Cybersicherheit zwischen Gesetz und Daseinsvorsorge
Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes im Dezember 2025 steht Deutschland vor einer digitalen Zäsur. Während das Gesetz für Stadtwerke und Krankenhäuser strenge Compliance-Vorgaben und Haftungsregeln festschreibt, bleibt die kommunale Kernverwaltung in der aktuellen Umsetzung weitgehend außen vor. Für viele Kommunen stellt sich damit eine existenzielle Frage: Ist die Cybersicherheit im Rathaus ein rein regulatorisches Pflichtprogramm oder eine fundamentale Aufgabe der staatlichen Handlungsfähigkeit? In einer Zeit, in der Ransomware-Angriffe auf Verwaltungen zunehmen, wird die formale Ausnahme von NIS2 zum Prüfstein für die strategische Weitsicht der Verantwortlichen. Es geht längst nicht mehr nur um technische Schutzwälle, sondern um das Vertrauen der Bürger in die Sicherheit ihrer sensibelsten Daten und die Kontinuität öffentlicher Leistungen. Christoph Großwardt, Geschäftsführer von cogniport, begleitet Kommunen bei diesem Transformationsprozess. Im Gespräch mit DEKOM erläutert er, warum NIS2 trotz der Ausnahmeregelungen als unverzichtbarer Katalysator für eine neue Sicherheitskultur in deutschen Amtsstuben dienen kann und warum Investitionen in Cyber-Resilienz heute zu einer verantwortungsvollen Haushaltsführung gehören.
DEKOM: Mit der Einführung von NIS2 entsteht eine absurde Situation: Das kommunale Stadtwerk oder Krankenhaus muss strengste EU-Sicherheitsvorgaben erfüllen, das Rathaus nebenan fällt oft durchs Raster und bleibt außen vor. Wie bewerten Sie diesen regulatorischen Flickenteppich?
Großwardt: Mit der NIS2-Richtlinie entsteht in der Tat ein uneinheitliches Bild, das man aber nicht nur kritisch, sondern auch konstruktiv betrachten kann. Zwar fallen nicht alle kommunalen Einrichtungen formal unter die gleichen Vorgaben, doch genau darin liegt auch eine Chance: NIS2 setzt einen klaren Referenzrahmen dafür, was heute als „Stand der Technik“ in der Cybersicherheit gilt und dies unabhängig von einer unmittelbaren Regulierungspflicht.
Für Verwaltungen, die nicht direkt erfasst sind, kann NIS2 als Orientierung und Impuls dienen, die eigene Sicherheitsarchitektur zu überprüfen und weiterzuentwickeln. Denn Cyberrisiken unterscheiden nicht zwischen Stadtwerk, Krankenhaus oder Rathaus. Wer die Anforderungen frühzeitig freiwillig aufgreift, erhöht nicht nur die eigene Resilienz, sondern stärkt auch das Sicherheitsniveau im gesamten kommunalen Verbund.
Statt eines reinen Flickenteppichs lässt sich NIS2 daher auch als Katalysator verstehen. Regulierte Einrichtungen gehen voran, schaffen Erfahrungswerte und Strukturen, von denen andere öffentliche Akteure profitieren können. Entscheidend ist, dass Cybersicherheit nicht ausschließlich als Pflichtaufgabe verstanden wird, sondern als strategische Investition in Handlungsfähigkeit, Vertrauen und Kontinuität staatlichen Handelns.
DEKOM: Egal was im Gesetz steht – IT-Sicherheit muss unabhängig davon gewährleistet sein. Doch in der Praxis fließt das Budget meist dorthin, wo der Gesetzgeber droht. Wie erklären Sie einem Kämmerer, dass er in Cyber-Resilienz investieren muss, obwohl ihn NIS2 gar nicht direkt dazu zwingt?
Großwardt: Ich erkläre dies weniger über Paragrafen, sondern über Risiko, Verantwortung und Wirtschaftlichkeit. Die entscheidende Frage ist nicht, ob NIS2 formell gilt, sondern was passiert, wenn ein Cybervorfall eintritt. Ein erfolgreicher Angriff kann Verwaltungsleistungen lahmlegen, sensible Bürgerdaten kompromittieren und hohe Folgekosten verursachen. Von der Wiederherstellung über Haftungsfragen bis hin zu massivem Vertrauensverlust. Diese Kosten übersteigen in der Regel deutlich die Investitionen, die für Prävention und Resilienz notwendig wären.
Hinzu kommt: Cyber-Resilienz ist keine „IT-Ausgabe“, sondern Teil der kommunalen Daseinsvorsorge. Verwaltung, Meldewesen, Zahlungsverkehr oder Einsatzkoordination müssen auch im Krisenfall funktionieren. Wer hier vorsorgt, investiert in die Handlungsfähigkeit der Kommune. Dies ist ähnlich wie beim Brandschutz oder bei der Notstromversorgung, die ja auch nicht nur dort umgesetzt werden, wo es eine akute gesetzliche Pflicht gibt.
Schließlich bietet NIS2 auch eine ökonomische Orientierungshilfe. Die dort formulierten Anforderungen helfen, Investitionen zu priorisieren und planbar zu machen, statt ad hoc auf Vorfälle zu reagieren. Für einen Kämmerer bedeutet das: planbare, gestufte Ausgaben heute statt unkalkulierbarer Schäden morgen. Cyber-Resilienz ist damit kein freiwilliger Luxus, sondern solides Risikomanagement und verantwortungsvolle Haushaltsführung.
DEKOM: Bürgerdaten im Einwohnermeldeamt oder Sozialamt sind oft sensibler als die Daten vieler Wirtschaftsunternehmen. Ist es aus Ihrer Sicht nicht fahrlässig, wenn der Schutz dieser Daten vom Zufall abhängt, ob eine Behörde gerade unter eine EU-Richtlinie fällt oder nicht?
Großwardt: Die Sensibilität der Daten steht außer Frage und gerade deshalb sollte man den Blick etwas weiten. Es wäre zu kurz gegriffen, den Schutz hochsensibler Bürgerdaten allein an der formalen Anwendbarkeit einer EU-Richtlinie festzumachen. Datenschutz, Informationssicherheit und staatliche Verantwortung bestehen unabhängig davon, ob eine Behörde explizit unter NIS2 fällt.
Gleichzeitig zeigt NIS2 sehr deutlich, welches Schutzniveau heute als angemessen gilt. Das ist weniger ein Zufallsfaktor als ein Orientierungsmaßstab. Verwaltungen, die nicht direkt erfasst sind, können und sollten diese Maßstäbe freiwillig übernehmen, gerade weil sie mit besonders schutzwürdigen Daten arbeiten. In der öffentlichen Verwaltung geht es um weit mehr als wirtschaftliche Schäden. Denn wenn kommunale Strukturen durch Cyberangriffe lahmgelegt werden, gefährdet das nicht nur das Vertrauen der Bürgerinnen und Bürger, sondern im Kern auch die Funktionsfähigkeit unserer Demokratie.
Statt von Fahrlässigkeit zu sprechen, zeigt die aktuelle Situation vor allem einen klaren Handlungsauftrag: Der Gesetzgeber setzt Impulse über ausgewählte Sektoren, die Verwaltung insgesamt ist jedoch gut beraten, daraus allgemeine Sicherheitsstandards abzuleiten. Der Schutz von Bürgerdaten darf kein Nebenprodukt regulatorischer Zuständigkeiten sein, sondern muss als selbstverständlicher Teil verantwortungsvoller Verwaltungsführung verstanden werden.
DEKOM: Technik ist das eine, aber NIS2 fordert explizit auch Maßnahmen im Risikomanagement und in der Lieferkette. Als Bildungspartner für Kommunen wissen Sie, dass die Schwachstelle oft vor dem Bildschirm sitzt. Reicht es, wenn Kommunen jetzt Firewalls hochziehen, oder brauchen wir eine ganz andere Sicherheitskultur in den Amtsstuben?
Großwardt: Technik allein reicht längst nicht mehr aus. Firewalls, Antivirus oder Netzwerksegmentierung sind wichtige Grundlagen. Aber sie greifen zu kurz, wenn die menschliche Komponente nicht aktiv mitgestaltet wird. Die NIS2-Richtlinie macht das sehr deutlich: Es geht nicht nur um Systeme, sondern um ein ganzheitliches Risikomanagement, das organisatorische Prozesse, Lieferketten und das Verhalten der Mitarbeitenden einbezieht.
In der Praxis zeigt sich, dass die Mitarbeitenden zentrale Akteure für die Cyber-Resilienz sind. Digitale Werkzeuge können zwar Risiken bergen, sollten aber nicht verteufelt werden. Vielmehr können sie ein wertvoller Bestandteil effizienter Verwaltungsarbeit sein, wenn die Mitarbeitenden ausreichend informiert sind, wie sie diese Tools sicher und verantwortungsvoll einsetzen. Wer dieses Potenzial gezielt unterstützt und begleitet, macht technische Schutzmaßnahmen erst richtig wirksam.
Deshalb brauchen Kommunen nicht nur Technik, sondern vor allem eine Sicherheitskultur in den Ämtern: Awareness-Programme, klare Verantwortlichkeiten, regelmäßige Übungen und eine offene Lernkultur, in der Risiken angesprochen, bewertet und gemeinsam gemanagt werden. Wenn Mitarbeitende verstehen, dass Cyber-Sicherheit Teil ihrer täglichen Arbeit ist und dass ihr Handeln direkte Auswirkungen auf die Funktionsfähigkeit der Verwaltung und das Vertrauen der Bürger hat, wird dies zum Gemeinschaftserfolg. (DEKOM, 26.01.2026) Mehr Infos hier…
