Der nachfolgende Artikel beschreibt ein fiktives, aber typisches Szenario, das auf zahlreichen Gesprächen mit IT-Verantwortlichen, Projektleitern und Security-Experten basiert. Die dargestellten Personen und Situationen sind frei erfunden, spiegeln jedoch Herausforderungen wider, die im Rahmen von NIS-2-Projekten in der Praxis regelmäßig auftreten. Nicht jedes Unternehmen durchläuft diese Phasen in gleicher Form. Die dargestellten Beispiele sollen vielmehr verdeutlichen, an welchen Stellen Kapazitätsengpässe, fehlende Spezialkenntnisse oder konkurrierende Prioritäten die Umsetzung erschweren können.
Wenn über die Umsetzung von NIS-2 gesprochen wird, dreht sich die Diskussion häufig um Fachwissen. Haben wir genügend Security-Kompetenz? Verstehen wir die regulatorischen Anforderungen? Kennen wir die notwendigen Maßnahmen?
An fehlendem Know-how scheitern viele Projekte nicht. Aber sie drohen zu kippen, sobald Zeit und Kapazität als Ressourcen knapp werden.
Um zu verstehen, warum das so ist, begleiten wir zwei Personen durch eine typische NIS-2-Umsetzung.
Beide sind motiviert. Beide wissen, dass das Thema wichtig ist. Und trotzdem geraten sie Schritt für Schritt an ihre Grenzen.
Julia beschäftigt sich bereits seit Monaten mit Cybersecurity.
Sie kennt die Diskussionen rund um NIS-2, verfolgt die Entwicklungen und weiß, dass das Unternehmen handeln muss. Gleichzeitig laufen bereits zahlreiche Themen:
Die Geschäftsführung erkennt die Bedeutung und Dringlichkeit des Themas und benennt Julia als interne Ansprechpartnerin. Das ist ein wichtiger und notwendiger Schritt. Es wird jedoch schnell deutlich, dass dadurch neue Herausforderungen entstehen. Die Umsetzung von NIS-2 kommt zu den bestehenden Aufgaben hinzu und führt zu zusätzlichen Belastungen bei den verfügbaren Kapazitäten.
Gemeinsam mit verschiedenen Fachbereichen beginnt Ingo die Situation zu bewerten.
Schnell entstehen dabei wichtige Fragen:
Was auf dem Papier noch überschaubar wirkt, führt in der Realität jedoch zu zeitintensiven Herausforderungen:
Jeder einzelne Punkt kostet dabei Zeit, welche bereits für andere Projekte eingeplant war.
Die Geschäftsführung erwartet zeitnah Antworten, während Julia nahezu jede fachliche Frage auf dem Tisch liegen hat und entsprechend beantworten muss.
Nachdem sehr deutlich wird, dass NIS-2 als Projekt zu groß wird, um es nebenbei zu koordinieren, wird Maurice mit der Umsetzung beauftragt. Als erfahrener IT-Projektleiter hat er schon ERP-Einführungen, Infrastrukturprojekte und Prozessinitiativen gesteuert. Aber IT-Security ist nicht sein Spezialgebiet.
Plötzlich muss er Begriffe und Prozesse aus der IT-Security, aber auch anderen Fachgebieten verstehen:
Maurice findet sich plötzlich in einer Situation wieder, die viele Projektleitende kennen: Er trägt Verantwortung für ein Projekt, dessen fachliche Tiefe außerhalb seines eigentlichen Schwerpunkts liegt.
Mit fortschreitender Projektlaufzeit wird die thematische Breite von NIS-2 immer deutlicher. Daraus ergeben sich viele parallele Baustellen, für die intern immer öfter die entsprechenden Kompetenzen fehlen:
Maurice wird dabei deutlich, dass im Versuch, dies alles intern abzubilden, die nächste Kapazitätsfalle droht. Selbst wenn Julia beispielsweise grundsätzlich weiß, wie ein ISMS aufgebaut ist, bedeutet das nicht, dass sie mehrere hundert Stunden dafür frei hat.
Und selbst wenn Maurice die Umsetzung koordinieren kann, bedeutet das nicht, dass plötzlich ein Penetration Tester, ein Incident-Response-Spezialist oder ein Business-Continuity-Experte im Unternehmen vorhanden ist.
Das Projekt läuft, interne Kapazitäten sind daran gebunden. Dennoch macht das Tagesgeschäft keine Pause. Kunden melden kritische Probleme, Mitarbeiter fallen aus, andere Projekte eskalieren, ein Audit steht an, Business-Projekte steigen in der Priorität. Und plötzlich konkurriert NIS-2 mit allen anderen Anforderungen, Kapazitäten werden neu verhandelt.
Obwohl Julia, Maurice und das ganze Projektteam stärker priorisieren und härter arbeiten, wird das Projekt dadurch langsamer. Dies ist häufig ein schleichender Prozess:
Nach einigen Monaten, konfrontiert mit den skizzierten Herausforderungen zeichnet sich ein bekanntes Bild ab:
Bedingt dadurch, dass die verfügbaren Kapazitäten bis dato oftmals nicht zur Größe des Projekts gepasst haben, bleibt die Umsetzung hinter den Erwartungen zurück. Der Umsetzung von NIS-2 droht immer deutlicher Stillstand.
NIS-2 ist für viele Unternehmen weniger ein Wissensproblem als ein Kapazitätsproblem. Die Anforderungen sind grundsätzlich bekannt. Die eigentliche Herausforderung besteht darin, neben dem Tagesgeschäft genügend Zeit, Budget und spezialisierte Ressourcen für die Umsetzung bereitzustellen. Laut einer europaweiten Untersuchung der ECSO haben rund 75 % der Organisationen keine dedizierten finanziellen Ressourcen für die NIS-2-Umsetzung eingeplant. Dabei hebt die ENISA in einer Ausarbeitung hervor, dass die Umsetzung von NIS-2 unmittelbar mit Fragen der Personalplanung, Qualifizierung, Weiterbildung und gegebenenfalls dem Outsourcing von Kompetenzen verbunden ist.
Genau deshalb setzen viele Unternehmen auf externe Spezialisten, um zusätzliche Ressourcen und spezialisierte Erfahrung zu garantieren. Während Julia die fachliche Richtung vorgibt und Maurice die Umsetzung steuert, können externe Experten gezielt dort unterstützen, wo temporär besondere Expertise oder zusätzliche Umsetzungskapazität erforderlich ist.
Entscheidend ist dabei nicht, irgendeinen Security-Experten zu finden, sondern die passende Expertise für die jeweilige Projektphase bereitzustellen, vom ISMS-Aufbau über Risikomanagement und Business Continuity bis hin zu Security Architecture, Incident Response oder Awareness.
Dann sind Sie nicht allein. Viele Unternehmen stehen aktuell vor der Herausforderung, regulatorische Anforderungen, laufenden Betrieb und begrenzte Ressourcen miteinander in Einklang zu bringen.
Als Spezialist für die professionelle Projektbegleitung durch hochqualifizierte IT- und Security-Experten unterstützt Etengo Unternehmen dabei, genau die Expertise bereitzustellen, die in der jeweiligen Projektphase benötigt wird. Sprechen Sie uns gerne an. Gemeinsam analysieren wir Ihre Situation und finden die Experten, die zu Ihren fachlichen Anforderungen, Ihrem Projekt und Ihrer Unternehmenskultur passen.