{"id":17233,"date":"2026-05-11T10:54:36","date_gmt":"2026-05-11T08:54:36","guid":{"rendered":"https:\/\/limessecurity.com\/?p=17233"},"modified":"2026-05-11T11:07:11","modified_gmt":"2026-05-11T09:07:11","slug":"nis2-zwischen-vorstand-und-shopfloor","status":"publish","type":"post","link":"https:\/\/limessecurity.com\/de\/nis2-zwischen-vorstand-und-shopfloor\/","title":{"rendered":"NIS2 & Co. zwischen Vorstand und Shopfloor – wo Cyber Security wirklich entsteht!"},"content":{"rendered":"[vc_row type=“in_container“ full_screen_row_position=“middle“ column_margin=“default“ column_direction=“default“ column_direction_tablet=“default“ column_direction_phone=“default“ scene_position=“center“ text_color=“dark“ text_align=“left“ row_border_radius=“none“ row_border_radius_applies=“bg“ row_position_desktop=“default“ row_position_tablet=“inherit“ row_position_phone=“inherit“ overflow=“visible“ overlay_strength=“0.3″ gradient_direction=“left_to_right“ shape_divider_position=“bottom“ bg_image_animation=“none“][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ flex_gap_desktop=“10px“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“default“ tablet_text_alignment=“default“ phone_text_alignment=“default“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ column_position=“default“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“1\/2″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“][vc_column_text css=““ text_direction=“default“]Sp\u00e4testens mit der verpflichtenden Umsetzung der NIS2-Richtlinie<\/a> ist das Thema Cyber Security nun endg\u00fcltig in den Vorstandsetagen angekommen. In Artikel 20 der europ\u00e4ischen Richtlinie wird klar festgelegt, dass Leitungsorgane f\u00fcr die Umsetzung der vorgeschriebenen Sicherheitsma\u00dfnahmen verantwortlich sind. Das schafft einerseits Awareness an entscheidenden Stellen, birgt aber auch das Risiko, dass Cybersicherheit zum Compliance-Thema verkommt \u2013 womit auch der Kern des Problems freigelegt w\u00e4re: ein Zertifikat an der Wand alleine, hat bisher noch keinen Hacker gestoppt!<\/strong>[\/vc_column_text][\/vc_column][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ flex_gap_desktop=“10px“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“default“ tablet_text_alignment=“default“ phone_text_alignment=“default“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ column_position=“default“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“1\/2″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“][image_with_animation image_url=“17256″ image_size=“full“ max_width=“100%“ max_width_mobile=“default“ animation_type=“entrance“ animation=“None“ animation_movement_type=“transform_y“ hover_animation=“none“ alignment=““ border_radius=“none“ box_shadow=“none“ image_loading=“default“][\/vc_column][\/vc_row][vc_row type=“in_container“ full_screen_row_position=“middle“ column_margin=“default“ column_direction=“default“ column_direction_tablet=“default“ column_direction_phone=“default“ scene_position=“center“ text_color=“dark“ text_align=“left“ row_border_radius=“none“ row_border_radius_applies=“bg“ row_position_desktop=“default“ row_position_tablet=“inherit“ row_position_phone=“inherit“ overflow=“visible“ overlay_strength=“0.3″ gradient_direction=“left_to_right“ shape_divider_position=“bottom“ bg_image_animation=“none“][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ flex_gap_desktop=“10px“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“default“ tablet_text_alignment=“default“ phone_text_alignment=“default“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ column_position=“default“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“1\/1″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“][vc_column_text css=““ text_direction=“default“]Prozesse, Technik, Menschen! Ganzheitliche Security funktioniert nach unserem Verst\u00e4ndnis nur im effizienten Zusammenspiel dieser drei Faktoren. In unseren t\u00e4glichen Beratungs- und Pentesting Projekten<\/a> zeigt sich allerdings immer \u00f6fter, dass der Fokus in den Unternehmen sehr stark auf den Prozessen, oder auch Policies, liegt und der technische und menschliche Aspekt oftmals vernachl\u00e4ssigt werden.<\/p>\n

Policy und Shopfloor Lost in Translation, oder: ein Klassiker aus der OT<\/strong><\/p>\n

Um den nationalen, rechtlichen Vorgaben (z.B. NISG 2026 in \u00d6sterreich)<\/a> nachzukommen und empfindliche Strafen zu vermeiden, bedarf es nat\u00fcrlich der theoretischen Aufarbeitung der NIS-2 Themen. Allerdings sollten derartige Regularien auch nicht zum Selbstzweck verkommen, sondern als eine weitere Chance gesehen werden, die eigene Cyberresilienz zu st\u00e4rken und zukunftsfit aufzutreten. Ein Blick in die Realit\u00e4t zeichnet allerdings oft ein anderes Bild.<\/p>\n

Werfen wir einen Blick auf ein klassisches Szenario aus der OT-Welt: Unser Beispielunternehmen verf\u00fcgt l\u00f6blicherweise seit Kurzem \u00fcber ein brandneues Secure Network Concept zur Erreichung der NIS2-Compliance. Dieses besch\u00e4ftigt sich mit Themen wie „Netzwerkzonierung\u201d, \u201cMikrosegmentierung“ und „Zero Trust“ mit zus\u00e4tzlicher Monitoring- und Logging-Funktionalit\u00e4t. Was auf dem Papier logisch und nachvollziehbar klingt, stellt den OT-Ingenieur allerdings vor nahezu un\u00fcberwindbare Herausforderungen: eine historisch gewachsene Infrastruktur mit Jahrzehnte alten Steuerungen, Legacy Protokollen und Betriebssystemen, deren Sicherheitsupdates m\u00f6glicherweise zeitnah abgek\u00fcndigt werden, passen einfach nicht in dieses neue Konzept. Der Ingenieur steht nun vor der Herausforderung, ein hochmodernes IT-Security-Konzept auf seine Anlagen zu \u00fcbersetzen, die einerseits daf\u00fcr nicht gebaut wurden und bei denen andererseits die Anlagenverf\u00fcgbarkeit oberste Priorit\u00e4t hat. Wenn hier das spezifische Cyber Security Integrations-Know-how fehlt und jeglicher Eingriff das Risiko birgt, die Produktion zum Stillstand zu bringen, ist die Gefahr gro\u00df, dass die m\u00fchsam erarbeitete und erkaufte Policy zum Blattwerk ohne Wirkung verkommt und die Anlage weiterhin ungesch\u00fctzt bleibt.<\/p>\n

Angriffsvektor Mensch oder Technik?<\/strong><\/p>\n

Lt. einer Studie beginnen mehr als \u00a060 % aller Cyberangriffe durch Phishing (siehe Enisa Threat Landscape, Oktober 2025<\/a>)\u00a0 oder Social Engineering! Bedeutet, dass der h\u00e4ufigste Angriffsvektor der Mensch selber ist. Man k\u00f6nnte also meinen, dass Awareness zu schaffen viel wichtiger sei, als technische Ma\u00dfnahmen zu realisieren. Zu dieser These sagen wir ganz klar: JEIN. Denn, w\u00e4hrend der initiale Angriff oft durch menschliches \u201eFehlverhalten\u201c eingeleitet wird, passiert die unkontrollierte Ausbreitung im Netzwerk eindeutig auf technischer Basis. Wenn ein Mitarbeiter also auf eine gut gemachte Phishing-Mail klickt und dem Angreifer damit unbeabsichtigt sein Passwort \u00fcbergibt, dann ist das \u00e4rgerlich. Ein gestohlenes Passwort alleine legt aber im Normalfall noch keine Industrieanlage lahm. Das passiert erst dann, wenn die technische Basis keinen Widerstand leistet.<\/p>\n

Der OT Cybersecurity Year in Review<\/em>\u00a0 Report von Dragos untermauert dies j\u00e4hrlich und zeigt folgende Muster auf: Angreifer nutzen (z.B. durch Phishing) kompromittierte VPN-Zug\u00e4nge externer Wartungsdienstleister und k\u00f6nnen sich dann ungehindert durch unsichere Schnittstellen zwischen IT- und OT-Netzwerken bewegen. Dabei werden keine abstrakten Governance-Strukturen ausgehebelt, sondern schlichtweg die Tatsache genutzt, dass die auf dem Papier geforderte Netzwerksegmentierung nie vollst\u00e4ndig an der Jahrzehnte alten Anlage aus unserem Beispiel konfiguriert wurde. Der Klick auf das Phishing-Mail war der Ausl\u00f6ser, die fehlenden, technischen Ma\u00dfnahmen die eigentliche Ursache f\u00fcr den Schaden.<\/p>\n

Was wollen wir damit sagen? Klassische Cyber Security Awareness-Schulungen<\/a> sind ein wesentliches Mittel, um auf Mitarbeiterebene einen ersten, effizienten Schutzwall gegen Cyberattacken aufzubauen. Dieser Schutzwall kann jedoch \u00fcberwunden werden, v.a. auch durch die steigende Qualit\u00e4t versteckter Angriffe in diesem Bereich. Es muss also davon ausgegangen werden, dass solche Cyberattacken passieren und auch erfolgreich sein werden. Derartige Kompromittierungen eskalieren allerdings nur dann zu umfassenden Security-Vorf\u00e4llen, wenn beschlossene Richtlinien nicht in anwendbare Ma\u00dfnahmen \u00fcbersetzt werden k\u00f6nnen.<\/p>\n

Der Paradigmenwechsel: Vom Awareness-Training zu echter Cyberresilienz<\/strong><\/p>\n

Die NIS2 Richtlinie fordert in Artikel 21 explizit Risikomanagementma\u00dfnahmen \u201eauf dem Stand der Technik\u201c. Um dem Nachzukommen, muss das Zusammenspiel der drei bereits genannten, wesentlichen Faktoren gest\u00e4rkt werden. Das Management schafft Leitplanken auf Basis der Richtlinien (Prozesse), die Technik liefert die daf\u00fcr notwendigen Werkzeuge und der entscheidende Faktor Mensch orchestriert all das zu funktionierender Cyber Security.<\/p>\n

In Zeiten, in denen die Bedrohungslage durch Cyberattacken laufend zunimmt, braucht es daf\u00fcr gut ausgebildete Fachkr\u00e4fte mit spezialisierten, technischen F\u00e4higkeiten und Wissen rund um die Themen Cloud, OT-Security und Secure Coding. Laut der j\u00e4hrlichen (ISC)\u00b2 Cybersecurity Workforce Study<\/a> fehlt es der Branche allerdings massiv an diesen Fachkr\u00e4ften.<\/p>\n

Wir m\u00fcssen unseren Fokus daher auf die fundierte Ausbildung von Fachkr\u00e4ften mit technischem Empowerment<\/a> richten. Ein bef\u00e4higter OT-Ingenieur wei\u00df beispielsweise wie man „Zones & Conduits“ in einem Brownfield-Netzwerk aufbaut, wie Firewalls sauber konfiguriert werden und wie Incident Response f\u00fcr seine Anlagen am besten funktioniert. In der Softwareentwicklung richtet sich der Fokus idealerweise auf \u201eSecure Design\u201c, anstelle von reaktiven Bugfixes. Entwickler wissen, wie man Bedrohungsmodelle (Threat Modeling) erstellt, noch bevor die erste Zeile Code geschrieben wurde, wie man Secrets sicher managed, Inputs validiert und automatisierte Security-Tests direkt in die CI\/CD-Pipeline integriert.<\/p>\n

Fazit<\/strong><\/p>\n

Wenn es uns gelingt, die notwendigen Schritte in Richtung fundierter Aus- und Weiterbildung<\/a> zu setzen, wird Security nicht l\u00e4nger als st\u00f6rende Pflichtaufgabe wahrgenommen. Sie etabliert sich als integraler Bestandteil der Engineering-Disziplin, womit sich der Kreis schlie\u00dft und strategische Vorgaben in Form von Richtlinien in effektive und nachhaltige Security \u00fcbersetzt werden. Unternehmen, die ihre NIS2-Strategie nachhaltig vom Papier in die Praxis \u00fcberf\u00fchren wollen, investieren in genau diese Schnittstelle. Sie holen die Menschen ins Boot und geben ihnen das R\u00fcstzeug f\u00fcr die Umsetzung. Wenn diese Teams bef\u00e4higt sind, sichere Architekturen zu schaffen, fehlerfreien Code zu designen und Produkte sicher zu entwickeln und zu betreiben, dann greifen Policies, technische Ma\u00dfnahmen und menschliches Know-how nahtlos ineinander.[\/vc_column_text][vc_row_inner column_margin=“default“ column_direction=“default“ column_direction_tablet=“default“ column_direction_phone=“default“ text_align=“left“ row_position=“default“ row_position_tablet=“inherit“ row_position_phone=“inherit“ overflow=“visible“ pointer_events=“all“][vc_column_inner column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ top_margin=“5%“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“default“ tablet_text_alignment=“default“ phone_text_alignment=“default“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ overflow=“visible“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“1\/1″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“ column_padding_type=“default“ content_layout=“default“ gradient_type=“default“][divider line_type=“Full Width Line“ line_thickness=“1″ divider_color=“default“ animate=“yes“][\/vc_column_inner][\/vc_row_inner][\/vc_column][\/vc_row][vc_row type=“in_container“ full_screen_row_position=“middle“ column_margin=“default“ column_direction=“default“ column_direction_tablet=“default“ column_direction_phone=“default“ scene_position=“center“ text_color=“dark“ text_align=“left“ row_border_radius=“none“ row_border_radius_applies=“bg“ row_position_desktop=“default“ row_position_tablet=“inherit“ row_position_phone=“inherit“ overflow=“visible“ overlay_strength=“0.3″ gradient_direction=“left_to_right“ shape_divider_position=“bottom“ bg_image_animation=“none“ gradient_type=“default“ shape_type=““][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“left“ tablet_text_alignment=“left“ phone_text_alignment=“left“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ column_position=“default“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“1\/4″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“ column_padding_type=“default“ content_layout=“default“ gradient_type=“default“][image_with_animation image_url=“13965″ image_size=“full“ max_width=“100%“ max_width_mobile=“default“ animation_type=“entrance“ animation=“None“ animation_movement_type=“transform_y“ hover_animation=“none“ alignment=“left“ border_radius=“none“ box_shadow=“none“ image_loading=“default“ mask_enable=“true“ mask_size=“contain“][\/vc_column][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ flex_gap_desktop=“10px“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“left“ tablet_text_alignment=“left“ phone_text_alignment=“left“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ column_position=“default“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“3\/4″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“][vc_column_text css=““ text_direction=“default“]\n

Die Autorin<\/h4>\n[\/vc_column_text][vc_column_text css=““ text_direction=“default“]Kerstin Reisinger<\/strong>\u00a0ist erfahrene IT\/OT<\/span> Security Expertin. Als langj\u00e4hrige Projektleiterin in komplexen OT<\/span> Security Projekten, unterst\u00fctzt sie mit viel technischem Know-How Industrieunternehmen und Energieversorger. Als Head of Limes Academy und Trainerin gibt Sie gerne ihre Projekterfahrungen weiter und lockert diese mit War-Storys und Anekdoten aus der Praxis auf.[\/vc_column_text][\/vc_column][\/vc_row][vc_row type=“in_container“ full_screen_row_position=“middle“ column_margin=“default“ column_direction=“default“ column_direction_tablet=“default“ column_direction_phone=“default“ scene_position=“center“ text_color=“dark“ text_align=“left“ row_border_radius=“none“ row_border_radius_applies=“bg“ row_position_desktop=“default“ row_position_tablet=“inherit“ row_position_phone=“inherit“ overflow=“visible“ overlay_strength=“0.3″ gradient_direction=“left_to_right“ shape_divider_position=“bottom“ bg_image_animation=“none“][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ flex_gap_desktop=“10px“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“default“ tablet_text_alignment=“default“ phone_text_alignment=“default“ background_color_opacity=“1″ background_hover_color_opacity=“1″ column_backdrop_filter=“none“ column_shadow=“none“ column_border_radius=“none“ column_link_target=“_self“ column_position=“default“ gradient_direction=“left_to_right“ overlay_strength=“0.3″ width=“1\/1″ tablet_width_inherit=“default“ animation_type=“default“ bg_image_animation=“none“ border_type=“simple“ column_border_width=“none“ column_border_style=“solid“][divider line_type=“Full Width Line“ line_thickness=“1″ divider_color=“default“ animate=“yes“][\/vc_column][\/vc_row]\n","protected":false},"excerpt":{"rendered":"

[vc_row type=“in_container“ full_screen_row_position=“middle“ column_margin=“default“ column_direction=“default“ column_direction_tablet=“default“ column_direction_phone=“default“ scene_position=“center“ text_color=“dark“ text_align=“left“ row_border_radius=“none“ row_border_radius_applies=“bg“ row_position_desktop=“default“ row_position_tablet=“inherit“ row_position_phone=“inherit“ overflow=“visible“ overlay_strength=“0.3″ gradient_direction=“left_to_right“ shape_divider_position=“bottom“ bg_image_animation=“none“][vc_column column_padding=“no-extra-padding“ column_padding_tablet=“inherit“ column_padding_phone=“inherit“ column_padding_position=“all“ flex_gap_desktop=“10px“ column_element_direction_desktop=“default“ column_element_spacing=“default“ desktop_text_alignment=“default“ tablet_text_alignment=“default“ phone_text_alignment=“default“…<\/p>\n","protected":false},"author":5,"featured_media":17256,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[160],"tags":[],"class_list":{"0":"post-17233","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-insights"},"_links":{"self":[{"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/posts\/17233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/comments?post=17233"}],"version-history":[{"count":30,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/posts\/17233\/revisions"}],"predecessor-version":[{"id":17264,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/posts\/17233\/revisions\/17264"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/media\/17256"}],"wp:attachment":[{"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/media?parent=17233"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/categories?post=17233"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/limessecurity.com\/de\/wp-json\/wp\/v2\/tags?post=17233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}