Seit dem 1. Januar 2026 ist das NIS2-Umsetzungsgesetz in Deutschland endg\u00fcltig in Kraft. Doch w\u00e4hrend Bundesbeh\u00f6rden und KRITIS-Sektoren unter Hochdruck agieren, zeigt sich auf kommunaler Ebene ein widerspr\u00fcchliches Bild: Der IT-Planungsrat hat kommunale Verwaltungen nicht direkt in die NIS2-Pflicht genommen und damit eine Sicherheitsl\u00fccke in Kauf genommen. Angriffe auf St\u00e4dte wie Trier oder\u00a0S\u00fcdwestfalen\u00a0IT belegen jedoch, dass Cyberkriminelle keine regulatorischen Unterschiede machen. Wir sprechen mit Dr. Andreas Rebetzky, IT-Manager und erfahrenen Ex-CIO, dar\u00fcber, warum ein ISMS auf dem Papier oft keine operative Widerstandsf\u00e4higkeit garantiert und wie Kommunen trotz l\u00fcckenhafter Gesetzgebung handlungsf\u00e4hig bleiben.<\/p>\n\n\n\n
Herr Dr. Rebetzky, viele Verwaltungen verweisen heute stolz auf ISO-Zertifikate oder den BSI-Grundschutz. Warum bricht die operative Handlungsf\u00e4higkeit im Ernstfall trotzdem oft zusammen, obwohl man \u201eauf dem Papier\u201c formal gut aufgestellt ist?<\/strong><\/p>\n\n\n\n Rebetzky:<\/strong> ISO-Zertifikate und der BSI-Grundschutz sind wichtige Instrumente \u2013 aber sie sind in erster Linie Management- und Dokumentationsrahmen. Sie beschreiben, was getan werden soll, nicht automatisch wie gut es im Alltag gelebt wird. In vielen Verwaltungen entsteht ein tr\u00fcgerisches Sicherheitsgef\u00fchl: Man hat Prozesse beschrieben, Richtlinien verabschiedet und Audits bestanden. Im Ernstfall zeigt sich jedoch, dass Entscheidungswege unklar sind, Zust\u00e4ndigkeiten fehlen oder technische Ma\u00dfnahmen nicht aktuell sind. Operative Resilienz entsteht nicht durch Ordner, sondern durch ge\u00fcbte Abl\u00e4ufe, aktuelle Lagebilder und kontinuierliche \u00dcberpr\u00fcfung der Wirksamkeit. Genau diese Br\u00fccke zwischen Papier und Praxis fehlt h\u00e4ufig. Es ist eine fatale Lage: Die IT-Organisationen – gerade der Kommunen – sind zu klein, ob eine wirkungsvolle Abwehr gegen die modernen Cyber-Angriffsvektoren aufzubauen. Organisationen, die heute keine KI-basierten Abwehrsysteme aufbauen, sind hoffnungslos unterlegen und werden bei den n\u00e4chsten Angriffen erhebliche Sch\u00e4den erleben \u2013 bis zum Totalausfall.<\/p>\n\n\n\n Wir d\u00fcrfen uns heute die Hacker nicht mehr so vorstellen, dass sie manuell in unsere Systeme eindringen wollen. Vielmehr gibt es Angriffsarchitekten, die sich mit Hilfe von KI Angriffswaffen bauen und diese dann einsetzen. Dies wird in Zukunft noch wesentlich massiver.<\/p>\n\n\n\n Der IT-Planungsrat hat Kommunen von der direkten NIS2-Pflicht ausgenommen, unter anderem wegen fehlender Ressourcen. Erzeugt dieser Beschluss nicht ein fatales Signal der Entwarnung, w\u00e4hrend die Realit\u00e4t des \u201ekommunalen Notbetriebs\u201c eine ganz andere Sprache spricht?<\/strong><\/p>\n\n\n\n Rebetzky: <\/strong>Ja, dieses Signal ist problematisch. Die Ausnahme mag politisch gut gemeint sein, sie wird aber in der Praxis oft als Entwarnung missverstanden. Cyberangriffe richten sich nicht nach Zust\u00e4ndigkeiten oder Gesetzestexten, sondern nach Angriffsfl\u00e4chen. Der kommunale Notbetrieb \u2013 Meldewesen, Sozialleistungen, Schulen \u2013 ist hochattraktiv f\u00fcr Angreifer. Wenn Regulierung suggeriert, dass man \u201enicht betroffen\u201c sei, entsteht ein gef\u00e4hrlicher Zielkonflikt zwischen Tagesgesch\u00e4ft und Vorsorge. Die Realit\u00e4t zeigt: Kommunen sind l\u00e4ngst kritische Infrastruktur f\u00fcr das t\u00e4gliche Leben. Abhilfe w\u00e4re m\u00f6glich durch eine Zentralisierung und Professionalisierung der Cyber-Resilienz Ma\u00dfnahmen.<\/p>\n\n\n\n In der Fachwelt wird kritisiert, dass ohne NIS2-Zwang ein \u201eFlickenteppich\u201c entsteht, bei dem jede Kommune eigene Wege geht. Ist dieses Vorgehen im Ergebnis nicht deutlich teurer und riskanter f\u00fcr die Sicherheit der B\u00fcrgerdaten als eine einheitliche Regulierung?<\/strong><\/p>\n\n\n\n Rebetzky: <\/strong>Absolut. Ein Flickenteppich bedeutet Mehrkosten, doppelte Arbeit und inkonsistente Sicherheitsniveaus. Jede Kommune entwickelt eigene L\u00f6sungen, vergibt eigene Vertr\u00e4ge und definiert eigene Standards. Das ist ineffizient und erh\u00f6ht systemische Risiken \u2013 insbesondere bei interkommunaler Zusammenarbeit oder gemeinsamen Rechenzentren. Eine einheitliche Mindestregulierung w\u00e4re langfristig g\u00fcnstiger und sicherer, weil sie Skaleneffekte schafft und klare Erwartungen formuliert. Sicherheit ist kein Wettbewerbsvorteil, sondern eine Gemeinschaftsaufgabe.<\/p>\n\n\n\n Ein Kernaspekt f\u00fcr die \u00f6ffentliche Hand ist die \u201eDigitale Souver\u00e4nit\u00e4t\u201c. Warum ist die Herkunft der Sicherheitstechnologie (\u201eMade in Germany\u201c) gerade f\u00fcr Kommunen heute ein kritisches Kriterium, um versteckte Abh\u00e4ngigkeiten und Hintert\u00fcren zu vermeiden?<\/strong><\/p>\n\n\n\n Rebetzky: <\/strong>Kommunen tragen Verantwortung f\u00fcr besonders sch\u00fctzenswerte Daten. Die Herkunft von Sicherheitstechnologie entscheidet dar\u00fcber, welchem Rechtsraum, welchen Interessen und welchen Abh\u00e4ngigkeiten man sich aussetzt. L\u00f6sungen \u201eMade in Germany\u201c oder zumindest aus der EU unterliegen klaren Datenschutz- und Compliance-Regeln. Sie reduzieren das Risiko von versteckten Abh\u00e4ngigkeiten, Zugriffsm\u00f6glichkeiten durch Drittstaaten oder intransparenten Update-Mechanismen. Digitale Souver\u00e4nit\u00e4t bedeutet nicht Abschottung, sondern bewusste Kontrolle \u00fcber kritische Kernfunktionen.<\/p>\n\n\n\n Sie betonen h\u00e4ufig, dass Informationssicherheit eine F\u00fchrungsaufgabe ist. Wie kann ein B\u00fcrgermeister das Thema aus der IT-Nische in die aktive Verwaltungssteuerung holen, ohne selbst ein Techniker sein zu m\u00fcssen?<\/strong><\/p>\n\n\n\n Rebetzky: <\/strong>Indem er die richtigen Fragen stellt und klare Priorit\u00e4ten setzt. Informationssicherheit ist kein Technik-, sondern ein Risikomanagement-Thema. Ein B\u00fcrgermeister muss nicht wissen, wie ein Firewall-Regelwerk aussieht \u2013 aber er sollte wissen, welche Dienste bei einem Angriff ausfallen, wie lange der Notbetrieb dauert und welche Folgen das f\u00fcr B\u00fcrger und Verwaltung hat. Regelm\u00e4\u00dfige Lageberichte, Cyber-Risiken im Verwaltungsvorstand und klare Verantwortlichkeiten machen Sicherheit zu einem Steuerungsthema auf Augenh\u00f6he mit Finanzen und Personal.<\/p>\n\n\n\n Kommunale IT-Teams sind chronisch \u00fcberlastet. Wie gelingt in der Praxis der Schritt weg von manuellen Risiko-Listen hin zu einer automatisierten Abwehr, die \u2013 wie bei Enginsight \u2013 schon nach wenigen Minuten erste Ergebnisse liefert?<\/strong><\/p>\n\n\n\n Rebetzky: <\/strong>Der Schl\u00fcssel liegt in Automatisierung und Transparenz. Dies kann aufgrund der enormen Komplexit\u00e4t nur durch Konzentration der Kompetenzen erfolgen. Zu kleine, dezentrale IT-Teams werden scheitern. Die Rath\u00e4user sind nur kleine Burgen ohne nennenswerte Gegenwehr- und Abwehrm\u00f6glichkeiten. Die Nutzung moderner Plattformen zeigt innerhalb weniger Minuten eine realistische Sicht auf Angriffsfl\u00e4chen, Schwachstellen und Risiken \u2013 ohne monatelange Projekte. Statt Excel-Listen erh\u00e4lt die Verwaltung ein dynamisches Lagebild, das sich kontinuierlich aktualisiert. Es gibt L\u00f6sungen, die zeigen, dass Sicherheit nicht mehr zwangsl\u00e4ufig mehr Personal erfordert, sondern bessere Werkzeuge. Das entlastet IT-Teams und verschiebt den Fokus von Reaktion hin zu Pr\u00e4vention.<\/p>\n\n\n\n Fazit:<\/strong> Auch ohne formale NIS2-Pflicht k\u00f6nnen und m\u00fcssen Kommunen handeln. Cyberresilienz ist heute Teil der kommunalen Daseinsvorsorge \u2013 und damit Chefsache.<\/p>\n\n\n\n \u00dcber Andreas Rebetzky<\/p>\n\n\n\n Dr. Andreas Rebetzky ist IT-Strategieexperte, CEO der Syngain GmbH und Partner bei der taskforce AG. Der ehemalige CIO begleitet Organisationen bei der Absicherung kritischer Infrastrukturen und der Einf\u00fchrung moderner Sicherheitsarchitekturen. Er ist Pr\u00e4sidiumsmitglied von VOICE e. V. (Bundesverband der IT-Anwender) und setzt sich im Senat der Wirtschaft f\u00fcr die digitale Souver\u00e4nit\u00e4t Deutschlands ein. (DEKOM, 12.01.2026) BSI – Infos zur NIS2 Umsetzung hier\u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Seit dem 1. Januar 2026 ist das NIS2-Umsetzungsgesetz in Deutschland endg\u00fcltig in Kraft. Doch w\u00e4hrend Bundesbeh\u00f6rden und KRITIS-Sektoren unter Hochdruck agieren, zeigt sich auf kommunaler Ebene ein widerspr\u00fcchliches Bild: Der IT-Planungsrat hat kommunale Verwaltungen nicht direkt in die NIS2-Pflicht genommen und damit eine Sicherheitsl\u00fccke in Kauf genommen. Angriffe auf St\u00e4dte wie Trier oder\u00a0S\u00fcdwestfalen\u00a0IT belegen jedoch, […]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-8773","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/comments?post=8773"}],"version-history":[{"count":1,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8773\/revisions"}],"predecessor-version":[{"id":8774,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8773\/revisions\/8774"}],"wp:attachment":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/media?parent=8773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/categories?post=8773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/tags?post=8773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}