Auf den Punkt: NIS2 verlangt von Unternehmen strukturierte Governance, technische Sicherheitsmaßnahmen und nachweisbare Incident-Response-Prozesse, für die CISOs volle Verantwortung auf Vorstandsebene tragen müssen.
Die NIS2-Richtlinie definiert erstmals verbindliche Anforderungen an Cybersicherheit und Resilienz für kritische Infrastrukturen und große Unternehmen in der EU. CISOs müssen verstehen, welche operativen und organisatorischen Maßnahmen die Regulierung konkret vorsieht.
Die Richtlinie Netzwerk- und Informationssicherheit 2 (NIS2) legt fest, dass Unternehmen ein angemessenes Sicherheitsniveau durch risikobewusstes Management, technische Kontrollen und Incident-Response-Prozesse erreichen müssen. Dabei geht es nicht um absolute Sicherheit, sondern um nachweisbare, nachvollziehbare Governance: Dokumentation von Sicherheitsmaßnahmen, regelmäßige Überprüfung und Anpassung an bekannte Bedrohungen.
Konkret fordert NIS2 die Benennung von Sicherheitsverantwortlichen auf Geschäftsleitungsebene, Schulung von Mitarbeitern in Sicherheitsthemen, Segmentierung von Netzwerken, Verschlüsselung kritischer Daten, Backup- und Wiederherstellungsverfahren sowie Lieferantenverwaltung. Ebenso erforderlich sind Notfallpläne und die Meldung erheblicher Sicherheitsvorfälle an Behörden innerhalb von 24 Stunden nach Feststellung.
Für CISOs bedeutet dies, dass Cybersicherheit nicht länger als isolierte IT-Funktion, sondern als strategisches Geschäftsthema mit klaren Verantwortlichkeiten im Vorstand behandelt werden muss. Die Implementierung erfolgt typischerweise über Basis-Maßnahmenkatalog, regelmäßige Risikoanalysen und ein kontinuierliches Audit- und Verbesserungsprogramm. Nicht zuletzt erwartet NIS2, dass Unternehmen nachweisen können, dass ihre Maßnahmen proportional zur Größe und zum Bedrohungsrisiko sind.
Quelle: news.google.com · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.