NIS2, DORA, TISAX und TIBER-DE: Warum Unternehmen nicht an fehlender Technik, sondern an fehlenden Kompetenzen scheitern.
In den vergangenen Jahren haben Unternehmen erhebliche Investitionen in Cybersecurity-Technologien getätigt. Firewalls wurden modernisiert, Endpoint-Detection-Systeme eingeführt, Cloud-Sicherheitslösungen implementiert und Security Operations Center aufgebaut. Gleichzeitig steigen die regulatorischen Anforderungen kontinuierlich.
Zusammenfassung (TL; DR):
- Die Einhaltung von Vorschriften wie NIS2 und DORA scheitert oft nicht an fehlender Technik, sondern am Mangel an internen Kompetenzen und Fachpersonal.
- Nachhaltige Cyber-Resilienz erfordert den Aufbau eigener Expertise in Risikomanagement und Incident Response, anstatt nur Zertifikate einzukaufen.
- Unternehmen sollten daher systematisch benötigte Rollen identifizieren und gezielt in die Qualifizierung ihrer Mitarbeitenden investieren.
Mit NIS2, DORA, KRITIS-Vorgaben, TISAX-Anforderungen und TIBER-DE stehen viele Unternehmen vor der Frage: Welche Kompetenzen benötigen wir eigentlich, um diese Anforderungen nachhaltig zu erfüllen? Die Diskussion konzentriert sich häufig auf technische Maßnahmen. In der Praxis zeigt sich jedoch, dass Projekte oftmals nicht an fehlenden Werkzeugen scheitern, sondern an fehlendem Know-how, unklaren Verantwortlichkeiten und mangelnder Qualifikation der beteiligten Personen.
Regulatorik fordert Fähigkeiten – keine Zertifikate
Keine der genannten Regulierungen schreibt bestimmte Zertifizierungen vor. Dennoch verlangen alle Regelwerke nachweisbar qualifizierte Personen, die in der Lage sind,
- Risiken zu bewerten,
- Sicherheitsmaßnahmen zu planen,
- Audits durchzuführen,
- Sicherheitsvorfälle zu behandeln,
- Sicherheitsprogramme zu steuern und
- die Wirksamkeit von Schutzmaßnahmen kontinuierlich zu verbessern.
Die entscheidende Frage lautet daher nicht: Welche Zertifizierung sollen wir einkaufen? Sondern: Welche Kompetenzen benötigen wir im Unternehmen?
Typische Rollen in regulierten Umgebungen
Informationssicherheitsmanagement
Viele Organisationen benötigen Personen, die Sicherheitsstrategien entwickeln, Risiken bewerten und Sicherheitsprogramme steuern.
Typische Aufgaben: Aufbau und Betrieb eines ISMS, Risikomanagement, Sicherheitsrichtlinien, Governance, Management-Reporting,
Audit und Compliance
Mit steigenden regulatorischen Anforderungen wächst auch der Bedarf an qualifizierten Auditoren und Compliance-Verantwortlichen.
Typische Aufgaben: Durchführung interner Audits, Bewertung von Kontrollsystemen, Nachweisführung gegenüber Kunden und Prüfern, Lieferantenbewertungen
Technische Sicherheitsprüfungen
Insbesondere im Umfeld von TIBER-DE, Red Teaming und technischen Sicherheitsbewertungen werden Spezialisten benötigt, die Angriffe nachvollziehen und Schwachstellen identifizieren können.
Typische Aufgaben: Penetrationstests, Red Teaming, Purple Teaming, Angriffssimulationen
Incident Response und Detection
Regulierungen wie NIS2 und DORA verlangen wirksame Verfahren zur Erkennung und Behandlung von Sicherheitsvorfällen.
Typische Aufgaben: Incident Handling, Forensik. Threat Hunting, Security Monitoring
Die häufigste Fehlentscheidung
In vielen Unternehmen wird versucht, regulatorische Anforderungen durch den Einkauf einzelner Technologien oder punktueller Beratungsleistungen zu erfüllen. Dadurch entstehen häufig Abhängigkeiten von externen Dienstleistern, während internes Wissen nur begrenzt aufgebaut wird. Nachhaltige Cyber-Resilienz entsteht jedoch erst dann, wenn Unternehmen eigene Kompetenzen entwickeln und Sicherheitswissen dauerhaft in der Organisation verankern.
Ein pragmatischer Ansatz
Statt mit Zertifizierungen zu beginnen, empfiehlt sich häufig folgende Vorgehensweise:
- Regulatorische Anforderungen analysieren
- Benötigte Rollen identifizieren
- Kompetenzprofile definieren
- Qualifizierungsbedarf ermitteln
- Geeignete Ausbildungs- und Zertifizierungswege auswählen
Erst am Ende dieser Betrachtung stellt sich die Frage, welche Zertifizierungen den Kompetenzaufbau sinnvoll unterstützen können.
Fazit
NIS2, DORA, TISAX, KRITIS und TIBER-DE sind letztlich keine Technologieprojekte. Es handelt sich um Organisations- und Kompetenzprojekte. Unternehmen, die frühzeitig in den Aufbau geeigneter Fähigkeiten investieren, schaffen nicht nur bessere Voraussetzungen für Audits und Nachweise. Sie erhöhen gleichzeitig ihre operative Widerstandsfähigkeit gegenüber Cyberangriffen. Wer langfristig erfolgreich sein möchte, sollte daher weniger nach der „richtigen Zertifizierung“ suchen und stärker darüber nachdenken, welche Kompetenzen künftig im Unternehmen benötigt werden.


ManufakturIT GmbH
