NIS 2 pragmatisch umsetzen: Jannik Christ im Security-Insider Podcast

NIS 2 ist für viele Unternehmen längst kein abstraktes Zukunftsthema mehr, sondern eine konkrete Managementaufgabe. Besonders im Mittelstand stellt sich aktuell eine entscheidende Frage: Wie lässt sich die Richtlinie so umsetzen, dass sie nicht nur regulatorische Anforderungen erfüllt, sondern echten Mehrwert für die Informationssicherheit schafft?

Genau darüber hat Jannik Christ im Security-Insider Podcast gesprochen. In der Folge „NIS 2 braucht im Mittelstand pragmatische Ansätze“ geht es darum, wie Unternehmen die Anforderungen der NIS-2-Richtlinie sinnvoll, risikoorientiert und umsetzbar angehen können – ohne sich in überkomplexen Projekten, endlosen Dokumentationen oder rein formalen Compliance-Übungen zu verlieren.

‍

NIS 2 ist mehr als ein Compliance-Projekt

Viele Unternehmen nähern sich NIS 2 zunächst aus der Perspektive der Pflichterfüllung: Bin ich betroffen? Was muss ich nachweisen? Welche Fristen gelten? Wer haftet? Diese Fragen sind wichtig. Gleichzeitig greift es zu kurz, NIS 2 nur als regulatorische Last zu betrachten.

Richtig verstanden kann NIS 2 ein Anlass sein, die eigene Sicherheitsorganisation strukturiert weiterzuentwickeln. Dazu gehören klare Verantwortlichkeiten, ein belastbares Risikomanagement, realistische Schutzmaßnahmen, wirksame Notfallprozesse und eine stärkere Verankerung von Informationssicherheit in der Unternehmensführung.

Gerade für mittelständische Unternehmen ist dabei entscheidend: Es braucht keine Sicherheitsorganisation „auf Konzernniveau“ vom ersten Tag an. Es braucht ein Vorgehen, das zur Unternehmensgröße, zur Risikolage, zu den vorhandenen Ressourcen und zur tatsächlichen Bedrohungssituation passt.

‍

Pragmatisch heißt nicht oberflächlich

Ein zentraler Punkt im Podcast ist die Frage, wie sich NIS 2 möglichst effizient umsetzen lässt. Für Jannik Christ bedeutet Pragmatismus dabei nicht, Anforderungen kleinzureden oder Sicherheit auf ein Minimum zu reduzieren. Pragmatismus bedeutet, die richtigen Prioritäten zu setzen.

Unternehmen sollten sich zunächst darauf konzentrieren, Transparenz zu schaffen: Welche Systeme, Prozesse und Dienstleistungen sind kritisch? Welche Risiken bestehen? Welche bestehenden Maßnahmen gibt es bereits? Wo bestehen die größten Lücken? Erst auf dieser Grundlage lassen sich Maßnahmen ableiten, die tatsächlich wirksam und wirtschaftlich sinnvoll sind.

Dabei gilt: Nicht jede Organisation muss sofort alles perfekt machen. Entscheidend ist, mit einem strukturierten, nachvollziehbaren und realistischen Maßnahmenplan zu starten – und diesen konsequent weiterzuentwickeln.

‍

Verantwortung gehört in die Unternehmensführung

NIS 2 rückt die Verantwortung der Geschäftsleitung deutlich stärker in den Fokus. Informationssicherheit ist damit nicht mehr nur ein Thema für IT-Abteilungen, sondern eine Führungsaufgabe.

Jannik Christ betont im Gespräch, dass Unternehmen klare Verantwortlichkeiten schaffen müssen. Wer trifft Sicherheitsentscheidungen? Wer bewertet Risiken? Wer priorisiert Maßnahmen? Wer sorgt dafür, dass Sicherheitsanforderungen auch in Fachbereichen, Lieferketten und Projekten berücksichtigt werden?

Gerade hier zeigt sich häufig ein strukturelles Problem: Viele Unternehmen haben engagierte IT-Teams, aber keine ausreichend etablierte Governance für Informationssicherheit. NIS 2 kann helfen, diese Lücke zu schließen – vorausgesetzt, Unternehmen betrachten die Richtlinie nicht als isoliertes IT-Projekt.

‍

Der Mittelstand braucht realistische Ansätze

Für mittelständische Unternehmen ist die Herausforderung oft besonders groß. Einerseits steigen die regulatorischen und organisatorischen Anforderungen. Andererseits sind Budgets, Personal und Zeit begrenzt. Deshalb braucht es Ansätze, die nicht nur fachlich richtig, sondern auch praktisch umsetzbar sind.

Aus Sicht von Jannik Christ sollten Unternehmen deshalb nicht mit maximaler Komplexität starten, sondern mit den wichtigsten Grundlagen: Risikomanagement, Notfallplanung, Lieferantenbewertung, technische Basisschutzmaßnahmen, klare Meldewege und regelmäßige Sensibilisierung.

Wichtig ist außerdem, bestehende Strukturen zu nutzen. Viele Unternehmen beginnen nicht bei null. Oft gibt es bereits Sicherheitsmaßnahmen, IT-Prozesse, Dokumentationen oder Audit-Erfahrungen, auf denen aufgebaut werden kann. Der erste Schritt besteht daher häufig darin, Vorhandenes zu ordnen, Lücken sichtbar zu machen und daraus einen pragmatischen Umsetzungsplan zu entwickeln.

‍

Externe Unterstützung kann Orientierung schaffen

Nicht jedes Unternehmen kann oder möchte sofort eine eigene CISO-Rolle intern aufbauen. Gleichzeitig braucht es jemanden, der Informationssicherheit strategisch denkt, Maßnahmen priorisiert und Geschäftsführung, IT und Fachbereiche zusammenbringt.

Hier setzt die Arbeit von Jannik Christ mit Blackmount an. Als externer CISO-Berater unterstützt er Unternehmen dabei, Informationssicherheit strukturiert, wirksam und passend zur jeweiligen Organisation aufzubauen. Im Mittelpunkt stehen dabei nicht starre Standardlösungen, sondern Orientierung, Priorisierung und Umsetzungsfähigkeit.

Gerade im Kontext von NIS 2 kann externe Unterstützung helfen, schneller Klarheit zu gewinnen: Welche Anforderungen sind relevant? Wo steht das Unternehmen heute? Welche Maßnahmen haben Priorität? Und wie lässt sich ein Sicherheitsprogramm aufbauen, das langfristig tragfähig ist?

‍

Jetzt reinhören

Die Podcast-Folge mit Security Insider bietet einen kompakten und praxisnahen Einblick in die Frage, wie mittelständische Unternehmen NIS 2 pragmatisch angehen können. Sie richtet sich an Geschäftsführungen, IT-Verantwortliche, Sicherheitsverantwortliche und alle, die Informationssicherheit nicht nur regulatorisch erfüllen, sondern sinnvoll weiterentwickeln möchten.

Zur Podcast-Folge bei Security Insider

‍