Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes im Dezember 2025 steht Deutschland vor einer digitalen Z\u00e4sur. W\u00e4hrend das Gesetz f\u00fcr Stadtwerke und Krankenh\u00e4user strenge Compliance-Vorgaben und Haftungsregeln festschreibt, bleibt die kommunale Kernverwaltung in der aktuellen Umsetzung weitgehend au\u00dfen vor. F\u00fcr viele Kommunen stellt sich damit eine existenzielle Frage: Ist die Cybersicherheit im Rathaus ein rein regulatorisches Pflichtprogramm oder eine fundamentale Aufgabe der staatlichen Handlungsf\u00e4higkeit? In einer Zeit, in der Ransomware-Angriffe auf Verwaltungen zunehmen, wird die formale Ausnahme von NIS2 zum Pr\u00fcfstein f\u00fcr die strategische Weitsicht der Verantwortlichen. Es geht l\u00e4ngst nicht mehr nur um technische Schutzw\u00e4lle, sondern um das Vertrauen der B\u00fcrger in die Sicherheit ihrer sensibelsten Daten und die Kontinuit\u00e4t \u00f6ffentlicher Leistungen. Christoph Gro\u00dfwardt, Gesch\u00e4ftsf\u00fchrer von cogniport, begleitet Kommunen bei diesem Transformationsprozess. Im Gespr\u00e4ch mit DEKOM erl\u00e4utert er, warum NIS2 trotz der Ausnahmeregelungen als unverzichtbarer Katalysator f\u00fcr eine neue Sicherheitskultur in deutschen Amtsstuben dienen kann und warum Investitionen in Cyber-Resilienz heute zu einer verantwortungsvollen Haushaltsf\u00fchrung geh\u00f6ren.<\/p>\n\n\n\n
DEKOM: Mit der Einf\u00fchrung von NIS2 entsteht eine absurde Situation: Das kommunale Stadtwerk oder Krankenhaus muss strengste EU-Sicherheitsvorgaben erf\u00fcllen, das Rathaus nebenan f\u00e4llt oft durchs Raster und bleibt au\u00dfen vor. Wie bewerten Sie diesen regulatorischen Flickenteppich?<\/strong><\/p>\n\n\n\n Gro\u00dfwardt:<\/strong> Mit der NIS2-Richtlinie entsteht in der Tat ein uneinheitliches Bild, das man aber nicht nur kritisch, sondern auch konstruktiv betrachten kann. Zwar fallen nicht alle kommunalen Einrichtungen formal unter die gleichen Vorgaben, doch genau darin liegt auch eine Chance: NIS2 setzt einen klaren Referenzrahmen daf\u00fcr, was heute als \u201eStand der Technik\u201c in der Cybersicherheit gilt und dies unabh\u00e4ngig von einer unmittelbaren Regulierungspflicht.<\/p>\n\n\n\n F\u00fcr Verwaltungen, die nicht direkt erfasst sind, kann NIS2 als Orientierung und Impuls dienen, die eigene Sicherheitsarchitektur zu \u00fcberpr\u00fcfen und weiterzuentwickeln. Denn Cyberrisiken unterscheiden nicht zwischen Stadtwerk, Krankenhaus oder Rathaus. Wer die Anforderungen fr\u00fchzeitig freiwillig aufgreift, erh\u00f6ht nicht nur die eigene Resilienz, sondern st\u00e4rkt auch das Sicherheitsniveau im gesamten kommunalen Verbund.<\/p>\n\n\n\n Statt eines reinen Flickenteppichs l\u00e4sst sich NIS2 daher auch als Katalysator verstehen. Regulierte Einrichtungen gehen voran, schaffen Erfahrungswerte und Strukturen, von denen andere \u00f6ffentliche Akteure profitieren k\u00f6nnen. Entscheidend ist, dass Cybersicherheit nicht ausschlie\u00dflich als Pflichtaufgabe verstanden wird, sondern als strategische Investition in Handlungsf\u00e4higkeit, Vertrauen und Kontinuit\u00e4t staatlichen Handelns.<\/p>\n\n\n\n DEKOM: Egal was im Gesetz steht \u2013 IT-Sicherheit muss unabh\u00e4ngig davon gew\u00e4hrleistet sein. Doch in der Praxis flie\u00dft das Budget meist dorthin, wo der Gesetzgeber droht. Wie erkl\u00e4ren Sie einem K\u00e4mmerer, dass er in Cyber-Resilienz investieren muss, obwohl ihn NIS2 gar nicht direkt dazu zwingt?<\/strong><\/p>\n\n\n\n Gro\u00dfwardt:<\/strong> Ich erkl\u00e4re dies weniger \u00fcber Paragrafen, sondern \u00fcber Risiko, Verantwortung und Wirtschaftlichkeit. Die entscheidende Frage ist nicht, ob NIS2 formell gilt, sondern was passiert, wenn ein Cybervorfall eintritt. Ein erfolgreicher Angriff kann Verwaltungsleistungen lahmlegen, sensible B\u00fcrgerdaten kompromittieren und hohe Folgekosten verursachen. Von der Wiederherstellung \u00fcber Haftungsfragen bis hin zu massivem Vertrauensverlust. Diese Kosten \u00fcbersteigen in der Regel deutlich die Investitionen, die f\u00fcr Pr\u00e4vention und Resilienz notwendig w\u00e4ren.<\/p>\n\n\n\n Hinzu kommt: Cyber-Resilienz ist keine \u201eIT-Ausgabe\u201c, sondern Teil der kommunalen Daseinsvorsorge. Verwaltung, Meldewesen, Zahlungsverkehr oder Einsatzkoordination m\u00fcssen auch im Krisenfall funktionieren. Wer hier vorsorgt, investiert in die Handlungsf\u00e4higkeit der Kommune. Dies ist \u00e4hnlich wie beim Brandschutz oder bei der Notstromversorgung, die ja auch nicht nur dort umgesetzt werden, wo es eine akute gesetzliche Pflicht gibt.<\/p>\n\n\n\n Schlie\u00dflich bietet NIS2 auch eine \u00f6konomische Orientierungshilfe. Die dort formulierten Anforderungen helfen, Investitionen zu priorisieren und planbar zu machen, statt ad hoc auf Vorf\u00e4lle zu reagieren. F\u00fcr einen K\u00e4mmerer bedeutet das: planbare, gestufte Ausgaben heute statt unkalkulierbarer Sch\u00e4den morgen. Cyber-Resilienz ist damit kein freiwilliger Luxus, sondern solides Risikomanagement und verantwortungsvolle Haushaltsf\u00fchrung.<\/p>\n\n\n\n DEKOM: B\u00fcrgerdaten im Einwohnermeldeamt oder Sozialamt sind oft sensibler als die Daten vieler Wirtschaftsunternehmen. Ist es aus Ihrer Sicht nicht fahrl\u00e4ssig, wenn der Schutz dieser Daten vom Zufall abh\u00e4ngt, ob eine Beh\u00f6rde gerade unter eine EU-Richtlinie f\u00e4llt oder nicht?<\/strong><\/p>\n\n\n\n Gro\u00dfwardt: <\/strong>Die Sensibilit\u00e4t der Daten steht au\u00dfer Frage und gerade deshalb sollte man den Blick etwas weiten. Es w\u00e4re zu kurz gegriffen, den Schutz hochsensibler B\u00fcrgerdaten allein an der formalen Anwendbarkeit einer EU-Richtlinie festzumachen. Datenschutz, Informationssicherheit und staatliche Verantwortung bestehen unabh\u00e4ngig davon, ob eine Beh\u00f6rde explizit unter NIS2 f\u00e4llt.<\/p>\n\n\n\n Gleichzeitig zeigt NIS2 sehr deutlich, welches Schutzniveau heute als angemessen gilt. Das ist weniger ein Zufallsfaktor als ein Orientierungsma\u00dfstab. Verwaltungen, die nicht direkt erfasst sind, k\u00f6nnen und sollten diese Ma\u00dfst\u00e4be freiwillig \u00fcbernehmen, gerade weil sie mit besonders schutzw\u00fcrdigen Daten arbeiten. In der \u00f6ffentlichen Verwaltung geht es um weit mehr als wirtschaftliche Sch\u00e4den. Denn wenn kommunale Strukturen durch Cyberangriffe lahmgelegt werden, gef\u00e4hrdet das nicht nur das Vertrauen der B\u00fcrgerinnen und B\u00fcrger, sondern im Kern auch die Funktionsf\u00e4higkeit unserer Demokratie.<\/p>\n\n\n\n Statt von Fahrl\u00e4ssigkeit zu sprechen, zeigt die aktuelle Situation vor allem einen klaren Handlungsauftrag: Der Gesetzgeber setzt Impulse \u00fcber ausgew\u00e4hlte Sektoren, die Verwaltung insgesamt ist jedoch gut beraten, daraus allgemeine Sicherheitsstandards abzuleiten. Der Schutz von B\u00fcrgerdaten darf kein Nebenprodukt regulatorischer Zust\u00e4ndigkeiten sein, sondern muss als selbstverst\u00e4ndlicher Teil verantwortungsvoller Verwaltungsf\u00fchrung verstanden werden.<\/p>\n\n\n\n DEKOM: Technik ist das eine, aber NIS2 fordert explizit auch Ma\u00dfnahmen im Risikomanagement und in der Lieferkette. Als Bildungspartner f\u00fcr Kommunen wissen Sie, dass die Schwachstelle oft vor dem Bildschirm sitzt. Reicht es, wenn Kommunen jetzt Firewalls hochziehen, oder brauchen wir eine ganz andere Sicherheitskultur in den Amtsstuben?<\/strong><\/p>\n\n\n\n Gro\u00dfwardt: <\/strong>Technik allein reicht l\u00e4ngst nicht mehr aus. Firewalls, Antivirus oder Netzwerksegmentierung sind wichtige Grundlagen. Aber sie greifen zu kurz, wenn die menschliche Komponente nicht aktiv mitgestaltet wird. Die NIS2-Richtlinie macht das sehr deutlich: Es geht nicht nur um Systeme, sondern um ein ganzheitliches Risikomanagement, das organisatorische Prozesse, Lieferketten und das Verhalten der Mitarbeitenden einbezieht.<\/p>\n\n\n\n In der Praxis zeigt sich, dass die Mitarbeitenden zentrale Akteure f\u00fcr die Cyber-Resilienz sind. Digitale Werkzeuge k\u00f6nnen zwar Risiken bergen, sollten aber nicht verteufelt werden. Vielmehr k\u00f6nnen sie ein wertvoller Bestandteil effizienter Verwaltungsarbeit sein, wenn die Mitarbeitenden ausreichend informiert sind, wie sie diese Tools sicher und verantwortungsvoll einsetzen. Wer dieses Potenzial gezielt unterst\u00fctzt und begleitet, macht technische Schutzma\u00dfnahmen erst richtig wirksam.<\/p>\n\n\n\n Deshalb brauchen Kommunen nicht nur Technik, sondern vor allem eine Sicherheitskultur in den \u00c4mtern: Awareness-Programme, klare Verantwortlichkeiten, regelm\u00e4\u00dfige \u00dcbungen und eine offene Lernkultur, in der Risiken angesprochen, bewertet und gemeinsam gemanagt werden. Wenn Mitarbeitende verstehen, dass Cyber-Sicherheit Teil ihrer t\u00e4glichen Arbeit ist und dass ihr Handeln direkte Auswirkungen auf die Funktionsf\u00e4higkeit der Verwaltung und das Vertrauen der B\u00fcrger hat, wird dies zum Gemeinschaftserfolg. (DEKOM, 26.01.2026) Mehr Infos hier\u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes im Dezember 2025 steht Deutschland vor einer digitalen Z\u00e4sur. W\u00e4hrend das Gesetz f\u00fcr Stadtwerke und Krankenh\u00e4user strenge Compliance-Vorgaben und Haftungsregeln festschreibt, bleibt die kommunale Kernverwaltung in der aktuellen Umsetzung weitgehend au\u00dfen vor. F\u00fcr viele Kommunen stellt sich damit eine existenzielle Frage: Ist die Cybersicherheit im Rathaus ein rein regulatorisches Pflichtprogramm […]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-8810","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/comments?post=8810"}],"version-history":[{"count":4,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8810\/revisions"}],"predecessor-version":[{"id":8825,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/8810\/revisions\/8825"}],"wp:attachment":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/media?parent=8810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/categories?post=8810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/tags?post=8810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}