NIS2 bringt viele Organisationen in eine vertraute Komfortzone: Anforderungen lesen, Maßnahmen ableiten, Dokumente erstellen, Checklisten abhaken. Das fühlt sich nach Fortschritt an – und ein Teil davon ist auch wirklich notwendig. Trotzdem gibt es ein Problem, das in der Praxis häufig erst dann sichtbar wird, wenn es ernst wird: „Compliant“ heißt nicht automatisch „resilient“.
Compliance beantwortet primär die Frage: „Haben wir Anforderungen umgesetzt?“ Resilienz beantwortet eine andere Frage: „Können wir Störungen aushalten, schnell reagieren und den Betrieb stabil wiederherstellen – und zwar unter Stress, mit echten Abhängigkeiten und begrenzten Ressourcen?“ Zwischen beiden liegt eine Lücke, die Sie nicht mit noch mehr Papier schließen, sondern nur mit funktionierenden Abläufen.
