Zum Inhalt springen
Interview mit Eye Security

NIS2 ist da – jetzt zählt die Umsetzung

NIS2 ist in Kraft, doch die eigentliche Herausforderung beginnt jetzt: Prozesse, Meldefähigkeit und belastbare Nachweise. Warum besonders der Mittelstand auf hybride Sicherheitsmodelle setzen sollte – und wo die größten Lücken liegen.

Autor: Diana Künstler • 31.3.2026 • ca. 7:15 Min

Ashkan Vila, Eye Security
„Ehrlich: Ein 24/7-Eigenbetrieb mit Triage, Threat Hunting, Forensik und Meldefähigkeit ist für die meisten Mittelständler nicht wirtschaftlich“, sagt Ashkan Vila, Manager SOC DACH bei Eye Security.
© Eye Security

Mit der NIS2-Richtlinie ist Cybersicherheit endgültig zur Chefsache geworden. Viele Unternehmen haben ihre Betroffenheit geprüft und erste Strukturen geschaffen – doch im Alltag zeigt sich: Die operative Umsetzung entscheidet. Zwischen Meldefristen, Verantwortlichkeiten und technischen Maßnahmen klafft oft noch eine Lücke.

Besonders im Mittelstand wird deutlich, dass klassische Ansätze an ihre Grenzen stoßen. Ein eigenes 24/7-SOC ist selten wirtschaftlich darstellbar, während gleichzeitig regulatorische Anforderungen steigen. Gefragt sind deshalb pragmatische Modelle, die externe Expertise mit klarer interner Steuerung verbinden.

Im Interview mit Ashkan Vila, SOC-Manager von Eye Security, geht es um die zentralen Hebel für echte NIS2-Reife, typische Fehlannahmen aus dem SOC-Alltag – und darum, wie Unternehmen jetzt schnell handlungsfähig werden.

NIS2: Umsetzung statt Theorie

connect professional: Wie weit sind deutsche Unternehmen aktuell bei der Umsetzung der NIS2‑Richtlinie - und wie groß ist der tatsächliche Handlungsbedarf noch?

Ashkan Vila: Kurz gesprochen: Der rechtliche Rahmen steht, die betriebliche Umsetzung ist im Fluss. Viele Häuser haben ihre Betroffenheit geprüft, sich registriert und erste Strukturen aufgebaut. Die Spreizung ist allerdings groß - vom gut vorbereiteten Konzern bis zum Mittelständler, der erstmals reguliert ist und jetzt Prozesse und Belege nachzieht.

Der Handlungsbedarf ist vor allem operativ. Wer die 24‑Stunden‑Erstmeldung ernst nimmt, braucht klare Trigger, eine belastbare Erstbewertung und jemanden, der entscheiden darf. Neben dieser Meldefähigkeit zählen die „stillen“ Pflichtteile: Risikoregister, nachweisbare Maßnahmen, Lieferketten‑Kontrollen, Schulung und ein geübter Krisenablauf. Rollen, Taktung und Dokumentation sind nur Papiertiger, wenn vor allem die technischen Monitoringmaßnahmen unsauber implementiert und gepflegt sind.

Organisation und Technik: Wo Unternehmen jetzt kämpfen

connect professional: Wo sehen Sie die größten organisatorischen oder strukturellen Hürden?

Vila:

  1. Die erste Hürde ist Verantwortung: Sicherheit „gehört“ plötzlich nicht nur der IT, sondern auch der Geschäftsleitung. Das klingt selbstverständlich, verändert aber Entscheidungswege. Ohne benannte Rollen - CISO‑Funktion, Incident‑Manager, Compliance‑Lead - bleibt vieles Absichtserklärung.
  2. Zweite Hürde: Definitionen. Was ist bei uns ein „erheblicher Vorfall“? Welche Schwellen lösen die 24/72/30‑Kaskade aus? Wer darf wann eine Meldung absetzen? Diese Antworten müssen schriftlich vorliegen, geübt sein und im Zweifel nachts funktionieren.
  3. Dritte Hürde: Die Schnittstellen. Ein Vorfall berührt Finance (Zahlungsfreigaben, BEC), HR (Awareness, Schulungen), Legal/PR (Formulierungen, Haftung) und Einkauf (Lieferanten). Viele Unternehmen unterschätzen, wie sehr die Qualität der Zusammenarbeit über Geschwindigkeit und Güte der Meldung entscheidet.
  4. Vierte Hürde: Datenpflege und Nachweise. Angaben im BSI‑Portal – Kontaktstellen, öffentlich erreichbare IP‑Adressbereiche (falls vorhanden, z. B. eigene WAN‑/Housing‑Netze oder statisch zugewiesene Cloud‑Adressen) und Zuständigkeiten – sind laufend zu pflegen. Ohne festen Turnus und Owner driften Portal, Netzwerk‑Realität und Doku auseinander – ein klassischer Audit‑Fund.

connect professional: Welche konkreten Sicherheitsmaßnahmen oder technischen Anforderungen aus NIS2 sind in der Praxis am anspruchsvollsten?

Vila: Ganz vorn steht Identität. MFA‑Ausnahmen, „Legacy Authentication“, überprivilegierte Konten, Service Principals ohne Lebenszyklus – das alles öffnet Türen. Wer NIS‑2‑reif sein will, definiert klare Policies, schützt Break‑Glass‑Konten, führt Privileged‑Access‑Management ein und behandelt Identität als produktiven Service - mit Roadmap und Betreiber.

Den zweiten Block bildet Erkennung/Response: EDR/XDR entfaltet erst dann Wert, wenn Use‑Cases definiert sind, Alarme priorisiert werden, Automationen greifen und Runbooks geübt sind. Das Zielbild ist nicht „kein Alarm mehr“, sondern: wenige, dafür gut begründete Alarme, die zu konkreten Aktionen führen.

Drittens Telemetrie und Beweisführung. Ohne ausreichend lange Aufbewahrung und Zugriff auf die richtigen Audit‑Streams (Identity, Mail, Endpoint, kritische SaaS) lassen sich Vorfälle weder melden noch sauber aufarbeiten. Wer 180-365 Tage Logs verfügbar hat und die Zeitquellen vereinheitlicht, spart im Ernstfall Tage.

Dazu kommen Pflichtfelder, die gern liegen bleiben: DMARC‑Enforcement nach Staging, priorisiertes Patching an der Außenkante, segmentierte und getestete Backups (unveränderlich, offline/isoliert) sowie saubere Einbindung von Dritten in Monitoring und Meldeprozesse.

Ohne externe Unterstützung geht es kaum

connect professional: Wie realistisch ist eine Umsetzung aus eigener Kraft für mittelständische Unternehmen ohne eigenes SOC?

Vila: Ehrlich: Ein 24/7‑Eigenbetrieb mit Triage, Threat Hunting, Forensik und Meldefähigkeit ist für die meisten Mittelständler nicht wirtschaftlich. Es geht, aber die Opportunitätskosten sind hoch – Personal, Schichten, Nachwuchs und Vertretung binden dauerhaft Management‑Aufmerksamkeit.

Das realistische Modell ist hybrid. Externes MDR/SOC liefert die Rund‑um‑die‑Uhr‑Leistung - Alarme, Erstreaktion, forensische Erstbilder, Rufbereitschaft. Intern bleiben die Hebel, die Sie als Unternehmen steuern müssen: Richtlinien, Freigabeprozesse, Lieferkette, Awareness, die 24/72/30‑Entscheidung sowie die Nachweise. Diese Trennlinie hält die Verantwortung dort, wo sie hingehört, ohne das operative Rad neu zu erfinden.

Praktisch bewährt hat sich eine kleine, schlagkräftige Kernmannschaft: eine CISO‑Funktion (Teilzeit möglich), ein Incident‑Manager, der die Brücke zum Dienstleister hält, und eine Person mit Compliance‑/Dokumentationsfokus. Dazu ein klarer Eskalationspfad zur Geschäftsführung.

connect professional: Welche Rolle spielen Managed Security Services und externe Provider künftig im NIS2‑Umfeld?

Vila: Eine tragende – aber nur im Verbund mit klaren Verantwortlichkeiten im Unternehmen. Externe Services schließen Kapazitäts‑ und Kompetenzlücken, ohne die Steuerung aus der Hand zu nehmen. Für mich zählt weniger das Etikett als die Arbeitsweise: Kann der Partner unsere Prozesse aufnehmen, in unseren Takt finden und belastbare Ergebnisse liefern, die sich melden und auditieren lassen?

Worauf ich bei Auswahl und Vertrag ohne Markenbrille achte:

  • Erreichbarkeit & Zuständigkeit – eindeutige Kontaktwege, namentlich verantwortete Rollen statt anonymer Tickets.
  • Handlungsfähigkeit – klar definierte Erstmaßnahmen, die nicht am Vertragstext scheitern.
  • Evidenzqualität – Berichte, die eine 24/72/30‑Meldung tragen (Zeitleiste, Hypothesen, Maßnahmen, Dokumentation der Eingriffe).
  • Interoperabilität – herstellerneutrale Integration der vorhandenen Signale/Tools, keine Abhängigkeit von einem einzigen Stack.
  • Zusammenarbeit mit der Linie – gemeinsame Runbooks, sauber geregelte Eskalationspfade und ein respektvoller Umgang mit interner IT und bestehenden MSPs.
  • Transparenz & Reversibilität – nachvollziehbare Leistungen, klare Reaktions‑SLAs und vertraglich gesichert, dass Artefakte (Playbooks, Regeln, Berichte) beim Kunden verbleiben.
  • Weiterentwicklung statt Stillstand – regelmäßige Reviews mit konkreten Prioritäten; wenn nötig auch das klare „Nein“ zu Aktionen ohne Sicherheitsnutzen oder regulatorischer Anforderung.

Wenn diese Punkte erfüllt sind, entsteht ein Setup, das NIS‑2‑Pflichten pragmatisch unterstützt, operative Risiken senkt und zugleich unternehmerische Freiheit erhält - ohne dass man es im Alltag als „extern“ bemerkt.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+

Jetzt handeln: Die wichtigsten Maßnahmen und der Blick nach vorn

connect professional: Welche typischen Sicherheitsdefizite oder Fehlannahmen begegnen Ihnen besonders häufig?

Vila: Die meisten Vorfälle beginnen banal: eine Identitätslücke, ein zu liberaler E‑Mail‑Flow, ein Tool, das zwar eingeführt, aber nie wirklich betrieben wurde. Wenn es ernst wird, fehlt oft das, was NIS‑2 verlangt: belastbare Belege, klare Entscheidungswege und die Fähigkeit, in den ersten 24/72 Stunden saubere Aussagen zu treffen.

EDR/XDR installieren ist nicht betreiben. Ohne definierte Use‑Cases, Tuning, Triage‑Regeln und Automationen versanden Alarme. Dann wird die 24‑Stunden‑Frist zur Nervenprobe.

Auch Internet‑exponierte Systeme (Edge, Gateways, veröffentlichte Admin‑UIs) bleiben zu lange ungepatcht, weil Visibilität, Verantwortlichkeiten und Wartungsfenster fehlen oder unklar sind.

Zwar haben Unternehmen verstanden, dass Backups essenziell sind, aber fehlende Isolierung oder Immutabilität sowie Restore‑Tests die nie bis selten geübt - wirken entsprechend fatal bei Ransomware.

Und dann kommen noch die Klassiker unter den Fehlannahmen: „AV+Firewall reicht“, „wir sind zu klein und uninteressant“, „Cyberversicherung ersetzt Security“, usw. Dazu kann ich aus dem SOC-Alltag heraus nur sagen, dass solche Annahmen schlichtweg die Existenz des jeweiligen Unternehmens in Frage stellen.

connect professional: Hat NIS2 Cybersicherheit tatsächlich auf die Management‑Agenda gebracht?

Vila: Ja – und zwar verbindlich. Leitungspflichten, Nachweiskultur und spürbare Sanktionen sorgen dafür, dass Cybersicherheit regelmäßig im Vorstand oder in der Geschäftsführung landet. Der Effekt in der Praxis: Entscheidungen fallen schneller, Budgets lassen sich leichter begründen, und schwierige Maßnahmen – z. B. Abschaltungen von Legacy‑Protokollen - bekommen Rückendeckung.

Ich empfehle, die Management‑Ebene nicht mit Technik, sondern mit drei Bildern zu versorgen: (1) eine einfache Ampel zur Meldefähigkeit (heute/Trend), (2) ein kleines Set an Kennzahlen, die man versteht (z. B. Anteil MFA‑abgedeckter Konten, „Mean Time to First Decision“, Status Lieferketten‑Tiering), (3) eine klare Liste „Top 5 Blocker“ mit Verantwortlichkeiten und Terminen. Das ist verständlich, steuerbar und im Sinne von NIS‑2 prüfbar.

connect professional: Welche drei Maßnahmen sollten Unternehmen jetzt prioritär angehen, wenn sie noch nicht ausreichend vorbereitet sind?

Vila:

  1. Betroffenheit klären, registrieren, Governance verankern. Rollen schriftlich benennen (CISO‑Funktion, Incident‑Manager, Compliance‑Lead), Kontaktstellen hinterlegen, eine knappe NIS‑2‑Policy verabschieden. Das ist der organisatorische Rahmen.
  2. Meldefähigkeit binnen 24/72/30 sichern. Einen „NIS‑2‑Binder“ anlegen: Trigger‑Kriterien, Eskalationsmatrix, Vorlagen (Früh‑/Folge‑/Abschlussmeldung), Kontaktlisten (intern/extern), Kommunikationsleitfäden. Table‑Top‑Übung einplanen - lieber klein und realistisch als groß und einmalig.
  3. Die technische Baseline schließen. Lückenlose MFA, EDR im echten Response‑Betrieb, kritische Patches an der Außenkante, Backups mit Restore‑Drill. Das sind Maßnahmen, die Risiko tatsächlich senken - unabhängig von Branche und Größe.

connect professional: Inwiefern verändert NIS2 die Nachfrage nach Security‑Services wie Managed Detection & Response oder XDR?

Vila: Die Nachfrage steigt deutlich – und sie wird erwachsener. Früher ging es oft um Tooling. Heute fragen Unternehmen nach Betrieb, Nachweisfähigkeit und konkreter Unterstützung im Meldeprozess. MDR/XDR wird zum Mittel, um 24/7‑Fähigkeit, forensische Erstunterstützung und evidenzbasierte Berichterstattung aus einer Hand zu bekommen.

Wichtig bleibt die Rollenklärung: Der Dienstleister triagiert und reagiert, das Unternehmen entscheidet und meldet. Gute Services akzeptieren diese Grenze und liefern Artefakte, die in Audits bestehen - nicht nur Tickets, sondern auch saubere Zusammenfassungen, IOCs, Zeitleisten und Handlungsanweisungen.

connect professional: Wie schätzen Sie die weitere Entwicklung der Cyberbedrohungslage für europäische Unternehmen in den kommenden Jahren ein auch im Kontext zunehmender Regulierung?

Vila: Ich erwarte keine Dramaturgie‑Pause. Identitätsangriffe als auch Ransomware/Extortion bleiben prägend; Angriffe auf Lieferketten nehmen weiter zu. Die Cloud‑ und SaaS‑Angriffsfläche wächst schneller als klassische Perimeter schrumpfen.

Und in unserem Eye Security Trendreport 2026 sehen wir allerdings auch weiterhin die klassischen Angriffsvektoren wie z.B. BECs die Charts dominieren.

Regulierung wirkt wie ein Metronom: Sie erhöht Transparenz und Reaktionsdruck, beschleunigt Lernkurven und macht Resilienz messbar. Das senkt nicht automatisch die Zahl der Angriffe, wohl aber deren Wirkung. Besonders dann, wenn Unternehmen sich einen erfahrenen Partner zur Seite holen.

Mehr passende Artikel
Firmengründer Jerry J. Artishdad hat Artec IT Solutions in drei Jahrzehnten zum Archivierungsspezialisten weiterentwickelt
Lösungen „Made & Hosted in Germany“ Vom Computergeschäft zum Archivierungsspezialisten
Gesetzeslücke
EU-Pläne gefährden einheitliche KI-Regeln AI Act: TÜV-Kritik an Regulierungslücke
Enrico Feil, Sysob
Enrico Feil neuer Channel Account Manager Sysob verstärkt Vertrieb für MFA-Lösungen
Swissbit iShield Key 2 Pro Mifare, Test März 2026
Ein Schlüssel für alles Swissbit iShield Key 2 Pro Mifare im Test
Island AI Browser
Plattform für sichere KI-Nutzung Island macht KI im Unternehmen steuerbar
Weiter zur Startseite