Manchmal verlässt man eine Veranstaltung mit dem Gefühl, dass sich ein Markt grundlegend verschiebt. Genau so war der European Resilience Summit - ein Tag zwischen Microsoft, Deloitte, Capgemini, Fujitsu und dem öffentlichen Sektor, an dem ein Thema immer wiederkehrte: Cybersicherheit ist kein IT-Thema mehr. Sie ist zur Chefsache geworden.
Bei manchen Veranstaltungen steht neue Technologie im Mittelpunkt. Bei anderen spürt man, dass sich ein Markt grundlegend verändert. Der European Resilience Summit war eindeutig von der zweiten Sorte.
Im Lauf des Tages sprach ich mit Vertretern von Organisationen wie Microsoft, Deloitte, Capgemini, Fujitsu und mehreren Einrichtungen aus dem öffentlichen Sektor. Die Gespräche reichten von KI über digitale Infrastruktur bis zur Geopolitik, doch ein Thema kam immer wieder auf: Cybersicherheit ist kein IT-Thema mehr. Sie ist zur Chefsache geworden.
Die neue Realität von NIS2 und dem Umsetzungsgesetz
Die meisten Organisationen kennen NIS2 inzwischen. Dennoch fiel mir in den Gesprächen auf, dass die Tragweite noch oft unterschätzt wird. Das niederländische Cybersicherheitsgesetz, die nationale Umsetzung von NIS2, verlagert die Verantwortung deutlich auf die Leitungsebene.
Führungskräfte müssen künftig nicht nur Maßnahmen genehmigen. Sie müssen auch nachweisen können, dass sie deren Umsetzung beaufsichtigen und genug Wissen haben, um die richtigen Entscheidungen zu treffen. Das verändert das Spielfeld grundlegend. War Cybersicherheit jahrelang vor allem ein Thema für IT-Leiter und Security-Spezialisten, landet sie nun direkt auf der Agenda der Chefetage.
Drei Fragen, die jede Führungskraft beantworten können sollte
Eine der stärksten Erkenntnisse des Tages war überraschend einfach. Jede Organisation sollte heute drei Fragen beantworten können:
- Fallen wir in den Anwendungsbereich? Sind wir eine wesentliche oder wichtige Einrichtung im Sinne des Gesetzes?
- Können wir nachweisen, dass wir die Anforderungen erfüllen? Nicht nur Richtlinien auf dem Papier, sondern echte Nachweise zu Monitoring, Logging, Zugriffskontrolle und Risikomanagement.
- Wer trägt die Verantwortung? Welche Führungskraft trägt letztlich die Verantwortung und kann dafür zur Rechenschaft gezogen werden?
Bemerkenswert: Das sind keine technischen Fragen. Es sind Fragen der Unternehmensführung.
Technologie allein reicht nicht
In vielen Gesprächen hörte ich, dass Organisationen oft nach der einen technischen Lösung suchen. Doch Compliance beginnt nicht bei der Technologie. Sie beginnt mit Einblick. Man muss wissen, welche Risiken bestehen, welche Prozesse kritisch sind und wo die Schwachstellen liegen. Erst danach stellt sich die Frage, welche Technologie diese Vorgaben unterstützt.
Zugleich können Organisationen nicht warten, bis alle Richtlinien fertig sind. Die Einführung von KI, Cloud und hybridem Arbeiten geht schlicht zu schnell. Deshalb sehen wir bei Momentum EMEA zwei Bewegungen gleichzeitig:
- Von der Richtlinie zur Technologie.
- Von der Technologie zur Richtlinie.
Man entwickelt Governance und richtet zugleich die technischen Maßnahmen ein, die Risiken sofort verringern.
Von Compliance zu Cyber-Resilienz
Aufgefallen ist mir noch etwas: Die reifsten Organisationen sprechen kaum noch von Compliance. Sie sprechen von Resilienz. Von Cyber-Resilienz. Compliance ist dabei kein Ziel, sondern eine Folge.
Diese Organisationen investieren in kontinuierliches Monitoring, Zero-Trust-Architekturen, Multi-Faktor-Authentifizierung, Lieferantenbewertungen, Audit-Trails sowie schnelle Erkennung und Reaktion. Nicht weil das Gesetz es verlangt, sondern weil ihre Geschäftskontinuität davon abhängt.
Die Rolle von Momentum EMEA
In Gesprächen werde ich oft gefragt, wo die Verantwortung eines Partners wie Momentum beginnt und endet. Diese Unterscheidung ist wichtig. Wir unterstützen Organisationen bei der technischen Umsetzung ihrer Sorgfaltspflicht:
- Netzwerksegmentierung
- Zero Trust Network Access (ZTNA)
- Multi-Faktor-Authentifizierung
- Kontinuierliches Monitoring und Logging
- Erkennung und Reaktion
- Lieferanten- und Zugriffssicherheit
- Security und Konnektivität über eine integrierte Plattform
Was wir nicht tun, ist die Verantwortung der Leitung zu übernehmen. Governance, Risikopolitik, die rechtliche Bestimmung des Anwendungsbereichs und die Rechenschaftspflicht des Vorstands bleiben bei der Organisation selbst. Aber wir können helfen, die technische Basis nachweisbar in Ordnung zu bringen.
Mein wichtigstes Fazit
Cybersicherheit wandert vom Serverraum in die Chefetage. Nicht weil Technologie unwichtiger wird, sondern gerade weil sie immer wichtiger wird.
Organisationen, die heute in Einblick, Governance und technische Widerstandsfähigkeit investieren, bauen Kontinuität für morgen auf. Denn am Ende geht es bei Resilienz nicht darum, ein Gesetz zu erfüllen. Es geht um die Frage, ob Ihre Organisation morgen noch sicher arbeiten kann, wenn heute etwas passiert. Und das ist eine Verantwortung, die inzwischen alle am Vorstandstisch betrifft.