NIS-2 in der Praxis: Wenn Kapazität zum Engpass wird

Der nachfolgende Artikel beschreibt ein fiktives, aber typisches Szenario, das auf zahlreichen Gesprächen mit IT-Verantwortlichen, Projektleitern und Security-Experten basiert. Die dargestellten Personen und Situationen sind frei erfunden, spiegeln jedoch Herausforderungen wider, die im Rahmen von NIS-2-Projekten in der Praxis regelmäßig auftreten. Nicht jedes Unternehmen durchläuft diese Phasen in gleicher Form. Die dargestellten Beispiele sollen vielmehr verdeutlichen, an welchen Stellen Kapazitätsengpässe, fehlende Spezialkenntnisse oder konkurrierende Prioritäten die Umsetzung erschweren können.

Wenn Sie sich darüber hinaus über die verschiedenen Aspekte und Herausforderungen von NIS-2 informieren möchten, schauen Sie sich gerne unsere Übersicht zum Thema, mit zahlreichen Weiterleitungen zu spezialisierten Themen zu NIS-2 an.

Eine Geschichte über vorhandenes Wissen und fehlende Kapazitäten

Wenn über die Umsetzung von NIS-2 gesprochen wird, dreht sich die Diskussion häufig um Fachwissen. Haben wir genügend Security-Kompetenz? Verstehen wir die regulatorischen Anforderungen? Kennen wir die notwendigen Maßnahmen?

An fehlendem Know-how scheitern viele Projekte nicht. Aber sie drohen zu kippen, sobald Zeit und Kapazität als Ressourcen knapp werden.

Die Ausgangsituation

Um zu verstehen, warum das so ist, begleiten wir zwei Personen durch eine typische NIS-2-Umsetzung.

• Julia, Head of IT eines mittelständigen Unternehmens
• Maurice, IT-Projektleiter, der die Umsetzung koordinieren soll

Beide sind motiviert. Beide wissen, dass das Thema wichtig ist. Und trotzdem geraten sie Schritt für Schritt an ihre Grenzen.

Awareness für die Situation

Julia beschäftigt sich bereits seit Monaten mit Cybersecurity.

Sie kennt die Diskussionen rund um NIS-2, verfolgt die Entwicklungen und weiß, dass das Unternehmen handeln muss. Gleichzeitig laufen bereits zahlreiche Themen:

• ERP-Projekte
• Infrastrukturmodernisierung
• Cloud-Migration
• Support
• Dienstleistersteuerung
• Fachbereichsanforderungen

Die Geschäftsführung erkennt die Bedeutung und Dringlichkeit des Themas und benennt Julia als interne Ansprechpartnerin. Das ist ein wichtiger und notwendiger Schritt. Es wird jedoch schnell deutlich, dass dadurch neue Herausforderungen entstehen. Die Umsetzung von NIS-2 kommt zu den bestehenden Aufgaben hinzu und führt zu zusätzlichen Belastungen bei den verfügbaren Kapazitäten.

Etengo Praxisimpuls

Wir unterstützen ihre IT-Leitung bereits in dieser frühen Phase durch externe Governance- oder ISMS-Spezialisten. Sie helfen dabei, Anforderungen zu strukturieren, erste Handlungsfelder zu identifizieren und aus einem diffusen Handlungsdruck einen konkreten Maßnahmenplan zu entwickeln.

Berechnen Sie Ihren Projektbedarf

Die Bestandsaufnahme

Gemeinsam mit verschiedenen Fachbereichen beginnt Ingo die Situation zu bewerten.

Schnell entstehen dabei wichtige Fragen:

• Welche Anforderungen betreffen uns konkret?
• Wo stehen wir heute?
• Welche Risiken bestehen?
• Welche Maßnahmen fehlen?

Was auf dem Papier noch überschaubar wirkt, führt in der Realität jedoch zu zeitintensiven Herausforderungen:

• Workshops organisieren
• Prozesse dokumentieren
• Risiken bewerten
• Lieferanten prüfen
• Richtlinien erstellen
• Management abstimmen

Jeder einzelne Punkt kostet dabei Zeit, welche bereits für andere Projekte eingeplant war.

Die Geschäftsführung erwartet zeitnah Antworten, während Julia nahezu jede fachliche Frage auf dem Tisch liegen hat und entsprechend beantworten muss.

Etengo Praxisimpuls

Gerade die Bestandsaufnahme lässt sich häufig deutlich beschleunigen. Externe ISMS-, GRC- oder Risk-Management-Experten bringen etablierte Vorgehensmodelle, Vorlagen und Erfahrungen aus vergleichbaren Projekten mit. Statt Prozesse, Risikoanalysen und Dokumentationen von Grund auf neu zu entwickeln, unterstützen wir sie mit unseren freiberuflichen Experten darin, auf bewährte Strukturen zurückgreifen.

Benötigte Rollen für die NIS-2 Umsetzung

Delegation

Nachdem sehr deutlich wird, dass NIS-2 als Projekt zu groß wird, um es nebenbei zu koordinieren, wird Maurice mit der Umsetzung beauftragt. Als erfahrener IT-Projektleiter hat er schon ERP-Einführungen, Infrastrukturprojekte und Prozessinitiativen gesteuert. Aber IT-Security ist nicht sein Spezialgebiet.

Plötzlich muss er Begriffe und Prozesse aus der IT-Security, aber auch anderen Fachgebieten verstehen:

• ISMS
• Business Continuity
• Incident Response
• Lieferkettenrisiken
• Security Awarness
• Risikoanalysen

Maurice findet sich plötzlich in einer Situation wieder, die viele Projektleitende kennen: Er trägt Verantwortung für ein Projekt, dessen fachliche Tiefe außerhalb seines eigentlichen Schwerpunkts liegt.

Etengo Praxisimpuls

Freiberufliche Cybersecurity Consultants können hier eine wichtige Brückenfunktion übernehmen. Sie unterstützen bei der fachlichen Strukturierung des Projekts, definieren Arbeitspakete, übersetzen regulatorische Anforderungen in konkrete Maßnahmen und entlasten sowohl Projektleitung als auch IT-Verantwortliche.

Zur Expertensuche

Differenzierung und fehlende Expertise

Mit fortschreitender Projektlaufzeit wird die thematische Breite von NIS-2 immer deutlicher. Daraus ergeben sich viele parallele Baustellen, für die intern immer öfter die entsprechenden Kompetenzen fehlen:

• Aufbau eines ISMS
• Durchführung von Risikoanalysen
• Entwicklung von BC-Konzepten
• Penetration Tests
• Security Monitoring
• Incidence Response

Maurice wird dabei deutlich, dass im Versuch, dies alles intern abzubilden, die nächste Kapazitätsfalle droht. Selbst wenn Julia beispielsweise grundsätzlich weiß, wie ein ISMS aufgebaut ist, bedeutet das nicht, dass sie mehrere hundert Stunden dafür frei hat.

Und selbst wenn Maurice die Umsetzung koordinieren kann, bedeutet das nicht, dass plötzlich ein Penetration Tester, ein Incident-Response-Spezialist oder ein Business-Continuity-Experte im Unternehmen vorhanden ist.

Etengo Praxisimpuls

Hier zeigt sich ganz deutlich der Wert spezialisierter externer Experten. Unternehmen benötigen diese Kompetenzen häufig nicht dauerhaft, wohl aber punktuell während der Umsetzung. Externe ISMS Consultants, Business Continuity Consultants, Penetration Tester oder Incident-Response-Spezialisten können gezielt einzelne Arbeitspakete übernehmen und dadurch interne Teams spürbar entlasten.

Finden Sie passgenaue Experten

Das Tagesgeschäft

Das Projekt läuft, interne Kapazitäten sind daran gebunden. Dennoch macht das Tagesgeschäft keine Pause. Kunden melden kritische Probleme, Mitarbeiter fallen aus, andere Projekte eskalieren, ein Audit steht an, Business-Projekte steigen in der Priorität. Und plötzlich konkurriert NIS-2 mit allen anderen Anforderungen, Kapazitäten werden neu verhandelt.

Obwohl Julia, Maurice und das ganze Projektteam stärker priorisieren und härter arbeiten, wird das Projekt dadurch langsamer. Dies ist häufig ein schleichender Prozess:

• Workshops werden verschoben.
• Dokumentationen bleiben liegen.
• Maßnahmen werden aufs nächste Quartal gelegt.

Etengo Praxisimpuls

Hier zeigt sich ganz deutlich der Wert spezialisierter externer Experten. Unternehmen benötigen diese Kompetenzen häufig nicht dauerhaft, wohl aber punktuell während der Umsetzung. Externe ISMS Consultants, Business Continuity Consultants, Penetration Tester oder Incident-Response-Spezialisten können gezielt einzelne Arbeitspakete übernehmen und dadurch interne Teams spürbar entlasten.

Verstärken Sie Ihr Projekt punktuell

Schleichender Stillstand

Nach einigen Monaten, konfrontiert mit den skizzierten Herausforderungen zeichnet sich ein bekanntes Bild ab:

• Die Analyse wurde nicht beendet.
• Nicht alle Maßnahmen sind definiert.
• Die Dokumentation ist nicht vollständig.
• Nicht alle notwendigen Workshops wurden durchgeführt.

Bedingt dadurch, dass die verfügbaren Kapazitäten bis dato oftmals nicht zur Größe des Projekts gepasst haben, bleibt die Umsetzung hinter den Erwartungen zurück. Der Umsetzung von NIS-2 droht immer deutlicher Stillstand.

Etengo Praxisimpuls

Stockt das Projekt, können freiberufliche Experten einiges wieder in Bewegung versetzen. Sie übernehmen offene Arbeitspakete, vervollständigen Dokumentationen, bauen Governance-Strukturen auf oder setzen technische Maßnahmen eigenständig um.

Zur Expertensuche

Fazit

NIS-2 ist für viele Unternehmen weniger ein Wissensproblem als ein Kapazitätsproblem. Die Anforderungen sind grundsätzlich bekannt. Die eigentliche Herausforderung besteht darin, neben dem Tagesgeschäft genügend Zeit, Budget und spezialisierte Ressourcen für die Umsetzung bereitzustellen. Laut einer europaweiten Untersuchung der ECSO haben rund 75 % der Organisationen keine dedizierten finanziellen Ressourcen für die NIS-2-Umsetzung eingeplant. Dabei hebt die ENISA in einer Ausarbeitung  hervor, dass die Umsetzung von NIS-2 unmittelbar mit Fragen der Personalplanung, Qualifizierung, Weiterbildung und gegebenenfalls dem Outsourcing von Kompetenzen verbunden ist.

Genau deshalb setzen viele Unternehmen auf externe Spezialisten, um zusätzliche Ressourcen und spezialisierte Erfahrung zu garantieren. Während Julia die fachliche Richtung vorgibt und Maurice die Umsetzung steuert, können externe Experten gezielt dort unterstützen, wo temporär besondere Expertise oder zusätzliche Umsetzungskapazität erforderlich ist.

Entscheidend ist dabei nicht, irgendeinen Security-Experten zu finden, sondern die passende Expertise für die jeweilige Projektphase bereitzustellen, vom ISMS-Aufbau über Risikomanagement und Business Continuity bis hin zu Security Architecture, Incident Response oder Awareness.

Finden Sie sich in diesem Szenario wieder?

Dann sind Sie nicht allein. Viele Unternehmen stehen aktuell vor der Herausforderung, regulatorische Anforderungen, laufenden Betrieb und begrenzte Ressourcen miteinander in Einklang zu bringen.

Als Spezialist für die professionelle Projektbegleitung durch hochqualifizierte IT- und Security-Experten unterstützt Etengo Unternehmen dabei, genau die Expertise bereitzustellen, die in der jeweiligen Projektphase benötigt wird. Sprechen Sie uns gerne an. Gemeinsam analysieren wir Ihre Situation und finden die Experten, die zu Ihren fachlichen Anforderungen, Ihrem Projekt und Ihrer Unternehmenskultur passen.

NIS-2 mit externer Expertise umsetzen

Etengo ist spezialisiert auf die Vermittlung hochqualifizierter IT-Experten an Unternehmen, die ihre IT-Projekte zuverlässig vorantreiben wollen. Wenn in laufenden Vorhaben kurzfristig zusätzliche Kapazitäten benötigt werden oder unternehmensintern entscheidende Expertise fehlt, schließt Etengo diese Lücke mit passgenau ausgewählten Fachkräften. So erhalten Sie genau die Skills, die Sie brauchen, um kritische Projekte termingerecht umzusetzen, Ressourcenengpässe zu überbrücken und Ihre strategischen Ziele im Bereich Digitalisierung und IT sicher zu erreichen.

Nutzen Sie unsere IT-Expertensuche, um sofort auf sorgfältig ausgewählte IT-Sicherheitsspezialisten zuzugreifen. 

Sie haben ein komplexes Projekt - wir die dazu passende Lösung! Etengo vermittelt nicht nur einzelne Experten, sondern stellt auch gesamte Projektteams nach Ihren Vorgaben zusammen. Sprechen Sie uns an – gemeinsam analysieren wir Ihren Bedarf und stellen die optimale Besetzung für Sie zusammen.

Lassen Sie uns sprechen

Damit wir Sie optimal unterstützen können, möchten wir Ihre Situation und Ihren konkreten Bedarf möglichst genau verstehen.

So finden wir genau die passenden Lösungen für Ihr Vorhaben.