zu wissen, wo die tatsächlichen Lücken liegen.

Erst ein Audit, das die komplette Bandbreite einer möglichen Cyberstrategie durchspielt, deckt NIS-2-Lücken auf und lenkt den Fokus auf die relevanten Baustellen. Darauf aufbauend lässt sich ein passendes Sicherheitskonzept ableiten.

Schlüsselführungsfragen für die Geschäftsführung

Der Artikel nennt eine Reihe von Fragen, die jede Geschäftsführung beantworten können sollte — und die in der Praxis erschreckend oft unbeantwortet bleiben:

Wie sind wir IT-technisch für einen Produktionsausfall vorbereitet? Wie aktuell ist unser Notfallkonzept? Wurden alle NIS-2-Vorgaben umgesetzt? Wo haben wir noch Lücken? Deckt unsere Cyber-Versicherung unser Geschäftsmodell ab?

Wenn diese Fragen nicht spontan und substanziell beantwortet werden können, ist das ein klares Signal: Es besteht Handlungsbedarf — und zwar auf Führungsebene, nicht in der IT-Abteilung.