News

Cybersicherheit ist endgueltig Chefsache geworden

Ein Tag auf dem European Resilience Summit, zwischen Microsoft, Deloitte, Capgemini und dem oeffentlichen Sektor - und ueberall dasselbe Signal: Security gehoert an den Vorstandstisch.

24. Juni 2026
5 Min. Lesezeit

Manchmal verlaesst man eine Veranstaltung mit dem Gefuehl, dass sich ein Markt grundlegend verschiebt. Genau so war der European Resilience Summit - ein Tag zwischen Microsoft, Deloitte, Capgemini, Fujitsu und dem oeffentlichen Sektor, an dem ein Thema immer wiederkehrte: Cybersicherheit ist kein IT-Thema mehr. Sie ist zur Chefsache geworden.

Bei manchen Veranstaltungen steht neue Technologie im Mittelpunkt. Bei anderen spuert man, dass sich ein Markt grundlegend veraendert. Der European Resilience Summit war eindeutig von der zweiten Sorte.

Im Lauf des Tages sprach ich mit Vertretern von Organisationen wie Microsoft, Deloitte, Capgemini, Fujitsu und mehreren Einrichtungen aus dem oeffentlichen Sektor. Die Gespraeche reichten von KI ueber digitale Infrastruktur bis zur Geopolitik, doch ein Thema kam immer wieder auf: Cybersicherheit ist kein IT-Thema mehr. Sie ist zur Chefsache geworden.

Die neue Realitaet von NIS2 und dem Umsetzungsgesetz

Die meisten Organisationen kennen NIS2 inzwischen. Dennoch fiel mir in den Gespraechen auf, dass die Tragweite noch oft unterschaetzt wird. Das niederlaendische Cybersicherheitsgesetz, die nationale Umsetzung von NIS2, verlagert die Verantwortung deutlich auf die Leitungsebene.

Fuehrungskraefte muessen kuenftig nicht nur Massnahmen genehmigen. Sie muessen auch nachweisen koennen, dass sie deren Umsetzung beaufsichtigen und genug Wissen haben, um die richtigen Entscheidungen zu treffen. Das veraendert das Spielfeld grundlegend. War Cybersicherheit jahrelang vor allem ein Thema fuer IT-Leiter und Security-Spezialisten, landet sie nun direkt auf der Agenda der Chefetage.

Drei Fragen, die jede Fuehrungskraft beantworten koennen sollte

Eine der staerksten Erkenntnisse des Tages war ueberraschend einfach. Jede Organisation sollte heute drei Fragen beantworten koennen:

Fallen wir in den Anwendungsbereich? Sind wir eine wesentliche oder wichtige Einrichtung im Sinne des Gesetzes?
Koennen wir nachweisen, dass wir die Anforderungen erfuellen? Nicht nur Richtlinien auf dem Papier, sondern echte Nachweise zu Monitoring, Logging, Zugriffskontrolle und Risikomanagement.
Wer traegt die Verantwortung? Welche Fuehrungskraft traegt letztlich die Verantwortung und kann dafuer zur Rechenschaft gezogen werden?

Bemerkenswert: Das sind keine technischen Fragen. Es sind Fragen der Unternehmensfuehrung.

Technologie allein reicht nicht

In vielen Gespraechen hoerte ich, dass Organisationen oft nach der einen technischen Loesung suchen. Doch Compliance beginnt nicht bei der Technologie. Sie beginnt mit Einblick. Man muss wissen, welche Risiken bestehen, welche Prozesse kritisch sind und wo die Schwachstellen liegen. Erst danach stellt sich die Frage, welche Technologie diese Vorgaben unterstuetzt.

Zugleich koennen Organisationen nicht warten, bis alle Richtlinien fertig sind. Die Einfuehrung von KI, Cloud und hybridem Arbeiten geht schlicht zu schnell. Deshalb sehen wir bei Momentum EMEA zwei Bewegungen gleichzeitig:

Von der Richtlinie zur Technologie.
Von der Technologie zur Richtlinie.

Man entwickelt Governance und richtet zugleich die technischen Massnahmen ein, die Risiken sofort verringern.

Von Compliance zu Cyber-Resilienz

Aufgefallen ist mir noch etwas: Die reifsten Organisationen sprechen kaum noch von Compliance. Sie sprechen von Resilienz. Von Cyber-Resilienz. Compliance ist dabei kein Ziel, sondern eine Folge.

Diese Organisationen investieren in kontinuierliches Monitoring, Zero-Trust-Architekturen, Multi-Faktor-Authentifizierung, Lieferantenbewertungen, Audit-Trails sowie schnelle Erkennung und Reaktion. Nicht weil das Gesetz es verlangt, sondern weil ihre Geschaeftskontinuitaet davon abhaengt.

Die Rolle von Momentum EMEA

In Gespraechen werde ich oft gefragt, wo die Verantwortung eines Partners wie Momentum beginnt und endet. Diese Unterscheidung ist wichtig. Wir unterstuetzen Organisationen bei der technischen Umsetzung ihrer Sorgfaltspflicht:

Netzwerksegmentierung
Zero Trust Network Access (ZTNA)
Multi-Faktor-Authentifizierung
Kontinuierliches Monitoring und Logging
Erkennung und Reaktion
Lieferanten- und Zugriffssicherheit
Security und Konnektivitaet ueber eine integrierte Plattform

Was wir nicht tun, ist die Verantwortung der Leitung zu uebernehmen. Governance, Risikopolitik, die rechtliche Bestimmung des Anwendungsbereichs und die Rechenschaftspflicht des Vorstands bleiben bei der Organisation selbst. Aber wir koennen helfen, die technische Basis nachweisbar in Ordnung zu bringen.

Mein wichtigstes Fazit

Cybersicherheit wandert vom Serverraum in die Chefetage. Nicht weil Technologie unwichtiger wird, sondern gerade weil sie immer wichtiger wird.

Organisationen, die heute in Einblick, Governance und technische Widerstandsfaehigkeit investieren, bauen Kontinuitaet fuer morgen auf. Denn am Ende geht es bei Resilienz nicht darum, ein Gesetz zu erfuellen. Es geht um die Frage, ob Ihre Organisation morgen noch sicher arbeiten kann, wenn heute etwas passiert. Und das ist eine Verantwortung, die inzwischen alle am Vorstandstisch betrifft.

Ueber den Autor

Frank Zoon

Strategic Development Manager EMEA, Momentum EMEA

Frank ist Strategic Development Manager EMEA bei Momentum EMEA. Er verfolgt die Entwicklungen rund um Cyber-Resilienz, NIS2 und Governance genau und uebersetzt sie in das, was sie konkret fuer Organisationen in EMEA bedeuten.

FAQ

Haeufig gestellte Fragen

Was hat der European Resilience Summit am Bild der Cybersicherheit veraendert?

Der rote Faden war, dass Cybersicherheit kein IT-Thema mehr ist, sondern Chefsache. Mit NIS2 und dem niederlaendischen Cybersicherheitsgesetz muessen Fuehrungskraefte Massnahmen nicht nur genehmigen, sondern auch nachweisbar beaufsichtigen und das noetige Wissen mitbringen.

Welche drei Fragen sollte jede Fuehrungskraft beantworten koennen?

1) Fallen wir in den Anwendungsbereich - sind wir eine wesentliche oder wichtige Einrichtung? 2) Koennen wir die Erfuellung nachweisen, mit echten Nachweisen zu Monitoring, Logging, Zugriffskontrolle und Risikomanagement? 3) Wer traegt letztlich die Verantwortung und kann zur Rechenschaft gezogen werden?

Wobei hilft Momentum EMEA - und wobei nicht?

Momentum unterstuetzt bei der technischen Umsetzung der Sorgfaltspflicht: Netzwerksegmentierung, ZTNA, Multi-Faktor-Authentifizierung, Monitoring, Erkennung und Reaktion ueber eine integrierte Plattform. Governance, Risikopolitik und die Rechenschaftspflicht des Vorstands bleiben bei der Organisation selbst.

Wissensbasis

Mehr lesen

News 4 Min. Lesezeit

Momentum EMEA: eNPS von +79 und Great Place To Work-Zertifizierung

Connect 3 Min. Lesezeit

Unser Global Onsite Support Engineer, fuer Sie im Einsatz

News 4 Min. Lesezeit

Catopia: KI ist kein Werkzeug mehr, sondern eine Angriffsflaeche

Von Einblick zu Resilienz

Moechten Sie sehen, wie Momentum EMEA die technische Basis Ihrer Sorgfaltspflicht nachweisbar in Ordnung bringt - von ZTNA und Segmentierung bis zu kontinuierlichem Monitoring und Reaktion? Vereinbaren Sie ein Gespraech, wir zeigen Ihnen, wie das in der Praxis aussieht.

Gespraech vereinbaren

Connect

Collaborate

Engage

Secure