Cybersicherheit wird zur Pflichtaufgabe – Kommunen müssen NIS2 bis 2026 verlässlich umsetzen

Mit der Umsetzung der NIS-2-Richtlinie und des neuen KRITIS-Dachgesetzes verschärfen sich die Anforderungen an die IT-Sicherheit in Städten, Gemeinden und kommunalen Unternehmen deutlich. Viele Bereiche der Daseinsvorsorge fallen künftig unter die erweiterten Vorgaben, darunter Energie- und Wasserversorgung, Verkehr, Abfallwirtschaft und kommunale IT-Dienstleister. Die jüngsten Ransomware-Angriffe auf Verwaltungen und Versorger haben gezeigt, wie weitreichend die Folgen sein können: In mehreren Fällen waren zentrale Dienstleistungen über Wochen, teils sogar über Monate nicht verfügbar. Für die kommunale Ebene bedeutet dies, dass IT-Sicherheit keine technische Detailfrage mehr ist, sondern ein Faktor für die Funktionsfähigkeit zentraler Aufgaben und die Verlässlichkeit gegenüber der Öffentlichkeit. Die gesetzlichen Vorgaben treffen vielerorts auf gewachsene IT-Strukturen und begrenzte personelle Ressourcen. Unterschiedliche Einzellösungen liefern zwar Informationen zu einzelnen Aspekten der Sicherheit, bilden aber kaum das Gesamtbild ab, das NIS2 künftig verlangt. „Die Implementierung, Konfiguration und Verwaltung unterschiedlichster Sicherheits-Tools ist aufwändig, teuer und personalintensiv“, sagt Mario Jandeck, Geschäftsführer des Jenaer IT-Sicherheitsspezialisten Enginsight. Gefordert ist eine Sicherheitsarchitektur, die die vorhandenen Systeme vollständig erfasst, Risiken fortlaufend bewertet und sicherheitsrelevante Ereignisse zuverlässig erkennt. Für viele Kommunen bedeutet dies eine strukturelle Neuordnung, die sowohl organisatorische als auch technische Anpassungen notwendig macht. Dabei spielt auch die Frage eine Rolle, wie sich diese Anforderungen im laufenden Betrieb ohne unverhältnismäßigen Mehraufwand umsetzen lassen. In diesem Kontext setzen Kommunen zunehmend auf Anbieter, die mehrere sicherheitsrelevante Aufgaben in einem konsistenten technischen Ansatz zusammenführen. Die Enginsight-Plattform unterstützt die automatische Erfassung der IT-Systeme, die kontinuierliche Schwachstellenanalyse und die Erkennung sicherheitsrelevanter Ereignisse. Für viele Anwender ist zudem die vollständige Entwicklung und der Betrieb in Deutschland relevant, da dies die Einhaltung von Datenschutz- und Nachweisanforderungen erleichtert, die im Zuge von NIS2 an Bedeutung gewinnen. Enginsight ersetzt dabei keine strategischen Entscheidungen auf Leitungsebene, bietet jedoch eine technische Grundlage, um die neuen Pflichten im Alltag zu erfüllen. Für Bürgermeister, Werkleitungen und Verwaltungschefs steht damit eine Phase an, in der Zuständigkeiten, Strukturen und Verantwortlichkeiten neu geordnet werden müssen. Bis 2026 ist eine realistische Bestandsaufnahme der IT-Landschaft erforderlich, verbunden mit klaren Entscheidungen über technische Lösungen und die Rolle des kommunalen IT-Dienstleisters. Kommunen, die frühzeitig mit der Konsolidierung ihrer Sicherheitsprozesse beginnen, schaffen damit nicht nur mehr Stabilität im laufenden Betrieb, sondern auch die notwendige Transparenz gegenüber Aufsicht und Öffentlichkeit. Cybersicherheit wird damit zu einem dauerhaften Bestandteil der kommunalen Daseinsvorsorge – und zu einer Aufgabe, die verlässliche Prozesse und einen systematischen Umgang mit Risiken voraussetzt.

(DEKOM, 08.12.2025) Mehr Infos hier…