Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

NIS2 umsetzen konkret: Governance und Kommunikation

Veröffentlicht am: 2. Februar 2026

Max Mustermann

Veröffentlicht am: 02.02.2026

Governance und Kommunikation bilden das Fundament jeder wirksamen NIS2-Umsetzung. Für die Fußballfreunde: Governance ist so etwas wie der Schiedsrichter im NIS2-Spiel. Er definiert, wie Verantwortung wahrgenommen wird, wie Entscheidungen getroffen werden und wie Informationen intern wie extern fließen. Also, wer mit wem wann wie spricht. Governance und Kommunikation ist gleichzeitig die erste Phase, die Sie bei der NIS2-Umsetzung angehen sollten. NIS2 verlangt an dieser Stelle keine abstrakten Leitbilder, sondern belastbare organisatorische Strukturen, dokumentierte Zuständigkeiten und nachvollziehbare Kommunikationswege. Ziel ist es, die Fähigkeit der Organisation sicherzustellen, Risiken zu steuern, Vorfälle zu bewältigen und regulatorische Anforderungen fristgerecht zu erfüllen. Wer NIS2 umsetzen will, muss Governance und Kommunikation als Steuerungsinstrument verstehen, nicht als formale Pflicht.

Weitere Artikel der Reihe „NIS2 umsetzen“

Wenn Sie alle Inhalte und Grafiken dieser „NIS2 umsetzen“-Reihe zusammenführen, erhalten Sie am Ende einen Projektplan, der Ihnen dabei hilft, NIS2-konform zu werden.

  • NIS2 umsetzen: Ganz konkret – Risikomanagement (Coming soon)
  • NIS2 umsetzen: Ganz konkret – Kontrollen und Schutz (Coming soon)
  • NIS2 umsetzen: Ganz konkret – Incident und Meldung (Coming soon)
  • NIS2 umsetzen: Ganz konkret – Business Continuity Management (Coming soon)
  • NIS2 umsetzen: Ganz konkret – Compliance und Überwachung (Coming soon)
  • NIS2 umsetzen: Ganz konkret – Schulung und Awareness (Coming soon)

Governance als Voraussetzung für NIS2-Umsetzung

NIS2 ist keine IT-Aufgabe. Es verankert Cybersicherheit ausdrücklich auf Leitungsebene. Damit wird Governance zu einer regulatorischen Pflicht und nicht zu einer optionalen Managementdisziplin. Die Geschäftsführung trägt die Verantwortung für die Organisation der NIS2-Umsetzung, unabhängig davon, ob operative Aufgaben delegiert werden. Governance bedeutet in diesem Kontext, klare Zuständigkeiten festzulegen, Entscheidungswege zu definieren und die Umsetzung kontinuierlich zu überwachen. Übrigens: Halten Sie sich an das Prinzip Security by Design: erst Prozesse, dann Tools.

Für die Praxis heißt das: Es muss eindeutig nachvollziehbar sein, wer die NIS2-Umsetzung steuert, wer Entscheidungen trifft und wie Vertretungen geregelt sind. Diese Klarheit ist nicht nur für den operativen Betrieb relevant, sondern auch für Prüfungen und behördliche Nachfragen. Unklare Verantwortlichkeiten gelten als organisatorisches Defizit und können unabhängig von technischen Maßnahmen beanstandet werden. NIS2 appelliert an die „Sorgfalt eines ordentlichen Geschäftsleiters“. Viele Geschäftsführer haften mit Privatvermögen (§ 25 GmbHG bzw. § 84 AktG) bei Vernachlässigung der Umsetzung.

Verantwortlichkeiten klar und dokumentiert festlegen

Der erste operative Schritt, um NIS2 umzusetzen, ist die Benennung verantwortlicher Rollen. Diese Verantwortung liegt auf Geschäftsführungsebene, kann jedoch durch definierte Rollen in der Organisation unterstützt werden. Entscheidend ist nicht die Bezeichnung der Rolle, sondern deren formale Verankerung, Entscheidungsbefugnis und dokumentierte Aufgaben. Fehlende Dokumentation ist bereits ein Compliance-Verstoß. Gestalten Sie die Dokumentation von Nachweisen für Mitarbeiter so einfach wie möglich. Dies gelingt insbesondere durch Automatisierung.

In der Praxis bewährt sich eine klare Trennung zwischen strategischer Verantwortung und operativer Umsetzung. Die Leitungsebene definiert Zielbild, Prioritäten und Rahmenbedingungen, während Fachbereiche und IT für die Umsetzung zuständig sind. Diese Rollenverteilung muss dokumentiert, intern kommuniziert und regelmäßig überprüft werden. Eine fehlende oder nur informell geregelte Verantwortlichkeit ist mit den Anforderungen der NIS2 nicht vereinbar.

Governance

Phase GOV-01: Die Klärung der Verantwortlichkeiten, sollte ab Projektstart binnen 14 Werktagen erfolgen.

Relevante Bereiche frühzeitig einbinden

NIS2 betrifft nicht ausschließlich IT oder Informationssicherheit. Die Umsetzung erfordert die koordinierte Zusammenarbeit mehrerer Funktionen, insbesondere IT, Informationssicherheit, Datenschutz, Recht, Betrieb und gegebenenfalls Fachbereiche mit kritischen Prozessen. Governance bedeutet hier, diese Bereiche frühzeitig einzubinden und klare Schnittstellen zu definieren.

Verteilen Sie Aufgaben entsprechend der Rollen:

  • IT: z.B. Identifizierung kritischer Assets und Systeme, Implementierung von technischen Maßnahmen, Incident Response-Maßnahmen
  • HR: Schulungen, On- und Offboarding
  • Einkauf: Sicherheit der Lieferkette gewährleisten
  • Rechtsabteilung: Meldewesen, Vertragsmanagement und Rechtsmonitoring

Eine späte oder selektive Einbindung führt in der Praxis häufig zu Reibungsverlusten, widersprüchlichen Anforderungen und Verzögerungen. Für eine auditfeste Umsetzung ist entscheidend, dass relevante Bereiche nicht nur informiert, sondern aktiv in die Umsetzung eingebunden sind. Die Art und Weise dieser Einbindung sollte dokumentiert werden, etwa durch feste Gremien, Regeltermine oder definierte Abstimmungsprozesse.

Governance02

Phase GOV-02: Je nach Unternehmensgröße, können viele Personen beteiligt sein. Kalkulieren Sie ab Projektstart sieben Werktage ein.

Kommunikationswege zu Behörden und CSIRTs etablieren

Ein zentraler Bestandteil der Governance-Anforderungen ist die strukturierte externe Kommunikation. NIS2 verlangt, dass Organisationen in der Lage sind, im Ereignisfall fristgerecht und zielgerichtet mit nationalen Behörden und zuständigen CSIRTs zu kommunizieren. Dafür reichen allgemeine Kontaktinformationen nicht aus.

Erforderlich sind klar definierte Kommunikationswege, benannte Ansprechpartner und abgestimmte Prozesse. Diese müssen nicht nur konzeptionell beschrieben, sondern organisatorisch verankert sein. Für Prüfungen ist relevant, dass Kommunikationswege getestet wurden und im Ernstfall ohne Verzögerung funktionieren. Governance zeigt sich hier nicht im Vorhandensein eines Dokuments, sondern in der tatsächlichen Funktionsfähigkeit der Strukturen.

Governance03

Phase GOV-03: Einer der wichtigsten Schritte. Kalkulieren Sie für das Kommunikations-Setup  ab Projektstart 14 Werktage ein.

Gemeinsames Zielverständnis sicherstellen

Damit NIS2 umgesetzt werden kann, müssen alle beteiligten Bereiche verstehen, welche Ziele verfolgt werden und welchen Beitrag sie leisten sollen. Governance umfasst daher auch die interne Kommunikation von Zielen, Prioritäten und Erwartungen. Ein rein technisches oder rechtliches Verständnis greift zu kurz.

Ein gemeinsames Zielverständnis reduziert Fehlinterpretationen und erleichtert die Umsetzung im Tagesgeschäft. Es ist Aufgabe der Leitungsebene, dieses Verständnis herzustellen und regelmäßig zu überprüfen. Für eine auditfeste Umsetzung ist es sinnvoll, Maßnahmen zur internen Kommunikation nachvollziehbar zu dokumentieren, etwa durch interne Richtlinien, Informationsformate oder strukturierte Abstimmungen.

Governance04

Phase GOV-04: Oft unterschätzt: Haben alle dasselbe Zielverständnis oder glauben das nur alle? Kalkulieren Sie ab Projektstart sieben Werktage ein.

Policy als zentrales Steuerungsinstrument

Eine zentrale Rolle in der Governance spielt die NIS2-relevante Policy. Sie beschreibt das Vorgehen der Organisation, definiert Rollen und Verantwortlichkeiten und legt grundlegende Prozesse fest. Diese Policy ist kein rein formales Dokument, sondern ein Steuerungsinstrument, an dem sich die Umsetzung orientiert.

Wesentlich ist, dass die Policy adressatengerecht formuliert, intern kommuniziert und regelmäßig überprüft wird. Sie sollte die relevanten Themen wie Incident Management, Meldewege, Verantwortlichkeiten und grundlegende Sicherheitsprinzipien abdecken, ohne operative Detailtiefe zu erzwingen. Für Prüfungen ist entscheidend, dass die Policy konsistent zur tatsächlichen Organisation und Praxis der NIS2-Umsetzung ist.

Governance05

Phase GOV-05: Ein Kern der NIS2 – nutzen Sie eventuell GRC-Software mit Policy Generator. Kalkulieren Sie ab Projektstart 21 Tage dafür ein.

Governance und Kommunikation als laufende Aufgabe

Governance im Sinne der NIS2 ist kein einmaliges Projekt. Verantwortlichkeiten, Kommunikationswege und Policies müssen regelmäßig überprüft und bei Bedarf angepasst werden. Veränderungen in der Organisation, neue regulatorische Anforderungen oder veränderte Bedrohungslagen wirken sich unmittelbar auf die Wirksamkeit der Governance-Strukturen aus. Wer NIS2 umsetzen will, sollte Governance und Kommunikation daher als fortlaufende Managementaufgabe begreifen. Eine strukturierte Actionliste hilft dabei, die erforderlichen Schritte nachvollziehbar zu planen, umzusetzen und weiterzuentwickeln. Damit wird Governance von einer abstrakten Anforderung zu einem praktischen Instrument der Steuerung und Absicherung.

Wie eine Lösung wie GRASP bei der NIS2-Umsetzung hilft

Tools ersetzen keine Prozesse, aber sie können helfen, Routineprozesse zu reduzieren und die NIS2-Umsetzung reibungslos zu organisieren. Stellen Sie sich vor, die NIS2-Umsetzung in Ihrem Unternehmen besteht aus 60 Aufgabenfeldern und aus HR, IT, PR und Einkauf sind elf Personen in der Governance involviert. Selbst wenn es gelingt, allen Beteiligten ihre Aufgaben eindeutig zuzuweisen, entstehen mindestens 60 E-Mails. Berücksichtigt man Rückfragen, Unklarheiten, Status-Updates und Abstimmungen zwischen den Beteiligten, wächst das schnell auf 300 bis 600+ E-Mails an. Sie werden also nur noch E-Mails schreiben und beantworten. Was Sie wahrscheinlich ohnehin schon zu oft tun müssen. 

GRASP_Rollen

Eine auf NIS2 spezialisierte Lösung wie GRASP reduziert den Kommunikationsaufwand drastisch und bietet die beste Möglichkeit zu Dokumentation und Organisation der Governance & Kommunikations-Phase.

Die nächste Phase der NIS2-Umsetzung: Risikomanagement

Risikomanagement verbindet nahezu alle GRC-Felder. Auch in der NIS2 ist es ein zentrales Element, sozusagen das methodische Rückgrat der Umsetzung. Es verbindet strategische Verantwortung mit operativer Umsetzung und schafft die Grundlage für priorisierte, nachvollziehbare Sicherheitsentscheidungen. Hier geht es zum nächsten „NIS2 umsetzen“-Artikel: Risikomanagement.

Noch mehr zu NIS2 finden Sie übrigens direkt beim BSI.

Häufig gestellte Fragen

Warum ist Governance bei NIS2 explizit Aufgabe der Geschäftsführung?

NIS2 verankert die Verantwortung für Cybersicherheit ausdrücklich auf Leitungsebene. Die Geschäftsführung bleibt verantwortlich, auch wenn operative Aufgaben delegiert werden. Ziel ist sicherzustellen, dass Sicherheitsmaßnahmen strategisch gesteuert, priorisiert und überwacht werden.

Kann die operative NIS2-Umsetzung vollständig delegiert werden?

Operative Aufgaben können delegiert werden, die Gesamtverantwortung jedoch nicht. Governance verlangt klare Rollen, Entscheidungsbefugnisse und eine nachvollziehbare Überwachung durch die Leitungsebene.

Reicht die Benennung eines CISO oder IT-Leiters für die Governance aus?

Nein. Die Benennung einer Rolle allein genügt nicht. Erforderlich sind dokumentierte Zuständigkeiten, definierte Entscheidungswege, Vertretungsregelungen und eine formale Einbindung in die Organisationsstruktur.

Welche Rolle spielt interne Kommunikation bei der NIS2-Governance?

Interne Kommunikation stellt sicher, dass alle beteiligten Bereiche Ziele, Prioritäten und ihre jeweilige Rolle verstehen. Ohne ein gemeinsames Zielverständnis lassen sich Governance-Strukturen nicht wirksam umsetzen oder nachweisen.

Was erwartet eine Aufsichtsbehörde bei der Prüfung der Governance?

Behörden prüfen nicht nur Dokumente, sondern auch die Nachvollziehbarkeit der Organisation. Entscheidend ist, ob Verantwortlichkeiten klar geregelt, Kommunikationswege funktionsfähig und Entscheidungsprozesse tatsächlich gelebt werden.

Wie detailliert muss eine NIS2-Policy ausgestaltet sein?

Eine NIS2-Policy sollte klare Leitplanken setzen, ohne operative Detailtiefe zu erzwingen. Sie muss konsistent zur tatsächlichen Organisation passen und regelmäßig überprüft und aktualisiert werden.

Müssen Kommunikationswege zu Behörden und CSIRTs regelmäßig getestet werden?

Ja. Governance erfordert nicht nur definierte, sondern auch funktionsfähige Kommunikationswege. Tests helfen sicherzustellen, dass Ansprechpartner, Prozesse und Fristen im Ernstfall eingehalten werden können.

Wie oft sollten Governance-Strukturen im Rahmen von NIS2 überprüft werden?

Governance-Strukturen sollten regelmäßig überprüft und an organisatorische oder regulatorische Änderungen angepasst werden. In der Praxis haben sich jährliche Reviews sowie anlassbezogene Anpassungen bewährt.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen