Viele Unternehmen denken bei NIS-2 zuerst an klassische Cyberangriffe: Phishing, Ransomware, Schwachstellen, Hacker. Das ist verständlich, aber zu kurz gedacht.
Denn NIS-2 verlangt keinen reinen Blick auf digitale Angriffe, sondern einen All-Gefahren-Ansatz. Gemeint ist damit: Sicherheitsmaßnahmen sollen nicht nur einzelne Cyberbedrohungen betrachten, sondern grundsätzlich alle relevanten Gefahren, die Netz- und Informationssysteme sowie deren physische Umgebung beeinträchtigen können. Genau so ist der Ansatz in Artikel 21 angelegt.
Die kurze Antwort
Der All-Gefahren-Ansatz bedeutet: Sie sollen Informationssicherheit nicht zu eng denken.
Es geht nicht nur um Malware, Passwörter und Firewalls. Es geht auch um Dinge wie:
- Ausfälle von Dienstleistern;
- Strom- oder Telekommunikationsausfälle;
- physische Vorfälle wie Brand, Diebstahl oder Wasserschäden;
- Fehlverhalten oder Überforderung von Mitarbeitern;
- Schwächen in Entwicklung, Betrieb und Veränderungsprozessen;
- Probleme in der Lieferkette.
NIS-2 verlangt also keine reine IT-Abwehr, sondern ein breiteres Risikomanagement für den zuverlässigen Betrieb Ihrer Systeme und der dafür nötigen Umgebung.
Was mit "All-Gefahren" wirklich gemeint ist
Der Begriff klingt größer, als er ist. Er bedeutet nicht, dass ein Unternehmen jede denkbare Katastrophe bis ins letzte Detail ausmodellieren muss. Gemeint ist etwas Nüchterneres:
Sie dürfen Risiken nicht künstlich auf Cyberangriffe verengen, wenn in der Praxis auch andere Ursachen denselben Schaden auslösen können.
Ein kritischer Ausfall kann genauso gut entstehen durch:
- einen kompromittierten Cloud-Anbieter;
- einen Fehler in einer Änderung oder Migration;
- einen langen Internetausfall;
- einen Wasserschaden im Serverraum;
- den Ausfall einer Schlüsselperson;
- fehlende Reaktionsfähigkeit bei einem Vorfall.
Genau deshalb nennt Artikel 21 nicht nur Sicherheitsmaßnahmen im engeren Sinn, sondern auch Business Continuity, Lieferkettensicherheit, Sicherheitsbewertung, Schulung, Personalsicherheit, Zugriffskontrolle und Asset Management.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: NIS-2 ist ein Thema für die IT.
Das ist zu eng.
NIS-2 betrifft natürlich technische Sicherheit. Aber der All-Gefahren-Ansatz zwingt Unternehmen gerade dazu, auch organisatorische, physische und betriebliche Abhängigkeiten einzubeziehen. Wer nur seine Firewall-Landschaft verbessert, aber Lieferanten, Wiederanlauf, Mitarbeiterverhalten oder physische Risiken ignoriert, denkt noch nicht breit genug.
Was Unternehmen praktisch betrachten sollten
Wenn man den All-Gefahren-Ansatz sauber herunterbricht, landet man in der Praxis meist bei diesen Themenfeldern:
1. Technische Gefahren
Das ist der naheliegende Teil:
- Malware;
- Schwachstellen;
- kompromittierte Konten;
- Angriffe auf Netzwerke und Anwendungen;
- Fehlkonfigurationen;
- unsichere Entwicklung oder Wartung.
Diese Themen bleiben wichtig. Sie sind nur nicht das Ganze.
2. Organisatorische Gefahren
Viele Vorfälle entstehen nicht, weil Technik fehlt, sondern weil Organisation nicht trägt.
Dazu gehören zum Beispiel:
- unklare Zuständigkeiten;
- fehlende Eskalationswege;
- mangelnde Übung für Vorfälle;
- schlechte Entscheidungswege;
- unsaubere Onboarding- oder Offboarding-Prozesse;
- fehlende Reviews oder Wirksamkeitskontrollen.
Gerade hier zeigt sich oft, ob Sicherheitsmanagement nur auf dem Papier existiert oder im Alltag funktioniert.
3. Menschliche Faktoren
NIS-2 nennt ausdrücklich Cyberhygiene und Schulung sowie Personalsicherheit und Zugriffskontrolle.
Das ist kein Beiwerk. Viele Sicherheitsprobleme hängen direkt mit Menschen zusammen: unbedachte Klicks, schwache Passworthygiene, Überforderung, unklare Verantwortlichkeiten oder privilegierte Rechte ohne saubere Steuerung.
4. Physische und infrastrukturelle Gefahren
Der All-Gefahren-Ansatz bezieht ausdrücklich auch die physische Umgebung von Netz- und Informationssystemen ein.
Damit sind zum Beispiel gemeint:
- Brand;
- Wasser;
- Stromausfall;
- Ausfall der Kühlung;
- physischer Zutritt;
- Diebstahl;
- Telekommunikationsprobleme.
Genau dieser Punkt wird oft übersehen, wenn Unternehmen NIS-2 nur als Cyberthema lesen.
5. Abhängigkeiten in der Lieferkette
Auch das gehört ausdrücklich hinein.
Wenn ein kritischer Dienstleister, Hoster, Managed Service Provider, Softwareanbieter oder Cloud-Dienst ausfällt oder kompromittiert wird, ist das kein Randthema, sondern Teil Ihrer eigenen Sicherheitslage.
Was das für die Umsetzung bedeutet
Der All-Gefahren-Ansatz ist kein Zusatzkapitel. Er verändert die Art, wie Sie Risiken betrachten.
Praktisch heißt das:
- Sie starten nicht mit einer reinen Liste von Cyberbedrohungen.
- Sie betrachten, was Ihren Betrieb stören oder Ihre Systeme beeinträchtigen kann.
- Sie prüfen, welche Ursachen dafür realistisch sind.
- Und Sie leiten daraus technische, organisatorische und betriebliche Maßnahmen ab.
Genau dadurch wird aus IT-Security ein belastbareres Sicherheitsmanagement.
Woran man erkennt, dass ein Unternehmen den Ansatz noch nicht verstanden hat
Ein Unternehmen hat den All-Gefahren-Ansatz meist noch nicht sauber verstanden, wenn:
- nur die IT-Abteilung als zuständig betrachtet wird;
- Lieferanten nur vertraglich, aber nicht sicherheitsseitig bewertet werden;
- Business Continuity und Krisenreaktion nicht mitgedacht werden;
- physische Risiken völlig fehlen;
- Awareness nur als einmalige Schulung verstanden wird;
- Schutzmaßnahmen nicht auf ihre Wirksamkeit überprüft werden.
Genau diese Punkte sind für einen Allgefahrenansatz aber notwendig.
Ein hilfreiches Werkzeug für die Umsetzung eines All-Gefahren-Ansatzes ist der Elementar-Gefährdungskatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Ein pragmischer Start für Unternehmen
Sie müssen dafür kein riesiges Theorieprojekt aufbauen.
Ein guter Start sieht oft so aus:
- Kritische Systeme, Prozesse und Abhängigkeiten benennen;
- Nicht nur Cyberangriffe, sondern auch Betriebs-, Lieferanten-, Personal- und physische Risiken sammeln;
- Die wahrscheinlichsten und schädlichsten Szenarien priorisieren;
- Vorhandene Maßnahmen dagegen prüfen;
- Lücken schließen;
- Zuständigkeiten, Reaktion und Wiederanlauf sauber regeln.
Das ist wesentlich näher an NIS-2 als eine rein technische Maßnahmenliste.
FAQ
Damit ist gemeint, dass Sicherheitsmaßnahmen nicht nur auf klassische Cyberangriffe ausgerichtet sein dürfen. Sie sollen Netz- und Informationssysteme sowie deren physische Umgebung umfassender gegen relevante Gefahren absichern.
Nein. Der Ansatz umfasst auch organisatorische, personelle, physische und lieferkettenbezogene Risiken. Artikel 21 nennt dazu unter anderem Business Continuity, Supply Chain Security, Schulung, Personalsicherheit, Zugriffskontrolle und Asset Management.
Ja. Artikel 21 verlangt ausdrücklich, dass die Maßnahmen auf einem All-Gefahren-Ansatz beruhen.
Ein gutes Beispiel ist ein Cloud-Ausfall: Das ist nicht zwingend ein Hackerangriff, kann aber Ihren Betrieb massiv stören. Genau solche Szenarien müssen mitgedacht werden. Das gilt ebenso für Stromausfall, Brand, Lieferantenausfall oder interne Fehlhandlungen.
Ja. In Deutschland ist das NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025 in Kraft. Ein Artikel zu NIS-2 sollte deshalb heute nicht mehr wie ein bloßer Ausblick formuliert sein.
Der größte Fehler ist, NIS-2 nur als technisches Cyberthema zu behandeln. Dann fehlen genau die Risiken, die der All-Gefahren-Ansatz eigentlich mit erfassen will.
Unser Tipp
NIS-2 verlangt von Unternehmen, Informationssicherheit breiter zu denken. Wer sich nur auf IT-Security konzentriert, übersieht viele potenzielle Gefahren. Ein All-Gefahren-Ansatz hilft dabei, Risiken umfassend zu identifizieren und gezielt zu minimieren.
Interesse geweckt?
Muss Ihr Unternehmen NIS-2 compliant werden? Dann sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!