NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis

Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

[datensicherheit.de, 10.12.2025] In vielen mittelständischen und großen Organisationen zeige sich seit Monaten ein wiederkehrendes Bild. „Sie haben die NIS-2-Pflichten verstanden, doch es fehlt an Kapazitäten, sie zuverlässig umzusetzen und dauerhaft nachzuweisen“, so Greg Hansbuer, Manager für die DACH-Region bei Pink Elephant (ehemals DMP / DataManagement Professionals), in seiner aktuellen Stellungnahme. Er erläutert, wie sich dies in der Praxis äußert und welche Lösungen parat stehen:

Foto: Pink Elephant

Greg Hansbuer betont: RMS ersetzen interne IT nicht, sondern stabilisieren diese!

Zentrale Sorgen im NIS-2-Zusammenhang: Backup, Recovery und „Security Monitoring“

Hansbuer führt aus: „Besonders häufig werden dabei zentrale Sorgen formuliert: Backup, Recovery und ,Security Monitoring’ dürfen nicht zu getrennten Insellösungen werden!“

• Gleichzeitig werde ein „24/7“-Betrieb erwartet, ohne dass zwingend ein eigenes „24/7“-Team aufgebaut werden müsse. „Audits, Nachweise, Risikoanalysen und ,Runbooks’ müssen belastbar funktionieren und nicht erst ,auf Zuruf’!“

Hierzu kämen demnach „Remote Managed Services“ (RMS) ins Spiel. „Dabei übernimmt ein externer Anbieter nicht nur die Verantwortung für die Technologie, sondern auch für definierte Betriebsprozesse.“

Hansbuer empfiehlt RMS zur Begegnung der NIS-2-Pflichten

Zu besagten Betriebsprozessen zählten unter anderem:

• Betrieb von Backup und Recovery in „On-Premises“- und „Cloud“-Umgebungen
• „Immutable Storage“ und „Clean Room Recovery“-Konzepte
• Recovery-Tests, Reporting und prüffähige Nachweise
• Schwellenwerte und Alarmierung nach NIS-2-Interpretationsleitfäden
• „Runbooks“ für „Incident Response“ und „Business Continuity“
• Regelmäßige Optimierung und Lifecycle-Management

Auffällig sei, dass viele Unternehmen zunächst nur punktuelle Unterstützung suchten. Im laufenden Betrieb stellten sie jedoch fest, wie deutlich „Remote Managed Services“ den operativen Druck verringerten. Deren Einsatz reiche von Umgebungen mit wenigen hundert bis zu 90.000 Nutzern. Sie deckten Multi-Standorte, hybride Architekturen sowie „Public“- und „Private Cloud“-Modelle ab. Auch hochkritische Infrastrukturen mit durchgehendem „24/7“-Betrieb gehörten dazu.

Fehlende personelle Kapazitäten, begrenzte Zeit und zunehmende Nachweispflichten zwingen zum Handeln

Trotz unterschiedlicher Größen und Branchen stehen Unternehmen laut Hansbuer vor denselben Kernfragen: „Wer stellt sicher, dass Backup, Recovery-Pläne und Security-Prozesse im Ernstfall tatsächlich funktionieren? Wer liefert belastbare Audit-Nachweise, wenn Wirtschaftsprüfer oder Aufsichtsbehörden sie einfordern? Wie stabil bleibt der Betrieb, wenn zentrales Fachpersonal kurzfristig ausfällt?“

• RMS indes ersetzten interne IT nicht, sondern stabilisierten diese. Die eigenen Teams behielten den Focus auf Strategie und Innovation. Der externe Anbieter übernehme hingegen die Aufgaben, welche kontinuierlich, fehlerfrei und revisionssicher laufen müssen.

Wer sich aktuell mit NIS-2, ISO 27001, BSI 200-4 oder dem Thema Cyberresilienz befasst, erkenne meist dasselbe: „Die Technologie ist selten das Problem. Herausfordernd sind vor allem fehlende personelle Kapazitäten, begrenzte Zeit und wachsende Nachweispflichten!“

Weitere Informationen zum Thema:

PINK ELEPHANT
Über uns: Pink Elephant ist ein zuverlässiger IT-Dienstleister mit Standorten in Deutschland und den Niederlanden

Linkedin
Greg Hansbuer

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen