"Wir haben 80.000 € für NIS2-Compliance ausgegeben – und trotzdem einen Audit nicht bestanden."
Dieser Satz fiel kürzlich in einem Beratungsgespräch. Ein Produktionsunternehmen hatte alles falsch gemacht: Teure Tools gekauft die niemand nutzt. Einen Berater engagiert, der theoretisches Wissen vermittelte aber keine praktischen Lösungen lieferte. Dokumentation erstellt, die niemand versteht.
Das Ergebnis: Viel Geld verbrannt, null Compliance, frustriertes Team.
In diesem Artikel zeigen wir Ihnen die 7 häufigsten – und teuersten – Fehler bei der NIS2-Umsetzung. Jeder dieser Fehler kostet Sie durchschnittlich 10.000-50.000 €. Die gute Nachricht: Sie sind alle vermeidbar, wenn Sie wissen, worauf Sie achten müssen.
Unternehmen beginnen mit dem Kauf teurer Security-Tools (SIEM, SOAR, EDR) bevor sie überhaupt verstanden haben, welche Prozesse sie eigentlich absichern wollen.
20.000-80.000 € für Tools, die nicht genutzt werden
6-12 Monate Zeitverlust
Frustration im IT-Team
Tool-Hersteller versprechen 'NIS2-Compliance in einer Box'. Das klingt verlockend einfach. Die Realität: Tools helfen nur, wenn Sie wissen WAS Sie monitoren, WIE Sie Incidents behandeln, und WER wann reagiert.
1. ERST: Prozesse definieren (Incident Response, Patch Management, etc.)
2. DANN: Lücken identifizieren
3. ERST DANACH: Tools auswählen, die Lücken schließen
Sparpotenzial: 30.000-60.000 €
IT macht NIS2 als Projekt – die Geschäftsführung unterschreibt nur die Budgets, ist aber nicht aktiv involviert.
Persönliche Haftung bei Vorfällen
BSI-Bußgelder wegen fehlender Management-Billigung
Verzögerungen, weil Entscheidungen fehlen
NIS2 wird als 'IT-Thema' abgetan. Die Geschäftsführung denkt: 'Die IT soll das regeln'. Aber NIS2 fordert EXPLIZIT: Billigung durch die Geschäftsführung, Überwachung, persönliche Schulung.
Geschäftsführung billigt Risikomanagement-Maßnahmen (schriftlich)
Quartalsweise Management-Reviews zu IT-Security
Geschäftsführer absolvieren NIS2-Pflichtschulung
Sparpotenzial: Haftungsrisiko minimieren (unbezahlbar)
Unternehmen wollen von Tag 1 das perfekte ISMS. Komplette ISO 27001 Zertifizierung, lückenlose Dokumentation, Enterprise-Grade-Tools für alle Bereiche.
40.000-100.000 € Overengineering
12-24 Monate bis Sie überhaupt starten
Analysis Paralysis im Team
Starten Sie mit Quick Wins: MFA, Backups, Patch Management
Nutzen Sie Excel statt ISMS-Software (am Anfang)
Iterativ ausbauen statt Big Bang
Sparpotenzial: 30.000-70.000 €
'Wir machen das schon alles, aber dokumentiert haben wir es nicht.' Im BSI-Audit zählt nur, was Sie nachweisen können.
BSI-Audit nicht bestanden → Nachbesserung notwendig
5.000-20.000 € Nachbesserungskosten
Reputationsschaden
Dokumentieren Sie WÄHREND der Umsetzung, nicht danach
Nutzen Sie Templates (kein Word-Chaos)
Versionskontrolle für alle Dokumente
Sparpotenzial: 10.000-20.000 €
Sie engagieren einen Berater, der theoretisches Wissen hat, aber keine Praxiserfahrung mit NIS2. Oder einen, der nur verkaufen will statt zu helfen.
15.000-50.000 € für unbrauchbare Beratung
Falsche Lösungen, die nachgebessert werden müssen
Referenzen prüfen: Hat der Berater NIS2-Projekte erfolgreich umgesetzt?
Festpreis statt Tagessatz (reduziert Anreiz zu verlängern)
Klare Deliverables definieren
Sparpotenzial: 20.000-40.000 €
Sie sichern Ihre interne IT ab, vergessen aber Ihre Dienstleister. NIS2 macht Sie aber für Ihre gesamte Lieferkette verantwortlich.
BSI-Bußgeld bei Vorfall durch Dienstleister
Notwendigkeit, Dienstleister kurzfristig zu wechseln
Liste aller kritischen Dienstleister erstellen
·Security-Fragebögen versenden
NIS2-konforme Vertragsklauseln einbauen
Sparpotenzial: Haftungsrisiko minimieren
Unternehmen investieren in Tools und Prozesse, aber die Mitarbeiter wissen nicht, wie sie sich verhalten sollen.
Phishing-Angriffe erfolgreich (weil Awareness fehlt)
Prozesse werden nicht gelebt
Incident Response Plan funktioniert im Ernstfall nicht
Security Awareness Training für ALLE Mitarbeiter (jährlich)
Phishing-Simulationen durchführen
Geschäftsführungs-Schulung (Pflicht!)
Sparpotenzial: Vorfälle verhindern (unbezahlbar)
Starten Sie mit Prozessen, nicht mit Tools
Binden Sie die Geschäftsführung aktiv ein
Pragmatisch statt perfekt
Dokumentieren Sie während der Umsetzung
Wählen Sie den richtigen Berater
Vergessen Sie die Lieferkette nicht
Schulen Sie Ihre Mitarbeiter