Warum Governance wichtiger ist als jedes Security-Tool

In fast jeder NIS2-Diskussion der letzten Monate geht es zuerst um dasselbe: Welche Plattform kaufen wir? Welches Tool hilft uns bei Lieferantenbewertungen? Was muss an der Infrastruktur nachgerüstet werden? Diese Fragen sind nicht falsch. Aber sie kommen zu früh — und sie kommen häufig, weil die eigentlich entscheidende Frage nicht gestellt wird.

Die Frage, die zu spät kommt

Wer entscheidet eigentlich, welches Risiko für das Unternehmen tragbar ist?

Diese Frage klingt einfach. In der Praxis ist sie erstaunlich selten beantwortet. Viele Unternehmen haben Sicherheitsmaßnahmen. Sie haben Tools, Richtlinien, vielleicht eine Zertifizierung. Was sie oft nicht haben: eine klare Entscheidungslogik darüber, welche Risiken das Unternehmen bewusst eingeht und welche nicht.

Und noch eine Stufe konkreter: Wer bemerkt eigentlich, wenn ein Lieferantenrisiko schleichend zum Geschäftsrisiko wird? Wenn ein Dienstleister, der vor zwei Jahren unproblematisch war, inzwischen Zugang zu weitaus kritischeren Systemen hat? Wenn ein Konzentrationsrisiko entsteht, weil drei Kernprozesse vom selben Anbieter abhängen?

Das ist keine IT-Frage. Das ist eine Führungsfrage.

Was Steuerungsfähigkeit bedeutet

Steuerungsfähigkeit ist kein Synonym für Kontrolle. Es geht nicht darum, alles zu wissen und alles zu überwachen. Es geht darum, dass im Unternehmen drei Dinge funktionieren: Es gibt klar definierte Verantwortlichkeiten — wer bewertet welche Risiken? Es gibt transparente Entscheidungswege — wer beschließt Risikoakzeptanz und auf welcher Grundlage? Und es gibt eine Eskalationslogik auf Managementebene — wann wird aus einem Lieferantenthema ein Vorstandsthema?

Ohne diese Strukturen entsteht kein Sicherheitsleck. Es entsteht ein Führungsproblem. Und Führungsprobleme löst man nicht mit besserer Software.

Ein Beispiel aus der Beratungspraxis: Der Einkauf optimiert Kosten, die IT prüft technische Anforderungen, Compliance schaut auf Vertragsklauseln. Alle tun, was sie sollen. Aber niemand priorisiert Risiken. Niemand entscheidet, welcher Lieferant trotz bekannter Einschränkungen weitergeführt wird und warum. In dieser Konstellation fehlt kein Tool. Es fehlt Governance.

Was NIS2 tatsächlich adressiert

Art. 20 der NIS2-Richtlinie ist in dieser Hinsicht explizit: Die Leitungsorgane müssen Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und haften persönlich, wenn das nicht geschieht. Das NISG übernimmt diesen Ansatz für Österreich.

Die Richtlinie adressiert damit nicht Technik. Nicht Software. Nicht Zertifikate. Sie adressiert die Entscheidungslogik im Unternehmen — und damit die persönliche Verantwortung derjenigen, die diese Logik verantworten.

Das ist der Punkt, an dem viele Compliance-Projekte scheitern: Man kauft das Tool, das „NIS2-ready” sein soll, man lässt sich beraten, man hakt ab. Aber die eigentliche Frage — ist unsere Organisation steuerungsfähig? — wird nicht gestellt, weil sie keine einfache Antwort hat und keinen klaren Einkaufsvorgang erfordert.

Von der Compliance-Frage zur Führungsfrage

„Sind wir technisch compliant?” ist die falsche Frage. Die richtige Frage lautet: Könnten wir heute erklären, nach welcher Logik wir Risiken eingehen und steuern?

Wenn diese Frage nicht beantwortet werden kann, ist das kein Technikproblem. Es ist ein Zeichen, dass Governance noch nicht wirklich etabliert ist. Ein Cyber Governance Setup setzt genau dort an: nicht mit einer Checkliste, sondern mit der Frage, welche Strukturen ein Unternehmen braucht, damit Risikomanagement tatsächlich auf Führungsebene verankert ist.

Tools helfen dabei, wenn die Grundlage steht. Als Ersatz für Governance funktionieren sie nicht.

Fazit

Sicherheit kauft man nicht — man steuert sie. NIS2 verankert diese Anforderung als persönliche Verantwortung der Geschäftsleitung. Wer zuerst Tools kauft und danach fragt, wer eigentlich Risiken verantwortet, hat die Reihenfolge falsch. Governance vor Technik ist keine ideologische Position — es ist schlicht die Reihenfolge, die funktioniert.