Post by Stefan Dötsch

NIS2 scheitert nicht an Technik. Technik lässt sich kaufen. Entscheidungen nicht. Gestern Abend war ich gemeinsam mit unserem ISO im Austausch mit anderen IT-Führungskräften bei einem IHK Netzwerktreffen. Danke an Sandra Schorrer und Jessica Ricciardi für die Organisation, und Tobias Blaslbauer für die Moderation. Das war so wertvoll! Ein zentrales Thema dabei: „NIS2 – und wie erklären wir das eigentlich der Geschäftsführung?“ Wir konnten berichten, wie wir solche Themen angehen: mit einem interdisziplinären Team aus IT, Legal, QM. Data Protection, Finance und Einkauf. Und wir durften unsere Erfahrungen teilen, wie man NIS2 adressatengerecht kommuniziert - nicht technisch, sondern entscheidungsrelevant. Versetzt man sich in die Perspektive der Geschäftsführung, landet man sehr schnell bei einer völlig legitimen Frage: Brauchen wir das wirklich? Wer NIS2 an dieser Stelle als IT- oder reines Compliance-Thema verkauft, hat bereits verloren. Das ist die falsche Herangehensweise. Die unbequeme Wahrheit: ⛑️ NIS2 macht Geschäftsführer persönlich verantwortlich ⛑️ Cyber-Risiken sind Unternehmensrisiken, keine IT-Probleme ⛑️ Nicht zu investieren ist ebenfalls eine Entscheidung – nur eine sehr riskante Was in der Praxis hilft: ✅ Unternehmensrisiken benennen. Statt „Wir müssen das System neu aufbauen“ lieber: „Die Produktion steht im Worst Case 72 Stunden.“ Gleicher Inhalt – anderes Wording, anderer Fokus. ✅ Konkrete und realistische Szenarien statt abstrakter Bedrohungen ✅ Echte Entscheidungsoptionen mit klaren Konsequenzen