Der NIS2-Shortcut: Warum unsere Kunden nicht bei Null anfangen

Wenn sich Unternehmen zum ersten Mal bei uns melden, klingt das fast immer gleich. Sie haben gelesen, was NIS2 verlangt. Sie haben Workshops besucht, vielleicht eine erste Beratung beauftragt. Sie haben Excel-Listen, Risikoregister, vielleicht sogar einen Maßnahmenplan in der Schublade. Was sie nicht haben: das Gefühl, dass irgendetwas davon umgesetzt ist.

Seit Anfang Dezember 2025 ist die NIS2-Richtlinie in Deutschland geltendes Gesetz. Rund 30.000 Unternehmen sind betroffen, und zwei Drittel davon haben die Anforderungen noch nicht vollständig umgesetzt. An Desinteresse liegt es nicht, sondern daran, dass der Weg vom Konzept zur Umsetzung in der Praxis nicht funktioniert wie auf der Folie.

Die Lücke zwischen Anforderung und Betrieb

NIS2-Anforderungen sind dokumentiert, kommentiert und in zahllosen Frameworks abgebildet. Was fehlt, ist der Übergang vom Anforderungstext in den eigenen Betrieb. Genau an dieser Stelle stocken viele Projekte. Die Gründe sind strukturell und nicht eine Frage mangelnder Sorgfalt.

Anforderungen wie Lieferantensteuerung, Incident-Reporting oder Risikomanagement müssen in jeder Organisation einzeln übersetzt werden: in Rollen, in Prozesse, in Nachweise. Das ist der eigentliche Aufwand, und er lässt sich weder mit einer Vorlage abkürzen, noch mit einer Analyse allein erledigen. Eine Reifegradbewertung zeigt, wo etwas fehlt. Sie liefert aber nicht automatisch das Wie.

Hinzu kommt die Priorisierungsfrage: NIS2 enthält Dutzende von Maßnahmenfeldern, die alle wichtig wirken. Ohne klare Reihenfolge entsteht entweder Stillstand, weil sich niemand traut, etwas zuerst anzugehen, oder Aktionismus, bei dem die einfachen Themen vorgezogen und die schwierigen aufgeschoben werden. Beides führt nicht zu einem belastbaren Stand.

Das Problem ist selten der Wille. Es ist die Lücke zwischen Konzept und Umsetzung. 

Unser Ansatz: Struktur statt leerer Rahmen

Der klassische Ansatz versucht, alle Maßnahmenfelder gleichzeitig zu bearbeiten. .

Das Lean-Prinzip dreht diese Logik um. Nicht Vollständigkeit von Anfang an, sondern Wirkung durch Reihenfolge. Der erste Schritt ist nicht die Frage, was NIS-2 insgesamt fordert. Die erste Frage ist, was ein Unternehmen konkret und nachweisbar umsetzen muss, und wo die kritischsten Lücken liegen.

Das Medialine Security Framework liefert eine vollständige Architektur, in die sich die individuellen Gegebenheiten einsortieren lassen. Statt mit der Frage „Wo fangen wir an?" zu starten, liegen Struktur, Rollenmodell und Dokumentationsraster bereits vor.

Die Analyse selbst läuft entlang fünf klar abgegrenzter Dimensionen:

• 🏛️ Organisation und Governance
• 🔗 Prozesse und Lieferketten
• 🛡️ Resilienz und Incident-Management
• ⚙️ Technische Maßnahmen
• 🤖 KI-Compliance

Diese Struktur ist nicht beliebig gewählt: Sie deckt die NIS2-Anforderungen vollständig ab und ist gleichzeitig schlank genug, um in der Praxis steuerbar zu bleiben.

Was am Ende der Analyse steht, ist konsequent operativ ausgerichtet:

• 📋 eine dokumentierte Reifegradbewertung als Executive Summary
• ✅ ein priorisierter Maßnahmenkatalog mit Aufwandsschätzungen
• 🚦 ein interaktives Dashboard, das den Umsetzungsstand jederzeit sichtbar macht

Damit erreichen unsere Kunden mit Abschluss der Gap-Analyse bereits 70 bis 80 Prozent strukturelle NIS2-Abdeckung. Was bleibt, ist die eigentliche Arbeit: Umsetzung, Nachweisführung, Betrieb. Was schon erledigt ist, sind die Voraussetzungen dafür: klare Priorisierung, definierte Verantwortlichkeiten und ein Steuerungsinstrument, mit dem sich der Fortschritt jederzeit nachvollziehen lässt.

Unsere Kunden wechseln nicht von 30 auf 70 Prozent – sie wechseln von Unsicherheit zu einer vollständig strukturierten Umsetzung.

Die strukturelle Klammer: Was unser Framework liefert

Die Zahl klingt erst mal nach Marketing. Sie ergibt sich aber aus einer Beobachtung, die wir in fast jedem Projekt machen: NIS2-Konformität besteht zu einem überraschend großen Teil aus Struktur, nicht aus neuen Maßnahmen. Die meisten Unternehmen haben bereits Backups, Zugriffskontrollen, Patch-Prozesse und Notfallpläne. Was fehlt, ist die strukturierte Klammer, die diese Bausteine zusammenführt.

Genau diese Klammer liefert unser Framework, und zwar fertig vorbereitet:

• Dokumentationsstruktur: Richtlinien, Verfahrensanweisungen und Nachweisformate liegen als Vorlagen-Set vor und werden mit den Gegebenheiten des Unternehmens befüllt, statt erfunden zu werden.
• Prozesslandschaft: Incident-Management, Change-Management und Lieferantensteuerung sind als Soll-Prozesse vorgezeichnet, so dass sich die Anpassung an die Organisation auf konkrete Detailarbeit konzentriert.
• Maßnahmenkatalog: Die Aufgaben sind nicht nur aufgelistet, sondern priorisiert und mit Aufwandsschätzungen versehen. Geschäftsführung, IT und externe Berater reden daher über dieselben Zahlen.
• Betriebshandbuch: Wer im Tagesgeschäft was tun muss, ist beschrieben. Das Unternehmen ist direkt arbeitsfähig.

Was bleibt nach der Gap-Analyse zu tun? Im Wesentlichen drei Dinge: die Umsetzung der priorisierten Maßnahmen, die Nachweisführung in Form der Dokumentation sowie der Übergang in den Regelbetrieb. Das ist die Restarbeit, die nicht durch Struktur abgedeckt werden kann, sondern durch operative Tätigkeit entstehen muss: realistisch geplante Aufgaben.

Der entscheidende Punkt: Diese verbleibenden Aufgaben sind bekannt und planbar. Keine offenen Fragen mehr, kein weiteres Projekt zur Klärung. Wer einmal mit unserem Framework gestartet ist, weiß welche Schritte in welcher Reihenfolge zu tun sind.

Aus unserer Erfahrung ist das der Punkt, an dem Unternehmen aufhören, NIS2 als Belastung zu erleben. Sobald die Liste vorliegt und nach Aufwand sortiert ist, wird die Umsetzung vom unkalkulierbaren Risiko zum Tagesgeschäft.

Der passende Einstieg

Wir bieten drei Vorgehensmodelle, je nach Ressourcenlage des Unternehmens.