Skip to main content
§ Blog27. März 2026

NIS2-Compliance-Rückstand: Das unsichtbare Risiko, das Sie nicht ignorieren dürfen

Compliance-Rückstand ist real, und NIS2 macht ihn teuer

Den meisten Sicherheitsteams ist technische Schuld ein Begriff. Sie verschieben einen Patch, akzeptieren eine Ausnahme, halten ein Altsystem „nur noch ein Quartal“ am Leben – und die künftigen Kosten steigen.

NIS2 führt auf der Governance-Seite eine ähnliche Dynamik ein: den Compliance-Rückstand. Er ist die aufgelaufene Lücke zwischen dem, was Ihre Organisation unter NIS2 nachweisen können muss, und dem, was tatsächlich umgesetzt, getestet, belegt und berichtsfähig ist.

Dieser Rückstand bleibt unsichtbar – bis er es nicht mehr ist. Unter NIS2 erhalten die Aufsichtsbehörden klare Befugnisse, zu prüfen, zu ermitteln und durchzusetzen. Artikel 21 verlangt konkrete Sicherheitsmaßnahmen, und die Richtlinie erhöht den Einsatz mit empfindlichen Bußgeldern und – besonders bemerkenswert – einer persönlichen Verantwortung der Geschäftsleitung.

Der unbequeme Punkt ist, dass ein Compliance-Rückstand nicht linear wächst. Er kumuliert. Jede aufgeschobene Maßnahme erschwert die nächste, weil Systeme, Anbieter und Prozesse immer enger verknüpft werden, während Ihre Nachweise immer fragmentierter werden.

Wie ein „Compliance-Rückstand“ in der Praxis aussieht

Ein Compliance-Rückstand ist nicht nur fehlende Dokumentation. Er ist die Summe ungelöster Pflichten, die über Technik, Prozesse und Governance hinweg Risiken schaffen.

Häufige Quellen eines NIS2-Compliance-Rückstands

  • Aufgeschobenes Patchen und Behebung von Schwachstellen, vor allem dort, wo Asset-Inventare unvollständig sind.
  • Verzögerte MFA-Einführungen für privilegierte Zugriffe, VPN, Cloud-Administrationsportale und kritische Systeme.
  • Ungetestete Incident Response, verschobene Tabletop-Übungen, veraltete Playbooks, unklare Rollen.
  • Business-Continuity-Pläne, die nur auf dem Papier existieren, aber nie gegen realistische Szenarien erprobt wurden.
  • Lieferantenrisiken, die in Tabellenkalkulationen verwaltet werden – ohne einheitliche Absicherung, ohne Sicherheitsklauseln und ohne Nachweiskette.
  • Richtlinien ohne operativen Beleg, einmal für ein Audit geschrieben und nie mit Maßnahmen, Telemetrie oder Aufgaben verknüpft.
  • „Temporäre“ Ausnahmen, die dauerhaft werden, ohne Ablaufdatum oder dokumentierte Risikoakzeptanz.

Für sich genommen mag jeder Punkt beherrschbar wirken. Zusammen bilden sie einen wachsenden Risikorückstand – und unter NIS2 wird von Ihnen erwartet, diesen Rückstand als erstklassiges Governance-Thema zu steuern.

Warum NIS2 die Risikobewertung verändert

NIS2 wird oft als „strengeres NIS“ beschrieben, doch die Verschiebung reicht tiefer. Sie bewegt Organisationen weg von Checklisten-Compliance hin zu einem nachweisbaren, fortlaufenden Sicherheitsmanagement.

Artikel 21: zehn geforderte Maßnahmen – und die Beweislast

NIS2 Artikel 21 verlangt von Organisationen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen umzusetzen. Die Richtlinie nennt zehn Bereiche, darunter (neben anderen) Risikoanalyse, Behandlung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung, Schwachstellenmanagement und Authentifizierungsmaßnahmen.

Die praktische Konsequenz ist nicht nur, dass Sie die Arbeit leisten müssen, sondern auch, dass Sie diese nachweisen können müssen:

  • Richtlinien, die auf Maßnahmen abgebildet sind.
  • Maßnahmen, die auf Systeme und Verantwortliche abgebildet sind.
  • Nachweise, die aktuell, vollständig und manipulationssicher sind.
  • Entwicklungen über die Zeit, nicht eine Momentaufnahme.

Die Durchsetzung hat Zähne

NIS2 gibt den Aufsichtsbehörden Befugnisse, Informationen anzufordern, Audits durchzuführen und verbindliche Anweisungen zu erteilen. Die Richtlinie führt zudem spürbare finanzielle Sanktionen ein. Für viele Organisationen ist die wesentlichere Veränderung jedoch, dass Führungskräfte und die oberste Leitung unmittelbar in der Verantwortung stehen – mit ausdrücklichen Erwartungen an Aufsicht, Genehmigung von Maßnahmen und Rechenschaftspflicht.

Hier wird der Compliance-Rückstand zur Vorstandssache. Wenn Sie Ihre Exponierung, Priorisierung und den Fortschritt der Behebung nicht erklären können, sind Sie nicht nur im Rückstand – Sie sind ungesteuert.

Das vorhersehbare Muster von Sicherheitsverletzungen, das sich ständig wiederholt

Wenn Vorfälle eintreten, lesen sich Post-mortems oft wie dieselbe Geschichte mit anderen Firmennamen. Nicht, weil Angreifer stets brillant wären, sondern weil Organisationen immer wieder dieselben Türen offen lassen.

Was ein Compliance-Rückstand ermöglicht

  • Schwache Authentifizierung führt zu Kontoübernahme, lateraler Bewegung und Ransomware-Einsatz.
  • Ungepatchte Systeme setzen bekannte Schwachstellen aus, die bereits ausgenutzt werden.
  • Fehlende Asset-Sichtbarkeit bedeutet, dass Teams nicht wissen, was sie patchen, überwachen oder isolieren müssen.
  • Lücken bei Lieferanten machen Dritte zu unauffälligen Einfallstoren.
  • Ungeübte Reaktion verwandelt eindämmbare Vorfälle in tagelange Ausfälle.

NIS2 verlangt keine Perfektion. Es verlangt, dass Sie Sicherheit wie ein gesteuertes System betreiben: Risiken erkannt, Maßnahmen umgesetzt, Nachweise gepflegt und Verbesserungen nachverfolgt.

Warum die Kostenkurve unerbittlich ist

Ein Compliance-Rückstand wirkt harmlos, wenn die Organisation ausgelastet ist, die Budgets knapp sind und die Teams am Limit arbeiten. Die Kosten sind nicht offensichtlich, weil sich die Kehrseite verzögert.

Dann tritt eine von zwei Situationen ein:

  • Eine Audit-Anfrage trifft ein, und Sie müssen hektisch Nachweise über Tools, Teams und Anbieter hinweg zusammentragen.
  • Ein Vorfall trifft Sie, und Sie müssen Governance, Reaktion und Meldung aufbauen, während Systeme ausgefallen sind.

Frühe Behebung ist günstig, späte Behebung ist chaotisch

Frühes Handeln sieht typischerweise so aus:

  • Eine MFA-Einführung abschließen.
  • Einen Rückstand an Hochrisiko-Patches schließen.
  • Verantwortliche für Maßnahmen benennen und Routinen zur Nachweiserfassung etablieren.
  • Eine Tabletop-Übung durchführen und beheben, was sie offenlegt.

Spätes Handeln sieht oft so aus:

  • Notbeschaffung neuer Tools.
  • Externe Beratende, die wochenlang Log-Exporte und Screenshots zusammenziehen.
  • Neufassungen von Richtlinien, die sich nicht rechtzeitig operationalisieren lassen.
  • Überstürzte Lieferantenprüfungen mit unvollständigen Verträgen und fehlenden Bestätigungen.

Der verborgene Multiplikator ist die wechselseitige Abhängigkeit. Mit wachsender Cloud-Präsenz und sich ausweitendem Lieferantennetz berührt jede aufgeschobene Maßnahme mehr Systeme, mehr Verantwortliche und mehr Nachweisquellen.

Den Kreislauf durchbrechen: Sichtbarkeit, Messung, Rechenschaftspflicht

Organisationen scheitern an NIS2 selten, weil es ihnen gleichgültig wäre. Sie scheitern, weil die Compliance-Arbeit verstreut ist, die Verantwortung unklar bleibt und Nachweise erst in letzter Minute erzeugt werden.

Um das umzukehren, brauchen Sie drei Fähigkeiten, die Compliance von einem Projekt in einen gesteuerten Prozess verwandeln.

1) Sichtbarkeit: eine einheitliche Sicht auf die kumulierte Exponierung

Wenn Ihr Sicherheitsstatus über Tabellenkalkulationen, Ticketsysteme, SharePoint-Ordner und E-Mail-Verläufe verteilt ist, liegt Ihr eigentliches Risiko nicht nur in den Lücken. Es liegt darin, dass niemand das Gesamtbild sehen kann.

Sichtbarkeit bedeutet:

  • Eine klare Abbildung der NIS2-Anforderungen auf Ihre internen Maßnahmen.
  • Eine Echtzeit-Sicht darauf, was umgesetzt, was geplant und was überfällig ist.
  • Zentralisierte Nachweise, die mit jeder Maßnahme und jedem System verknüpft sind.
  • Lieferanten-Sichtbarkeit, die Kritikalität, Absicherungsstatus und Vertragskonformität umfasst.

Ohne dies priorisieren Teams nach Lärm und Dringlichkeit – nicht nach Exponierung und Auswirkung.

2) Messung: den Status über die Zeit verfolgen, nicht erst zum Audit-Zeitpunkt

NIS2-Bereitschaft ist nicht binär. Sie ist ein Verlauf.

Messung verwandelt Compliance von „Sind wir fertig?“ in „Verbessern wir uns – und wo fallen wir zurück?“ Das erfordert konsistente Signale:

  • Maßnahmenabdeckung: welche der Bereiche aus Artikel 21 vollständig, teilweise oder gar nicht adressiert sind.
  • Aktualität der Nachweise: wann ein Nachweis zuletzt erhoben und validiert wurde.
  • Ausnahmen-Rückstand: wie viele Ausnahmegenehmigungen bestehen, wer sie akzeptiert hat und wann sie ablaufen.
  • Lieferantenabsicherung: Anteil kritischer Anbieter mit aktuellen Sicherheitsnachweisen und vertraglichen Maßnahmen.
  • Reaktionsbereitschaft: Ergebnisse von Tests und Übungen sowie die Quote der nachgelagerten Behebung.

Bei diesen Kennzahlen geht es nicht um schmückende Dashboards. Es geht darum, Risiken steuerbar und belastbar zu machen.

3) Rechenschaftspflicht: den Compliance-Rückstand ins Risikoregister und in die Vorstandsberichterstattung aufnehmen

Ein Compliance-Rückstand wird gefährlich, wenn er stillschweigend geduldet wird. Die Lösung ist einfach, aber nicht immer bequem: machen Sie ihn berichtsfähig.

Rechenschaftspflicht bedeutet:

  • Verantwortliche für Maßnahmen mit ausdrücklichen Zuständigkeiten zu benennen.
  • Fälligkeitstermine zu setzen, die der Risikokritikalität entsprechen – nicht der Bequemlichkeit des Kalenders.
  • Entscheidungen zur Risikoakzeptanz festzuhalten, einschließlich Begründung und Ablaufdatum.
  • Entwicklungen an die oberste Leitung zu berichten, einschließlich dessen, was sich nicht verbessert.

Unter NIS2 ist das keine Bürokratie. Es ist Governance. Und es ist auch der Weg, auf dem sich Führungskräfte selbst schützen: indem sie Aufsicht, Priorisierung und konsequente Umsetzung nachweisen.

Ein praktischer Weg, über den NIS2-Compliance-Rückstand nachzudenken

Viele Organisationen tun sich schwer, weil sie NIS2 als Dokumentationsübung behandeln. Ein besseres Modell ist, es wie das Management finanzieller Schulden zu betrachten.

Schuldeninventar

Listen Sie jede bekannte Lücke bei Maßnahmen, Nachweisen und Tests auf. Beziehen Sie Ausnahmen und „temporäre“ Behelfslösungen ein. Was nicht festgehalten ist, lässt sich nicht steuern.

Zinssatz

Nicht jede Schuld ist gleich. Eine verzögerte Aktualisierung der Passwortrichtlinie ist nicht dasselbe wie fehlende MFA auf privilegierten Konten. Weisen Sie jedem Punkt anhand von Auswirkung und Eintrittswahrscheinlichkeit einen risikobasierten „Zinssatz“ zu.

Mindestraten

Definieren Sie das Unverhandelbare – die Basismaßnahmen, die in jedem Zyklus stets erfolgen:

  • Patch-SLAs für kritische Schwachstellen.
  • Monatliche Aktualisierung der Nachweise für zentrale Maßnahmen.
  • Vierteljährliche Absicherungsprüfungen für kritische Anbieter.
  • Regelmäßige Übungen zur Incident Response.

Umschuldung

Manchmal ist die günstigste Lösung struktureller Natur – etwa ein Altsystem stillzulegen, Identity Provider zu konsolidieren oder einen nicht steuerbaren Anbieter zu ersetzen. Einen Compliance-Rückstand abzubauen bedeutet nicht immer, Prozesse hinzuzufügen. Oft bedeutet es, die Umgebung zu vereinfachen.

Worauf Prüfer und Aufsichtsbehörden achten werden

Die Erwartungen der Aufsicht variieren je nach Land und Branche, doch die Audit-Logik ist meist konsistent: Kann die Organisation ein gelebtes Sicherheitsmanagementsystem nachweisen?

Rechnen Sie mit Prüfung in jenen Bereichen, in denen sich ein Compliance-Rückstand häufig verbirgt:

  • Rückverfolgbarkeit von Maßnahme zu Nachweis: Können Sie für jede geforderte Maßnahme den Beleg vorlegen, ohne manuelle Schnitzeljagd?
  • Operationalisierung: Übersetzen sich Richtlinien in technische Durchsetzung, Schulungen und Arbeitsabläufe?
  • Tests und Verbesserung: Führen Sie Übungen durch, halten Ergebnisse fest und schließen Feststellungen?
  • Maßnahmen für die Lieferkette: Kennen Sie Ihre kritischen Lieferanten und können Sie die Aufsicht nachweisen?
  • Aufsicht durch die Leitung: Gibt es eine Sicht der obersten Leitung auf Status und Behebung?

Wenn Ihre Antwort lautet „Das können wir zusammenstellen, wenn wir ein paar Wochen Zeit haben“, dann beschreiben Sie einen Compliance-Rückstand.

Wie Euraika GRC hilft, den Compliance-Rückstand abzubauen, ohne zusätzlichen manuellen Aufwand zu schaffen

Die meisten Organisationen brauchen nicht mehr Frameworks, mehr Dokumente oder mehr Tabellenkalkulationen. Sie brauchen ein System, das Pflichten mit Maßnahmen und Maßnahmen mit Nachweisen verbindet – kontinuierlich.

Euraika GRC wurde für genau dieses Problem entwickelt: eine KI-gestützte, in der EU gehostete Compliance-Kommandozentrale, die Richtlinien, Risiken, Anbieter, Nachweise und Frameworks auf einer Plattform vereint.

NIS2 in ein Betriebsmodell überführen

Euraika GRC unterstützt ein vollständiges NIS2-Framework mit 99 Maßnahmen sowie ein frameworkübergreifendes Mapping über NIS2, DSGVO und ISO 27001. Das ist wichtig, weil viele Organisationen bereits Maßnahmen umgesetzt haben, ihnen aber ein stimmiger Weg fehlt, um nachzuweisen, wie sie überlappende Pflichten erfüllen.

Zentrale Fähigkeiten, die unmittelbar auf den Compliance-Rückstand zielen:

  • Einheitliches Maßnahmen-Framework, um Lücken und doppelte Arbeit über Standards hinweg zu vermeiden.
  • KI-gestützte Analyse, um Mapping, Lückenidentifikation und Behebungsplanung zu beschleunigen, während die Ergebnisse erklärbar und prüfbar bleiben.
  • Manipulationssicherer Nachweis-Tresor, damit Belege integer erfasst, gespeichert und abgerufen werden.
  • Workflow-Automatisierung, die Verantwortliche zuweist, den Fortschritt verfolgt und das „Hinterherlaufen“ als Compliance-Strategie reduziert.
  • Dashboards für die Geschäftsleitung, gestaltet für die Aufsicht, die Status-Entwicklungen und Exponierung klar darstellen.
  • Enterprise-Integrationen, um Signale und Belege aus Systemen zu ziehen, die Sie bereits nutzen, und so die manuelle Nachweiserfassung zu verringern.

Das Ziel ist nicht, „NIS2 in einem Tool zu erledigen“. Das Ziel ist, Compliance messbar und kontinuierlich zu machen, damit sich kein Rückstand unbemerkt aufbauen kann.

Wenn Sie sehen möchten, wie es funktioniert, besuchen Sie aegis.euraika.net.

Fragen, die Sie sich in diesem Quartal stellen sollten

Wenn Sie einschätzen wollen, wie viel Compliance-Rückstand Sie bereits tragen, schneiden diese Fragen meist durch den Lärm:

  • Können wir unsere NIS2-Maßnahmenlücken an einem Ort auflisten – mit Verantwortlichen und Fälligkeitsterminen?
  • Haben wir für jede wesentliche Maßnahme einen Nachweis, der aktuell ist und innerhalb von Stunden, nicht Wochen, abrufbar ist?
  • Wie viele Ausnahmen bestehen, wer hat sie genehmigt und wann laufen sie ab?
  • Haben wir Incident Response und Betriebskontinuität in den letzten 12 Monaten getestet und Feststellungen geschlossen?
  • Können wir die Lieferantenaufsicht nachweisen für unsere kritischsten Dritten?
  • Kann die Leitung Status-Entwicklungen sehen – und nicht nur einen Statusbericht zu einem einzelnen Zeitpunkt?

Wenn mehrere Antworten „nicht wirklich“ lauten, ist das kein Grund zur Panik. Es ist ein klares Zeichen, dass Sie den Compliance-Rückstand wie jedes andere wesentliche Risiko behandeln sollten: ihn quantifizieren, priorisieren und systematisch abbauen.

Resilienz kumuliert, wenn Compliance kontinuierlich wird

Ein NIS2-Compliance-Rückstand ist gefährlich, weil er still wächst. Er gedeiht in fragmentierten Tools, unklarer Verantwortung und Nachweisen, die erst zusammengestellt werden, wenn jemand danach fragt.

Die Organisationen, die NIS2 gut bewältigen, werden nicht jene mit den dicksten Richtlinienordnern sein. Es werden jene sein, die jederzeit nachweisen können, wie Maßnahmen umgesetzt sind, wie Risiken verfolgt werden, wie Lieferanten gesteuert werden und wie die Leitung informiert bleibt.

Ein Compliance-Rückstand kumuliert. Mit dem richtigen Betriebsmodell und der richtigen Plattform tut es Resilienz ebenfalls.