NIS-2 erweitert signifikant die Anforderungen an Unternehmen. Von Governance und Risikomanagement über technische Sicherheitsmaßnahmen bis hin zu Incident Response und Security Awareness. Diese Bandbreite an Kompetenzen vollständig intern abzudecken, ist für viele Unternehmen neben dem laufenden Tagesgeschäft nur schwer realisierbar.
An dieser Stelle zeigt sich der Wert externer Spezialistinnen und Spezialisten. Sie bringen kurzfristig verfügbare Expertise, Projekterfahrung aus unterschiedlichen Branchen und praxisnahe Best Practices mit. Genau das macht uns bei Etengo aus. Unternehmen bedarfsgerecht mit passenden freiberuflichen IT- und Security-Experten zusammenzubringen, von strategischen Rollen bis hin zu technischen Spezialisten.
Der folgende Artikel zeigt typische Herausforderungen im NIS-2-Umfeld sowie beispielhafte externe Rollenprofile zur Unterstützung bei der Umsetzung.
Disclaimer: Rollenbezeichnungen im Cybersecurity-Umfeld sind häufig stark ausdifferenziert und unterscheiden sich je nach Unternehmen, Branche und Projektkontext. Viele der im Folgenden dargestellten Profile lassen sich in der Praxis als Cybersecurity Consultants mit unterschiedlichen fachlichen Schwerpunkten verstehen. Entscheidend sind daher oftmals weniger konkrete Titel als vielmehr tatsächliche Fähigkeiten, Projekterfahrungen und Spezialisierungen eines Experten. Zur besseren Einordnung führen wir die Rollen dennoch differenziert auf.
Wenn Sie sich darüber hinaus über die verschiedenen Aspekte und Herausforderungen von NIS-2 informieren möchten, schauen Sie sich gerne unsere Übersicht zum Thema, mit zahlreichen Weiterleitungen zu spezialisierten Themen zu NIS-2 an.
Governance, Compliance und Managementverantwortung
NIS-2 verpflichtet Unternehmen dazu, Informationssicherheit organisatorisch zu steuern, Risiken nachvollziehbar zu bewerten und Sicherheitsmaßnahmen gegenüber Aufsichtsbehörden nachweisbar zu machen. Dabei rückt die Verantwortung von Geschäftsführung und Management stärker in den Fokus. Die hier benötigten Expertinnen und Experten müssen technisches Verständnis, regulatorisches Know-how und organisatorische Steuerung miteinander verbinden.
Typische Expertenrollen in diesem Bereich
- Interim CISO: Unterstützt beim Aufbau und der Steuerung von Sicherheitsstrukturen, priorisiert Security-Initiativen und begleitet Management sowie Geschäftsführung bei strategischen Sicherheitsentscheidungen.
- ISMS Consultant: Hilft beim Aufbau oder der Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS), inklusive Richtlinien, Dokumentation, Auditvorbereitung und Governance-Prozessen.
- GRC Consultant: Verbindet Governance-, Risiko- und Compliance-Anforderungen mit operativen Sicherheitsmaßnahmen und schafft nachvollziehbare Prozesse sowie belastbare Dokumentationsstrukturen.
- Governance Consultant (Cybersecurity): Unterstützt bei der strukturierten Umsetzung regulatorischer Anforderungen wie NIS-2, bewertet bestehende Sicherheitsorganisationen und entwickelt pragmatische Governance- und Compliance-Konzepte.
Risikomanagement
NIS-2 fordert Unternehmen dazu auf, Sicherheitsrisiken systematisch zu bewerten und organisatorische Resilienz aufzubauen. Kritische Geschäftsprozesse sollen auch im Falle von Cyberangriffen, Systemausfällen oder Lieferkettenproblemen möglichst handlungsfähig bleiben. Das bedeutet, belastbare Risiko-, Notfall- und Wiederherstellungsprozesse zu etablieren.
Typische Expertenrollen in diesem Bereich
- Business Continuity Consultant: Entwickelt Strategien und Notfallprozesse, damit kritische Geschäftsabläufe auch bei Sicherheitsvorfällen oder Ausfällen möglichst stabil weitergeführt werden können.
- IT Risk Consultant: Analysiert technische und organisatorische Risiken, bewertet potenzielle Auswirkungen und unterstützt bei der Priorisierung geeigneter Schutzmaßnahmen.
- Disaster Recovery Consultant: Plant Wiederherstellungsstrategien für Systeme, Daten und Infrastrukturen, um Ausfallzeiten und Betriebsunterbrechungen nach Sicherheitsvorfällen zu minimieren.
- Third Party Risk Consultant: Bewertet Sicherheitsrisiken innerhalb der Lieferkette sowie bei Dienstleistern, Cloud-Anbietern und externen Partnern und unterstützt beim Aufbau geeigneter Kontrollmechanismen.
Technische Sicherheitsarchitektur
Unternehmen müssen angemessene technische und organisatorische Sicherheitsmaßnahmen etablieren, um kritische Systeme, Daten und Kommunikationswege wirksam abzusichern. Dazu gehören unter anderem belastbare Sicherheitsarchitekturen, sichere Zugriffsmodelle, Netzwerksegmentierung sowie die Absicherung moderner Cloud- und Hybrid-Umgebungen. Ziel ist es, Angriffsflächen zu reduzieren und IT-Landschaften resilienter gegenüber Cyberangriffen aufzustellen.
Typische Expertenrollen in diesem Bereich
- Security Architect: Entwirft sichere Zielarchitekturen und unterstützt bei Themen wie Netzwerksegmentierung, Zero-Trust-Konzepten sowie der Integration von Sicherheitsmaßnahmen in bestehende IT-Landschaften.
- Cloud Security Consultant: Unterstützt bei der Absicherung von Cloud-Umgebungen, Berechtigungskonzepten und sicheren Konfigurationen sowie bei der Umsetzung regulatorischer Anforderungen in Cloud-Infrastrukturen.
- IAM Consultant: Optimiert Rollen-, Rechte- und Zugriffskonzepte, um unberechtigte Zugriffe, Privilegienmissbrauch und Identitätsrisiken zu reduzieren.
- Network Security Consultant: Unterstützt bei Firewall-Konzepten, Netzwerksegmentierung sowie der technischen Absicherung kritischer Systeme und Kommunikationswege.
Detection und Incident Response
Unternehmen müssen Sicherheitsvorfälle möglichst frühzeitig erkennen, Angriffe effizient bearbeiten und technische Schwachstellen kontinuierlich identifizieren. Dafür sind belastbare Monitoring-, Analyse- und Reaktionsprozesse notwendig, um Schäden zu begrenzen, Ursachen nachvollziehen zu können und die eigene Sicherheitslage fortlaufend zu verbessern.
Typische Expertenrollen in diesem Bereich
- SOC / SIEM Consultant: Unterstützt beim Aufbau oder der Optimierung von Security-Monitoring- und SIEM-Strukturen, um Sicherheitsereignisse zentral auszuwerten und Angriffe frühzeitig zu erkennen.
- Incident Response Consultant: Hilft bei der Analyse, Eindämmung und Koordination von Sicherheitsvorfälle, insbesondere in kritischen Krisensituationen und unter hohem Zeitdruck.
- Penetration Tester: Prüft Systeme gezielt auf technische Schwachstellen und simuliert reale Angriffsvektoren, um Sicherheitslücken frühzeitig sichtbar zu machen.
- DFIR Consultant: Analysiert Sicherheitsvorfälle forensisch, rekonstruiert Angriffsabläufe und unterstützt bei Ursachenanalyse, Beweissicherung und technischer Aufarbeitung.
Awareness und organisatorischer Wandel
Informationssicherheit ist nicht ausschließlich eine technische Herausforderung, sondern erfordert auch organisatorische Veränderungen und ein nachhaltiges Sicherheitsbewusstsein innerhalb des Unternehmens. Mitarbeitende müssen für Risiken sensibilisiert, neue Prozesse etabliert und Sicherheitsmaßnahmen langfristig in den Arbeitsalltag integriert werden.
Typische Expertenrollen in diesem Bereich
- Change Manager: Begleitet organisatorische Veränderungen und unterstützt dabei, neue Sicherheitsprozesse und Verantwortlichkeiten nachhaltig im Unternehmen zu verankern.
- Security Awareness Consultant: Entwickelt Awareness-Programme und Maßnahmen, um Sicherheitsbewusstsein langfristig innerhalb der Organisation aufzubauen und zu stärken.
- Security Trainer: Führt Schulungen zu Themen wie Phishing, Social Engineering und sicherem Verhalten im Arbeitsalltag durch und vermittelt praxisnahes Sicherheitswissen. Plant und begleitet Phishing-Simulationen sowie Sensibilisierungsmaßnahmen gegen Social-Engineering-Angriffe und unterstützt bei der Bewertung des Sicherheitsverhaltens innerhalb der Organisation.
Unsere Stärke
Gerade im Cybersecurity-Umfeld sind Rollenbezeichnungen oft uneinheitlich und nur begrenzt aussagekräftig. Entscheidend sind die tatsächlichen Fähigkeiten, Projekterfahrungen und Spezialisierungen eines Experten. Genau hier unterstützen wir bei Etengo: Durch die gezielte Analyse von Lebensläufen und Projektaufstellungen identifizieren wir die Kompetenzen, die für eine konkrete Herausforderung benötigt werden, und bringen Unternehmen mit den passenden freiberuflichen Spezialisten zusammen.