News

Cybersicherheit ist endgültig Chefsache geworden

Ein Tag auf dem European Resilience Summit, zwischen Microsoft, Deloitte, Capgemini und dem öffentlichen Sektor - und überall dasselbe Signal: Security gehört an den Vorstandstisch.

  • 24. Juni 2026
  • 5 Min. Lesezeit

Manchmal verlässt man eine Veranstaltung mit dem Gefühl, dass sich ein Markt grundlegend verschiebt. Genau so war der European Resilience Summit - ein Tag zwischen Microsoft, Deloitte, Capgemini, Fujitsu und dem öffentlichen Sektor, an dem ein Thema immer wiederkehrte: Cybersicherheit ist kein IT-Thema mehr. Sie ist zur Chefsache geworden.

Bei manchen Veranstaltungen steht neue Technologie im Mittelpunkt. Bei anderen spürt man, dass sich ein Markt grundlegend verändert. Der European Resilience Summit war eindeutig von der zweiten Sorte.

Im Lauf des Tages sprach ich mit Vertretern von Organisationen wie Microsoft, Deloitte, Capgemini, Fujitsu und mehreren Einrichtungen aus dem öffentlichen Sektor. Die Gespräche reichten von KI über digitale Infrastruktur bis zur Geopolitik, doch ein Thema kam immer wieder auf: Cybersicherheit ist kein IT-Thema mehr. Sie ist zur Chefsache geworden.

Die neue Realität von NIS2 und dem Umsetzungsgesetz

Die meisten Organisationen kennen NIS2 inzwischen. Dennoch fiel mir in den Gesprächen auf, dass die Tragweite noch oft unterschätzt wird. Das niederländische Cybersicherheitsgesetz, die nationale Umsetzung von NIS2, verlagert die Verantwortung deutlich auf die Leitungsebene.

Führungskräfte müssen künftig nicht nur Maßnahmen genehmigen. Sie müssen auch nachweisen können, dass sie deren Umsetzung beaufsichtigen und genug Wissen haben, um die richtigen Entscheidungen zu treffen. Das verändert das Spielfeld grundlegend. War Cybersicherheit jahrelang vor allem ein Thema für IT-Leiter und Security-Spezialisten, landet sie nun direkt auf der Agenda der Chefetage.

Drei Fragen, die jede Führungskraft beantworten können sollte

Eine der stärksten Erkenntnisse des Tages war überraschend einfach. Jede Organisation sollte heute drei Fragen beantworten können:

  1. Fallen wir in den Anwendungsbereich? Sind wir eine wesentliche oder wichtige Einrichtung im Sinne des Gesetzes?
  2. Können wir nachweisen, dass wir die Anforderungen erfüllen? Nicht nur Richtlinien auf dem Papier, sondern echte Nachweise zu Monitoring, Logging, Zugriffskontrolle und Risikomanagement.
  3. Wer trägt die Verantwortung? Welche Führungskraft trägt letztlich die Verantwortung und kann dafür zur Rechenschaft gezogen werden?

Bemerkenswert: Das sind keine technischen Fragen. Es sind Fragen der Unternehmensführung.

Technologie allein reicht nicht

In vielen Gesprächen hörte ich, dass Organisationen oft nach der einen technischen Lösung suchen. Doch Compliance beginnt nicht bei der Technologie. Sie beginnt mit Einblick. Man muss wissen, welche Risiken bestehen, welche Prozesse kritisch sind und wo die Schwachstellen liegen. Erst danach stellt sich die Frage, welche Technologie diese Vorgaben unterstützt.

Zugleich können Organisationen nicht warten, bis alle Richtlinien fertig sind. Die Einführung von KI, Cloud und hybridem Arbeiten geht schlicht zu schnell. Deshalb sehen wir bei Momentum EMEA zwei Bewegungen gleichzeitig:

  • Von der Richtlinie zur Technologie.
  • Von der Technologie zur Richtlinie.

Man entwickelt Governance und richtet zugleich die technischen Maßnahmen ein, die Risiken sofort verringern.

Von Compliance zu Cyber-Resilienz

Aufgefallen ist mir noch etwas: Die reifsten Organisationen sprechen kaum noch von Compliance. Sie sprechen von Resilienz. Von Cyber-Resilienz. Compliance ist dabei kein Ziel, sondern eine Folge.

Diese Organisationen investieren in kontinuierliches Monitoring, Zero-Trust-Architekturen, Multi-Faktor-Authentifizierung, Lieferantenbewertungen, Audit-Trails sowie schnelle Erkennung und Reaktion. Nicht weil das Gesetz es verlangt, sondern weil ihre Geschäftskontinuität davon abhängt.

Die Rolle von Momentum EMEA

In Gesprächen werde ich oft gefragt, wo die Verantwortung eines Partners wie Momentum beginnt und endet. Diese Unterscheidung ist wichtig. Wir unterstützen Organisationen bei der technischen Umsetzung ihrer Sorgfaltspflicht:

  • Netzwerksegmentierung
  • Zero Trust Network Access (ZTNA)
  • Multi-Faktor-Authentifizierung
  • Kontinuierliches Monitoring und Logging
  • Erkennung und Reaktion
  • Lieferanten- und Zugriffssicherheit
  • Security und Konnektivität über eine integrierte Plattform

Was wir nicht tun, ist die Verantwortung der Leitung zu übernehmen. Governance, Risikopolitik, die rechtliche Bestimmung des Anwendungsbereichs und die Rechenschaftspflicht des Vorstands bleiben bei der Organisation selbst. Aber wir können helfen, die technische Basis nachweisbar in Ordnung zu bringen.

Mein wichtigstes Fazit

Cybersicherheit wandert vom Serverraum in die Chefetage. Nicht weil Technologie unwichtiger wird, sondern gerade weil sie immer wichtiger wird.

Organisationen, die heute in Einblick, Governance und technische Widerstandsfähigkeit investieren, bauen Kontinuität für morgen auf. Denn am Ende geht es bei Resilienz nicht darum, ein Gesetz zu erfüllen. Es geht um die Frage, ob Ihre Organisation morgen noch sicher arbeiten kann, wenn heute etwas passiert. Und das ist eine Verantwortung, die inzwischen alle am Vorstandstisch betrifft.

FAQ

Häufig gestellte Fragen

Was hat der European Resilience Summit am Bild der Cybersicherheit verändert?

Der rote Faden war, dass Cybersicherheit kein IT-Thema mehr ist, sondern Chefsache. Mit NIS2 und dem niederländischen Cybersicherheitsgesetz müssen Führungskräfte Maßnahmen nicht nur genehmigen, sondern auch nachweisbar beaufsichtigen und das nötige Wissen mitbringen.

Welche drei Fragen sollte jede Führungskraft beantworten können?

1) Fallen wir in den Anwendungsbereich - sind wir eine wesentliche oder wichtige Einrichtung? 2) Können wir die Erfüllung nachweisen, mit echten Nachweisen zu Monitoring, Logging, Zugriffskontrolle und Risikomanagement? 3) Wer trägt letztlich die Verantwortung und kann zur Rechenschaft gezogen werden?

Wobei hilft Momentum EMEA - und wobei nicht?

Momentum unterstützt bei der technischen Umsetzung der Sorgfaltspflicht: Netzwerksegmentierung, ZTNA, Multi-Faktor-Authentifizierung, Monitoring, Erkennung und Reaktion über eine integrierte Plattform. Governance, Risikopolitik und die Rechenschaftspflicht des Vorstands bleiben bei der Organisation selbst.

Gespräch vereinbaren

Von Einblick zu Resilienz

Möchten Sie sehen, wie Momentum EMEA die technische Basis Ihrer Sorgfaltspflicht nachweisbar in Ordnung bringt - von ZTNA und Segmentierung bis zu kontinuierlichem Monitoring und Reaktion? Vereinbaren Sie ein Gespräch, wir zeigen Ihnen, wie das in der Praxis aussieht.