„NIS-2 ist kein Bremsklotz, es ist der Sicherheitshelm für Ihre IT”

von am Kein Kommentar

„NIS-2 ist kein Bremsklotz, es ist der Sicherheitshelm für Ihre IT”

NIS-2 erhöht den Druck auf Unternehmen, ihre IT-Sicherheit grundlegend zu stärken. Doch zwischen regulatorischen Vorgaben und praktischer Umsetzung klafft oft eine Lücke. Wie diese geschlossen werden kann, darüber haben wir mit René Angenheister, CTO der BLUE CONSULT GmbH, gesprochen.

Herr Angenheister, viele IT-Leiter stöhnen aktuell über NIS-2. Noch eine Richtlinie, noch mehr Aufwand. Ist das berechtigt?

Ich verstehe die Reaktion gut. Sie erinnert mich an die Einführung der Helmpflicht beim Mofa fahren. Das war nämlich genau in meiner Jugend und zu meiner Mofazeit. Damals hieß es: unbequem, überflüssig, Bevormundung.

Heute wissen wir: Der Helm rettet Leben.

Inzwischen fahre ich Motorrad und ich kann dazu nur sagen, ich fahre nie ohne Schutzkleidung, wenn ich Motorradfahren gehe.

Und genau so sollte man NIS-2 betrachten. Am Anfang wirkt es wie Bürokratie, ist unbequem und vielleicht fühlt es sich nach Bevormundung und überflüssig an. In Wahrheit ist es ein Rahmen, der Unternehmen dazu zwingt, sich ernsthaft mit ihrer eigenen Widerstandsfähigkeit (Cyber Resilienz) auseinanderzusetzen.

Nicht als Selbstzweck, sondern um den eigenen Betrieb zu schützen und für die Zukunft aufzustellen.

Das klingt fast ungewohnt positiv. Wo liegt denn konkret der Nutzen für Unternehmen?

Der zentrale Effekt von NIS-2 liegt in der strukturierten Steuerung von Cybersicherheitsrisiken. Unternehmen sind verpflichtet, Risiken systematisch zu identifizieren, zu bewerten und geeignete Maßnahmen umzusetzen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme zu vermeiden bzw. deren Auswirkungen zu minimieren.

 Das zwingt Unternehmen dazu, grundlegende Fragen belastbar zu beantworten, etwa:

Welche Systeme und Prozesse sind für die Leistungserbringung kritisch?

Wir haben viel Erfahrung mit IBM-Umgebungen, die oft geschäftskritische Kernprozesse tragen. Hier ist diese Frage wichtig.

Welche Abhängigkeiten bestehen, auch in der Lieferkette?

Welche Auswirkungen haben Sicherheitsvorfälle auf den Geschäftsbetrieb?

 Der konkrete Nutzen ergibt sich daraus direkt auf betrieblicher Ebene:

Reduzierung von Störungen: Sicherheitsmaßnahmen sollen explizit darauf abzielen, Ausfälle zu vermeiden und deren Folgen zu begrenzen

Verbesserte Reaktionsfähigkeit: Unternehmen müssen Vorfälle erkennen, bewerten und strukturiert darauf reagieren können

Klare Verantwortlichkeiten: Die Geschäftsführung ist verpflichtet, Maßnahmen umzusetzen und deren Wirksamkeit zu überwachen

Höhere betriebliche Resilienz: Risiken werden als Geschäftsrisiken verstanden und systematisch in Entscheidungen einbezogen

Sie sprechen IBM-Systeme an. Was bedeutet NIS-2 konkret für IBM Systeme und Infrastrukturen?

Viele denken, dass gerade IBM Systeme besonders sicher und „unangreifbar sind. Das stimmt technisch oft, aber NIS-2 geht deutlich weiter.

Es geht nicht nur um das System selbst, sondern um das Gesamtbild:

Identity & Access Management (z. B. Benutzer- und Rechtekonzepte)

Logging und Monitoring (zentrale Auswertung, SIEM-Anbindung)

Patch- und Schwachstellenmanagement, auch im Zusammenspiel mit angrenzenden Systemen

Backup- und Recovery-Strategien (Stichwort: getestete Wiederanlaufzeiten)

Absicherung von Schnittstellen, APIs und angebundenen Cloud-Diensten

Die eigentliche Herausforderung liegt also weniger im einzelnen System, sondern in der Integration in eine ganzheitliche Sicherheitsarchitektur.

Viele Unternehmen empfinden genau diese Komplexität als größte Hürde.

Absolut! Und genau darin liegt gleichzeitig die Chance.

Unternehmen, die ihre IT-Landschaft sauber strukturieren:

verstehen ihre Abhängigkeiten besser

reduzieren Komplexität aktiv

schaffen belastbare Prozesse

Sicherheit wird dadurch vom „Feuerlöscher-Prinzip“ zu einem echten Steuerungsinstrument.

Gerade bei hybriden Architekturen, bei IBM-Systemen kombiniert mit Cloud, Microsoft 365 oder externen Services ist das ein echter Wettbewerbsvorteil.

Ein zentraler Punkt der Richtlinie sind Schulungen. Warum wird dem so viel Gewicht gegeben?

Weil Technik allein nicht reicht. Die meisten Sicherheitsvorfälle entstehen nicht durch fehlende Firewalls, sondern durch Fehlverhalten oder Fehleinschätzungen.

NIS-2 adressiert das sehr klar:

Die Geschäftsführung muss verstehen, wofür sie haftet und welche Entscheidungen sie treffen muss

Die Mitarbeiter müssen Risiken erkennen und richtig reagieren können

Konkret geht es um Themen wie:

Phishing und Social Engineering

Passwortsicherheit

Meldewege bei Vorfällen

Umgang mit externen Dienstleistern

Verständnis für die eigene Rolle in der Sicherheitskette

Cybersicherheit ist damit keine reine IT-Aufgabe mehr, sondern eine Führungs- und Verhaltensfrage.

Sie haben die Geschäftsführung angesprochen, wie stark ist diese wirklich betroffen?

Sehr stark. NIS-2 lässt sich nicht delegieren.

Die Verantwortung liegt klar auf Management-Ebene:

Governance

Risikobewertung

Priorisierung von Maßnahmen

Krisenmanagement

Das ist ungewohnt, aber sinnvoll. Denn nur wenn das Thema oben verankert ist, bekommt es die notwendige Priorität im Unternehmen.

Viele sehen vor allem Kosten. Wann rechnet sich das Ganze?

Die bessere Frage ist: Wann rechnet sich die „Sicherheitskleidung“?

NIS-2 hilft konkret dabei:

teure Ausfälle zu vermeiden

Schäden durch Angriffe zu reduzieren

Wiederanlaufzeiten drastisch zu verkürzen

Ein ungeplanter Stillstand einer IBM-basierten Produktions- oder ERP-Umgebung kann schnell sechs- oder siebenstellige Kosten verursachen.

Dagegen sind strukturierte Sicherheitsmaßnahmen eine sehr überschaubare Investition.

Was beobachten Sie aktuell bei Ihren Kunden?

Zwei Extreme:

„Wir ignorieren das erstmal“

„Wir sind völlig überfordert“

Beides ist nicht zielführend.

Der richtige Weg liegt dazwischen: strukturiert, pragmatisch, priorisiert.

Und genau da setzen wir an.

Wie unterstützen Sie konkret?

Der eigentliche Nutzen von NIS-2 liegt darin, Cybersicherheit endlich strukturiert und steuerbar zu machen. Unternehmen müssen Risiken systematisch bewerten und beantworten zentrale Fragen: Welche Systeme sind geschäftskritisch? Welche Abhängigkeiten bestehen, auch in der Lieferkette? Und welche Auswirkungen hätte ein Sicherheitsvorfall auf den Betrieb?

NIS-2 zwingt dazu, genau diese Themen belastbar zu klären und liefert damit auch die Grundlage, um IT-Sicherheit intern auf Management-Ebene richtig zu adressieren.

Wie wir unterstützen:

Wir verbinden über 20 Jahre IT-Erfahrung, insbesondere im Umfeld geschäftskritischer IBM-Systeme, mit einer praxisnahen NIS-2-Umsetzung für den Mittelstand. Dabei gehen wir bewusst über Theorie hinaus:

Analyse Ihrer bestehenden Infrastruktur & Identifikation von Schwachstellen (Gap-Analyse)

Priorisierung konkreter Maßnahmen statt pauschaler Checklisten

Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen

Unser Fokus: Ganzheitliche Cyber-Resilienz

Prävention: Härtung, Zugriffskonzepte, Netzwerksicherheit

Detection: Monitoring, SIEM/SOC, Transparenz über Angriffe

Backup & Recovery: Immutable Backups, Wiederanlaufstrategien

Betrieb & Notfallfähigkeit: Disaster Recovery, Business Continuity

Infrastruktur: Absicherung von On-Prem, Hybrid- und Cloud-Umgebungen

Das Ziel ist klar: Nicht nur NIS-2 erfüllen, sondern eine IT aufbauen, die auch im Ernstfall stabil und handlungsfähig bleibt.

Zum Abschluss: Ihr wichtigster Rat an IT-Leiter und Entscheider?

Sehen Sie NIS-2 nicht als Pflicht, sondern als Chance.

Oder anders gesagt:

Der Helm ist kein Hindernis.

Er sorgt dafür, dass Sie überhaupt sicher Vollgas geben können.

Herzlichen Dank Herr Angenheister!

BLUE Consult – Die Architekten für Ihr digitales Business

Seit über 20 Jahren begleiten wir Unternehmen in anspruchsvollen IT-Fragen – nicht als reiner Dienstleister, sondern als verlässlicher Partner auf Augenhöhe.

Unsere Kunden entscheiden sich immer wieder für uns, weil sie nicht nur unsere Expertise schätzen, sondern vor allem die Menschen dahinter: persönlich, verbindlich, vorausschauend. Dabei sind unsere Fokusthemen: Cloud Services, Managed Services und Professional Services

Unsere Cloud-Strategie:

Vom flexiblen Hybrid- oder Multi-Cloud-Szenario bis zur vollständig souveränen Cloud – wir bieten Lösungen, die maximale Kontrolle, Unabhängigkeit von Hyperscalern und höchste Sicherheit garantieren.

Unsere Managed Services:

Erst durch Monitoring, Backup und gezielte Maßnahmen zur Cyber-Resilienz entsteht eine stabile, performante und geschützte IT-Umgebung.

Unsere Professional Services:

Erfahrene Consultants analysieren Ihre Strukturen, optimieren Ihre Strategien und entwickeln Lösungen, die technologisch wie wirtschaftlich überzeugen.

„NIS-2 ist kein Bremsklotz, es ist der Sicherheitshelm für Ihre IT” hinzugefügt von am
Alle Beiträge von Presse →

verwandte Themen:

Legacy-Code: Bremsklotz oder strategischer Vorteil im KI-Zeitalter-
Rund um KI im IBMi- und IBMZ-Umfeld sehen wir gerade viel Bewegung. Die Erwartung ist oft klar: KI soll helfen, gewachsene Systeme schneller zu verstehen, zu modernisieren und Komplexität zu reduzieren. Die Realität ist differenzierter. Viele Initiativen scheitern nicht an der Technologie – sondern daran, dass etwas Entscheidendes fehlt: das Verständnis für die fachliche Logik im System. Denn genau darin liegt der eigentliche Wert:  Im Legacy-Code stecken Prozesse,...

Wenn die Community kein SLA hat
OTTRIA warnt vor unterschätzter Open-Source-Lücke unter NIS2 und DORA...

Kabel beschädigt ? Kein Internet, kein Telefon!
Jetzt Maßnahmen ergreifen!...

Usability von Business Software: Weltweiter Bremsklotz beim Rollout
Anwender rund um den Globus stehen vor den gleichen Hürden – datango AG zeigt Lösungsweg aus der Softwarefalle auf Berlin, 06. Juli 2009 – Der erfolgreiche Einsatz einer Business-Applikation wie SAP steht und fällt mit ihrem Anwender. Die besten Funktionalitäten sind hinfällig, wenn der Nutzer sie nicht bedienen kann. Dies unterstreicht ein aktueller Fachartikel der Financial Times USA mit dem Titel „Lovely Software. But I can’t work it“ – ein Problem, das sich global &...

Sicherheit ist kein Einmalprojekt: Continuous Screening in der Praxis
Validato zeigt, wie Schweizer Unternehmen Risiken durch kontinuierliche Hintergrundprüfungen minimieren und gleichzeitig DSG/revDSG-konform bleiben....