Sie können Operatoren mit Ihrer Suchanfrage kombinieren, um diese noch präziser einzugrenzen. Klicken Sie auf den Suchoperator, um eine Erklärung seiner Funktionsweise anzuzeigen.
Findet Dokumente, in denen beide Begriffe in beliebiger Reihenfolge innerhalb von maximal n Worten zueinander stehen. Empfehlung: Wählen Sie zwischen 15 und 30 als maximale Wortanzahl (z.B. NEAR(hybrid, antrieb, 20)).
Findet Dokumente, in denen der Begriff in Wortvarianten vorkommt, wobei diese VOR, HINTER oder VOR und HINTER dem Suchbegriff anschließen können (z.B., leichtbau*, *leichtbau, *leichtbau*).
Die NIS2-Richtlinie der EU stellt neue Anforderungen an die Cybersicherheit, insbesondere für öffentliche Verwaltungen. Die Umsetzung in Deutschland ist jedoch durch föderale Strukturen und heterogene IT-Landschaften erschwert. Der Fachbeitrag analysiert die Herausforderungen und Potenziale der NIS2-Umsetzung anhand einer Fallstudie in einer deutschen Landesverwaltung. Dabei werden die Dimensionen Governance, Compliance, IT und Weiterbildung untersucht. Die Studie zeigt, dass die Umsetzung durch unklare Anforderungen, fehlende Informationen und föderale Strukturen erschwert wird. Es werden konkrete Empfehlungen für eine verbesserte Koordination und Standardisierung gegeben, um die Cybersicherheit in öffentlichen Verwaltungen zu stärken. Die Ergebnisse bieten wertvolle Einblicke für IT-Sicherheitsbeauftragte, IT-Manager und Compliance-Manager, die an der Umsetzung der NIS2-Richtlinie beteiligt sind.
KI-Generiert
Diese Zusammenfassung des Fachinhalts wurde mit Hilfe von KI generiert.
Zusammenfassung
Die Umsetzung der NIS2-Richtlinie erfordert ein integriertes Verständnis von Informations- und Cybersicherheit, das strategische Steuerung, regelbasierte Nachweise, technische Maßnahmen und Kompetenzentwicklung verbindet. Governance, Compliance, IT und Weiterbildung sind dabei komplementäre Dimensionen eines organisationalen Sicherheitsniveaus. Während die Richtlinie auf EU-Ebene einen verbindlichen Erwartungshorizont setzt, kollidiert ihre Umsetzung in föderalen Strukturen mit heterogenen Kulturen, Zielen und Kompetenzverständnissen. Auf Basis einer vergleichenden Fallstudie wird gezeigt, wie die NIS2-Vorgaben als normatives Raster dienen können, um Implementierung, Sensibilisierung und Strukturen in einer Landesverwaltung kritisch zu reflektieren. Im Fokus stehen Kooperationspotenziale, Zuständigkeiten und divergierende Interpretationen. Ziel ist es, Potenziale und Grenzen der Sicherheitsorganisation aufzuzeigen und Impulse für eine kooperative Gestaltung sicherheitsbezogener Verantwortung zu geben. Die Studie zeigt, dass komplexe Abstimmungsbedarfe und Ressourcenknappheit die Umsetzung hemmen können und liefert zugleich Ansatzpunkte für Interventionen durch kooperative Governance.
Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.
1 Einleitung
Mit der NIS2-Richtlinie (EU) 2022/2555 reagiert die Europäische Union auf die veränderte Bedrohungslage im Cyberraum, verschärft bestehende Anforderungen und weitet den Anwendungsbereich deutlich aus, unter anderem auf öffentliche Verwaltungen und eine größere Zahl kritischer und wichtiger Einrichtungen. Die Umsetzung der NIS2-Richtlinie erfordert ein integriertes Verständnis von Informations- und Cybersicherheit, das strategische, technische und regelbasierte Maßnahmen ebenso einschließt wie eine gezielte Entwicklung von Kompetenzen. Das Niveau organisationaler Sicherheit resultiert aus dem Zusammenspiel der Dimensionen Governance, Compliance, IT und Weiterbildung, die im Rahmen eines integrativen Ansatzes nicht unabhängig voneinander betrachtet werden dürfen.
Auf EU-Ebene wurde mit der NIS2-Richtlinie ein verbindlicher Erwartungshorizont geschaffen, dessen institutionelle Übersetzung den föderalen Strukturen der Bundesländer überlassen wird: formale Zielvorgaben, können mit heterogenen administrativen Kulturen, politischen Zielen, und Kompetenzverständnissen kollidieren. In der Bundesrepublik Deutschland ist es beispielsweise insbesondere auf Landesebene herausfordernd den Mehrwert und die Notwendigkeit von zentralisierten ressortübergreifenden Aufsichtsbefugnissen zu argumentieren und umzusetzen, wie sie in der NIS2 in Artikel 8 gefordert wird (Richtlinie (EU) 2022/2555). In der Vergangenheit betrafen EU-Richtlinien vor allem die Wirtschaft (z. B. NIS (Richtlinie (EU) 2016/1148)) oder einzelne Ressorts (z. B. Trinkwasserverordnung (Richtlinie (EU) 2020/2184)) und selten ressortübergreifende Daueraufgaben, wie Informationssicherheit, innerhalb der Landesverwaltungen. Da die Umsetzungsfrist der NIS2-Richtlinie aus dem Jahre 2022 erst im September 2024 ablief, gab es zum Zeitpunkt dieses Beitrags nur wenige Studien, die sich mit dem Untersuchungsgegenstand beschäftigt haben (beispielsweise Rehbom und Moses 2023). Durch die fehlende Umsetzung waren diese aber eher vorausschauend und theoretisch ausgelegt oder stammen aus anderen EU-Staaten (beispielsweise Rehnstam et al. 2025). Eine konkrete Untersuchung der Umsetzung war bisher nur begrenzt möglich. Vor diesem Hintergrund analysiert der Beitrag die Dimensionen operationaler Sicherheit anhand einer vergleichenden Fallstudie mit eingebetteter globaler Referenz. Die europäische NIS2-Richtlinie und abgeleitete regulatorische Dokumente dienen dabei als Grundlage eines analytischen Idealfalls und liefern ein normatives Raster, um Implementierung, Sensibilisierung und Strukturen in einer deutschen Landesverwaltung kritisch zu reflektieren. Anstelle einer reinen Konformitätsmessung formaler Übereinstimmungen, werden konkrete Aspekte, wie Kooperationspotenziale, Zuständigkeiten und divergierende Interpretationen von Anforderungen, in den Fokus gerückt. Ziel des Beitrags ist es, Potenziale der Sicherheitsorganisation in öffentlichen Verwaltungen zu diskutieren und Impulse für eine stärker kooperierende Gestaltung sicherheitsbezogener Verantwortung zu geben.
Anzeige
2 Theoretischer Rahmen und konzeptionelle Grundlagen
Im Folgenden werden die regulatorischen Grundsätze und die theoretischen Rahmenbedingungen dieses Beitrags vorgestellt. Insbesondere geht es um die NIS2-Richtlinie und die Prinzipien der Verwaltung.
2.1 Regulatorische Grundlagen
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet alle Mitgliedstaaten, ein einheitlich hohes Cybersicherheitsniveau herzustellen. Die Öffentliche Verwaltung wird damit erstmals explizit als kritischer Sektor einbezogen und es gibt neue Nachweispflichten. Ausgenommen sind nur Tätigkeiten mit unmittelbarem Bezug zu nationaler Sicherheit, Verteidigung oder Strafverfolgung. Es gibt eine gewisse Flexibilität der Mitgliedstaaten bei der Festlegung, welche Organisationen unter NIS2 als öffentliche Verwaltungen gelten (ENISA 2025a). In Deutschland gibt es dazu einen Beschluss des IT-Planungsrats mit einem Identifizierungskonzept (IT-Planungsrat 2023). Für Landesverwaltungen unterliegen dadurch Ministerien, anteilig die nachgeordneten Behörden und zentrale IT-Dienstleister den Vorgaben. Kern der Umsetzung sind die in Artikel 21 festgelegten Risikomanagementmaßnahmen, die gleichzeitig als zentrale Dimensionen betrachtet werden können: Behörden müssen auf strategischer Ebene Verantwortlichkeiten und Prozesse für Informationssicherheits- und Business Continuity Management (ISM und BCM) benennen und identifizieren (strategisch: Governance), Vorfälle erkennen und melden, Notfall- und Wiederherstellungspläne vorhalten, Lieferketten einbeziehen, technische Schutzmaßnahmen implementieren (operativ: IT) sowie Mitarbeitende regelmäßig schulen und sensibilisieren (operativ: Weiterbildung). Ergänzend regelt Artikel 23 die Meldepflichten für Sicherheitsvorfälle. Bis September 2024 waren die Mitgliedsstaaten verpflichtet die NIS2-Richtlinie in geltendes Recht umzusetzen, in Deutschland wurde dies fristgerecht von drei der 16 Bundesländer erfüllt, auf Bundesebene ist erst am 06.12.2025 eine entsprechende Gesetzesänderung in Kraft getreten, die für eine Betrachtung auf Landesebene durch den Föderalismus jedoch nur am Rande relevant ist (Hausding 2025; Hilbricht 2024). Behörden müssen bis 2027 dokumentieren, dass sie über die geforderten Prozesse, Strukturen und Kompetenzen zur Cybersicherheit verfügen (taktisch: Compliance) (Richtlinie (EU) 2022/2555).
2.2 Prinzipien der Verwaltung: Föderalismus und das Ressortprinzip
Der deutsche Föderalismus ist als Bundesstaatlichkeit im Grundgesetz für die Bundesrepublik Deutschland (GG) in Artikel 20 Absatz 1 verankert und beruht auf der Eigenstaatlichkeit der Länder. Was im allgemeinen Interesse einheitlich zu regeln ist, fällt dem Bund zu, im Übrigen sind die Länder zuständig (Generalklausel Art. 30 GG; vgl. Bogumil und Jann 2020, S. 73 f.). Gesetzgeberisch besitzen die Länder aber grundsätzlich das Recht zur Gesetzgebung (Art. 70 GG), begrenzt durch ausschließliche und konkurrierende Bundeskompetenzen. In der konkurrierenden Gesetzgebung gilt Landesrecht nur „solange und soweit“ der Bund nicht von seiner Gesetzgebungszuständigkeit Gebrauch macht (Art. 72 GG). Kollidieren Normen, hat Bundesrecht Vorrang (Art. 31 GG). An der Bundesgesetzgebung und -verwaltung wirken die Länder über den Bundesrat mit (Art. 50 GG). Für politikfeldübergreifende Vorhaben stellt das Grundgesetz Kooperationsinstrumente bereit, insbesondere für Gemeinschaftsaufgaben und Verwaltungszusammenarbeit (Art. 91a–91c GG). Die Gliederung des Bundes in Länder und die grundsätzliche Mitwirkung der Länder an der Gesetzgebung sind durch die Ewigkeitsgarantie besonders geschützt (Art. 79 Abs. 3 GG), die eine Änderung des Grundgesetzes in diesem Zusammenhang verhindert. Zusätzlich beeinflusst auf Landesebene das Ressortprinzip die Umsetzung von Anforderungen. Das Ressortprinzip besagt, dass jedes Ministerium, beziehungsweise jede Fachabteilung, selbstständig und eigenverantwortlich für sein Sachgebiet entscheidet und handelt (Art. 65 GG).
Diese föderale Struktur führt dazu, dass bei der NIS2-Umsetzung mehrere Ebenen ineinandergreifen. Die EU gibt den verbindlichen Rahmen vor und regelt mit Umsetzungsrechtsakten einige Punkte direkt für die Mitgliedsstaaten. Der Bund koordiniert mit der EU und schafft Bundesregelungen, die insbesondere die Bundesbehörden, Wirtschaft und durch Art. 91c GG geregelte Bereiche betreffen. Die Länder sind für die konkrete Umsetzung in ihren Verwaltungen und den betroffenen Organisationen in Landesbesitz verantwortlich. Dabei kann es in den jeweiligen Ländern nochmal verschiedene Ressorts geben, die sich mit Teilaspekten der Umsetzung auseinandersetzen. Bei der Umsetzung der NIS2 dienen der IT-Planungsrat und dessen Unterarbeitsgruppe, die UAG NIS2, als Bund-Länder-Koordinationsgremien, um Harmonisierung sicherzustellen.
Anzeige
3 Fallstudie zur NIS2-Umsetzung in einer Landesverwaltung
3.1 Methodisches Vorgehen
Die Fallstudienforschung ist eine empirische Untersuchung, die ein zeitgenössisches Phänomen in seinem realen Kontext erforscht, wobei die Grenzen zwischen Phänomen und Kontext oft unklar sind (Patton und Appelbaum 2003; Yin 2017). Sie eignet sich besonders für „Warum“- und „Wie“-Fragen (Stuart et al. 2002; Yin 2017) und nutzt multiple Quellen wie Archivrecherchen, Interviews, Fragebögen und Beobachtungen (Patton und Appelbaum 2003; Stuart et al. 2002; Yin 2017). Fallstudien ermöglichen eine ganzheitliche Betrachtung komplexer Prozesse und sind unerlässlich, wenn theoretische Vorarbeiten fehlen oder Zusammenhänge in der Praxis nicht eindeutig erklärbar sind (Patton und Appelbaum 2003; Stuart et al. 2002).
Die vorgeschlagene Methodik zur Analyse der NIS2-Umsetzung integriert Max Webers Idealtypus und die Fallstudienforschung, um das Verständnis eines komplexen Phänomens zu erleichtern (Patton und Appelbaum 2003; Stuart et al. 2002). Der Idealtypus dient der analytischen Erschließung empirischer Realität und nicht ihrer exakten Abbildung (Swedberg 2018). Er konzentriert sich in seiner soziologischen Ausprägung ausschließlich auf das Element des Sinns (Swedberg 2018) und wird durch künstliche Annahmen über einen „typischen individuellen Akteur“ konstruiert, z. B. dass dieser rational handelt, vollständige Informationen besitzt, sich seiner Ziele voll bewusst ist und keine Fehler macht. Diese Annahmen dienen als nützliches Hilfsmittel, um Abweichungen von diesen Idealen in der Realität zu identifizieren (Swedberg 2018).
Unsere Analyse basiert auf einer theoriebasierten Einzelfallstudie einer Landesverwaltung, ähnlich der Studie von Jonathan et al. (2021) zur digitalen Transformation im Public Sector. Als Datengrundlage dienen leitfadengestützte Interviews, interne und öffentliche Umsetzungsdokumente sowie Protokolle ressortübergreifender Arbeitskreise und Gremien. Analytisch wird ein Idealtypus genutzt, der die vier Dimensionen der Sicherheitsorganisation (Governance, Compliance, IT und Weiterbildung) in Relation zu den NIS2-Vorgaben setzt. Die Untersuchung vergleicht die empirische Implementierung mit diesem Idealtypus, identifiziert Abweichungen und leitet daraus strukturelle Potenziale sowie Grenzen der NIS2-Umsetzung ab.
3.2 Durchführung und Datenerhebung
Die Fallstudie behandelt die Frage, welche konkreten Herausforderungen bei der Umsetzung der NIS2-Richtlinie in einer Landesverwaltung auftreten und welche bislang ungenutzten Gestaltungs- und Kooperationspotenziale bestehen. Zentrale Anliegen sind die Operationalisierung normativer Vorgaben in föderalen Strukturen, die Abstimmung zwischen Governance, Compliance und operativer IT sowie die Frage, wie kompetenzorientierte Awareness-Maßnahmen wirksam in die Verwaltungsprozesse integriert werden können.
Während der Fallstudie sind folgende Teilfragen besonders in den Vordergrund getreten:
1.
Welche organisatorischen, rechtlichen oder ressourcenbezogenen Herausforderungen erschweren aktuell die Umsetzung von NIS2?
2.
Wie beeinflussen bestehende Governance- und Koordinationsstrukturen (formell wie informell) die Interpretation, Priorisierung und Durchsetzung der NIS2-Anforderungen?
3.
Welche bislang ungenutzten Gestaltungs- und Kooperationspotenziale erscheinen besonders geeignet, um nachweisbare Verbesserungen zu erzielen?
Die Durchführung der Fallstudie erfolgte im Zeitraum August 2024 bis August 2025. Die Fallstudie stützt sich dabei für die idealtypische Referenzstruktur auf regulatorische Dokumente und Gesetzestexte, vor allem die NIS2-Richtlinie und zugehörige Umsetzungsrechtsakte. Primärdaten waren semi-strukturierte Interviews, Workshops sowie Beobachtungs- und Sitzungsnotizen aus Gremien. Ergänzend wurden Leitfäden und Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) herangezogen, um Prüf- und Bewertungsmaßstäbe zu definieren, sowie Fachpresse, wissenschaftliche Literatur und Gesetzestexte anderer Länder zur weiteren Einordnung genutzt.
Es wurde zunächst der Idealtypus aus normativen Vorgaben abgeleitet: Dazu wurden die Anforderungen der NIS2-Richtlinie (insb. Art. 20, 21 und 23 Richtlinie (EU) 2022/2555) und der Landesgesetzgebung systematisch extrahiert und mit Umsetzungs‑/Implementierungsleitfäden abgeglichen, um die relevanten Funktionsbereiche zu identifizieren (s. Abb. 1). Ergänzend wurden nationale und europäische Praxishilfen (BSI IT-Grundschutz (BSI 2024)/IS-Revision (BSI 2021), ENISA (ENISA 2025b) ausgewertet, um für jede Dimension (Governance, Compliance, IT, Weiterbildung) konkrete Leistungsmerkmale und erwartbare Nachweise zu formulieren (s. Abb. 1). Beispielsweise werden in der NIS2-Richtlinie in Art. 8 (2) Richtlinie (EU) 2022/2555 Awareness-Schulungen für Leitungsebene und Mitarbeitende gefordert, im Idealfall werden diese durchgeführt, dokumentiert, regelmäßig evaluiert und überarbeitet. In der praktischen Umsetzung könnten dies z. B. Online-Schulungen auf einer Lernplattform sein, die selbstständig von den Mitarbeitenden wahrgenommen werden, die neben Wissenstests auch Evaluationsfragebögen zur Verbesserung der Schulungen beinhalten und spätestens alle zwei Jahre überarbeitet werden.
Abb. 1
Themenkomplexe des Idealtypus mit möglichen Nachweisformen
Die anschließende Datenerhebung von September 2024 bis Juli 2025 umfasste 15 semi-strukturierte Interviews (jeweils 60–90 min), zwei ressortübergreifende externe Workshops sowie mehrere Gremiensitzungen und koordinierende Besprechungen. Bei den Teilnehmenden handelt es sich jeweils um Beauftragte für Informationssicherheit auf unterschiedlichen Hierarchiestufen in der Landesverwaltung oder IT-Fachpersonal. In Abb. 2 sind die verschiedenen Datenquellen mit ihren Schwerpunkten und quantitativen Merkmalen abgebildet.
Abb. 2
Übersicht über die verschiedenen Datenquellen und die Anzahl der Teilnehmenden
Die Fragen für die Interviews basieren auf den Funktionsbereichen und Leistungsmerkmalen des Idealtypus. Die BSI-Standards (BSI IT-Grundschutz (BSI 2024)/IS-Revision (BSI 2021)) wurden als praxisnahe Prüfmaßstäbe für Interviewleitfaden und Auswertungsraster herangezogen (s. Finster et al. 2025). Die Interviews nutzten erzählerische Szenarien, um zu erfassen, wie Beteiligte Sicherheitsanforderungen internalisieren und operativ umsetzen. Dies bot sich beispielsweise beim Thema Zutrittsregelungen an, in dem Szenarios, wie ein unangekündigter Handwerker, ein Kollege, der seine Zugangskarte vergessen hat und der Besuch einer vermeintlichen Behördenleiterin durchgespielt wurden. Neben den quantitativen Antworten in Form von Reifegraden (0 – keine Maßnahmen bis 5 – Maßnahmen in einem kontinuierlichen Verbesserungsprozess) wurden die ausführlicheren mündlichen Antworten stichwortartig dokumentiert.
Workshops
In zwei extern moderierten Workshops mit bis zu 50 Teilnehmern wurden die NIS2-Betroffenheit und das Thema Risikomanagement behandelt. Nach einem fachlichen Impulsvortrag wurden in Kleingruppen die jeweiligen Themen an einem Praxisbeispiel oder Fragestellungen aus dem Behördenalltag bearbeitet und konkrete Fragen, Anforderungen und Unsicherheiten der Teilnehmenden in Stichworten an Pinnwänden gesammelt und im Plenum diskutiert. Beispielsweise wurden anhand eines Geschäftsverteilungsplans die kritischen Prozesse einer Behörde identifiziert und die betroffenen Stakeholder diskutiert.
Gremiensitzungen und Besprechungen
Für die Fallstudie wurden sowohl Bund-Ländergremien (z. B. UAG NIS 2) als auch landesinterne Gremien berücksichtigt, die im Erhebungszeitraum stattfanden. Weitere Besprechungen fanden mit den umsetzenden Stellen des untersuchten Landes statt (z. B. CERT). In diesen Gremien wurde beispielsweise diskutiert in welcher Form die Schulung der Leitungsebene gewährleistet werden kann, da dort in der Vergangenheit eher weniger Interesse an Online-Schulungen gezeigt wurde und prestigeträchtige Präsenzveranstaltungen mit namhaften Experten erfolgsversprechender waren.
Parallel zur Datenerhebung wurden die Rohdaten gesichert und anonymisiert zusammengeführt. Anschließend erfolgte eine systematische Verdichtung durch Clustering: Gemeinsamkeiten über mehrere Behörden hinweg wurden gebündelt, Abweichungen und Ausreißer getrennt analysiert. Dabei wurden die Antworten und Notizen den vier Dimensionen zugeordnet. Neben einer Autorin waren weitere Experten aus der Landesverwaltung bei diesem Schritt involviert, um eine möglichst objektive Auswertung zu gewährleisten. Der Analysefokus richtete sich auf das Ermitteln von Abweichungen und Übereinstimmungen zwischen den normativen Anforderungen und der operativen Realität in den Behörden. Aus den identifizierten Konfliktfeldern wurden mit den Experten handlungsorientierte Befunde und priorisierte Empfehlungen abgeleitet und für unterschiedliche Adressaten (Leitungsebene, operative Ebene) aufbereitet. Es wurde sich gegen einen Vergleich mit einer anderen Branche aus der freien Wirtschaft oder der Wirtschaft an sich entschieden, da zum Zeitpunkt der Studie noch keine gesetzliche Regelung auf Bundesebene verabschiedet war, die diese Branchen reguliert.
4 Ergebnisse und Diskussion
In diesem Kapitel werden die zentralen Befunde der Fallstudie dargestellt und interpretiert. Die Darstellung folgt den drei Forschungsfragen und schließt mit einer übergreifenden Deutung. Grundlage ist der Idealtypus der Sicherheitsorganisation, der die Dimensionen Governance, Compliance, IT und Weiterbildung in Relation zu den NIS2-Vorgaben setzt. Die Analyse fokussiert auf Abweichungen vom Ideal sowie die Potenziale und Grenzen von normativen Anforderungen und administrativer Praxis.
4.1 Organisatorische, rechtliche und ressourcenbezogene Herausforderungen
Folgende Antworten konnten der Teilfrage „Welche organisatorischen, rechtlichen oder ressourcenbezogenen Herausforderungen erschweren aktuell die Umsetzung von NIS2?“ zugeordnet werden. Dabei können die folgenden zwei Sätze als übergeordneter Konsens gesehen werden: Die Umsetzung der NIS2 wird aktuell durch unklare Anforderungen und fehlende Informationen seitens Bund und EU erschwert. Viele Anforderungen lassen Raum für Interpretation, was Zeit und personelle Kapazitäten bindet.
Governance
Ressortlogiken erzeugen sektoral geschlossene Entscheidungsräume. In vielen Behörden existieren deshalb keine verbindlichen ressortübergreifenden Steuerungsformate. In Kombination mit föderaler Autonomie führt das zu uneinheitlichen Priorisierungen und zu konkurrierenden Zielsetzungen. Folge ist Arbeitsaufwand in Abstimmungen und Verzögerungen bei der Einführung landesweit geltender Prozesse. Verantwortlichkeiten zwischen Fachreferaten und zentralen Stellen sind nicht immer klar. Im föderalen Kontext verstärkt dies die Heterogenität. Unterschiede in Landesregelungen und fehlende bundeseinheitliche Umsetzungsleitlinien führen zu Interpretationsaufwand und zu Verzögerungen bei der Einführung landes- und bundesweiter Prozesse.
Compliance
Die Anforderungen zur Nachweisführung sind technisch und organisatorisch anspruchsvoll. Viele der geforderten Dokumentationen sind nicht standardisiert. Behörden investieren deshalb erhebliche Zeit in Rechtsauslegung statt in konkrete Umsetzungen. Rechtsunsicherheit entsteht zusätzlich durch den (zum Zeitpunkt der Fallstudie) noch nicht abgeschlossenen Umsetzungsprozess auf Bundesebene. Diese Unsicherheit bindet Kapazitäten und führt zu uneinheitlicher Compliance-Praxis zwischen verschiedenen Landesbehörden. Durch die fehlende Bundesgesetzgebung während der Fallstudie war beispielsweise lange unklar an welche Stelle und was in einem länderübergreifenden Sicherheitsvorfall im Rahmen der NIS2-Pflichten gemeldet werden muss. Inzwischen trat das NIS2UmsuCG am 06.12.2025 in Kraft (Hausding 2025), hat aber in Bezug auf Meldewege und Informationsaustausch mit den Ländern immer noch Unklarheiten in den Regelungen.
IT
Das Ressortprinzip fördert autarke Beschaffung und Betriebslösungen. Das erzeugt heterogene IT-Landschaften mit inkompatiblen Schnittstellen, auch wenn eine Zentralisierung angestrebt wird. Kleinere Behörden sind besonders betroffen. Zentrale IT-Dienstleister können nur eingeschränkt die Sicherheit eines Landesdatennetzes gewährleisten, wenn in einzelnen Behörden Schatten-IT, im Sinne von nicht offiziell gemeldeten oder zentral verwalteten Systemen, mit unbekannten Sicherheitsanforderungen betrieben wird.
Weiterbildung
Awareness-Maßnahmen sind ungleich verteilt und selten als nachweisbare Qualifikationsprofile implementiert. Die Folge ist, dass Mitarbeitende auf unterschiedlichen Kenntnisständen agieren, was Fehleranfälligkeit erhöht, und die praktische Umsetzung erschwert. Beispielsweise wurden in der Vergangenheit nicht alle Behörden über zentrale Schulungsmaßnahmen zur Informationssicherheit informiert.
Unklare Zuständigkeitsaufteilungen in Teilbereichen führen zu weiteren Verzögerungen und wiederkehrenden Abstimmungsaufwänden. Zusammengenommen erzeugen diese Faktoren einen Implementationsstau, der weniger technischer als administrativer und koordinativer Natur ist.
4.2 Einfluss bestehender Governance- und Koordinationsstrukturen
Auch zur Teilfrage „Wie beeinflussen bestehende Governance- und Koordinationsstrukturen (formell wie informell) die Interpretation, Priorisierung und Durchsetzung der NIS2-Anforderungen?“ wurden zu den vier Dimensionen Aussagen getroffen.
Governance
Formelle Gremien und informelle Netzwerke bestimmen die Deutung der Anforderungen. Wo ressortübergreifende Gremien mit Entscheidungsbefugnis existieren, sinkt der Interpretationsspielraum und steigt die Umsetzungsgeschwindigkeit. Vereinbarungen auf Arbeitsebene lassen sich aber nicht immer auf Leitungsebene durchsetzen und umgekehrt. Im föderalen Gefüge wirken zusätzlich regionale Priorisierungen entgegen einer bundesweit einheitlichen Handhabung. Ressortübergreifende und länderübergreifende Gremien konnten bereits 2024 im Rahmen der NIS2-Notifizierung an die EU Erfolge in der Zusammenarbeit verzeichnen, als es darum ging ein gemeinsames Verständnis für die Anforderungen der EU zu gewinnen. Beispielsweise wurde gemeinsam geklärt, ob nur aus den rechtlichen Dokumenten oder auch den Cybersicherheitsstrategien zitiert werden sollte, um die Umsetzung der NIS2-Richtlinie in Landesrecht nachzuweisen.
Compliance
Koordinationslücken führen zu uneinheitlicher Dokumentation und zu Redundanzen. Ohne verbindliche Vorlagen und Berichtspflichten entstehen unterschiedliche Nachweisformen. In einem föderalen System besteht das Risiko, dass Länder unterschiedliche Compliance-Standards setzen, was die Qualität des nationalen Nachweises gegenüber der EU schwächt.
IT
Koordination wirkt sich auf technische Standardisierung aus. Ohne verbindliche Abstimmungsregeln verbleibt die Verantwortung auf Ressortebene. Das führt zu uneinheitlichen Sicherheitskonfigurationen und erschwert flächendeckende Updates oder gemeinsame Incident Response. In der Folge verlängern sich Reaktionszeiten und die Möglichkeit von Dominoeffekten steigt. Wenn beispielsweise bei einem weit verbreiteten Informationssystem zum Datenaustausch eine Sicherheitslücke bekannt wird, erschwert eine dezentrale Verwaltung die zeitnahe gesteuerte Einspielung der kritischen Updates.
Weiterbildung
Existiert keine abgestimmte Kompetenzarchitektur, bleiben Schulungen punktuell und inkonsistent. Fehlen landesweite Kompetenzrahmen, entstehen variable Trainingsstandards. Dies behindert gemeinsame Übungen und reduziert die Wirksamkeit sektorübergreifender Awareness-Maßnahmen.
Es fehlen vor allem klare Kommunikations- und Eskalationswege. Ohne definierte Rollen und Entscheidungswege mit unterstützenden Informationssystemen verbleiben zentrale Entscheidungen in informellen Netzen, was die Priorisierung erschwert und Redundanzen begünstigt.
4.3 Ungenutzte Gestaltungs- und Kooperationspotenziale
In den vier Dimensionen wurden zur letzten Teilfrage „Welche bislang ungenutzten Gestaltungs- und Kooperationspotenziale erscheinen besonders geeignet, um nachweisbare Verbesserungen zu erzielen?“ folgende Vorschläge eingebracht.
Governance
Etablierung eines dauerhaft arbeitenden, ressortübergreifenden Steuerungsgremiums mit klarer Geschäftsordnung bietet eine schnelle Hebelwirkung. Dieses Gremium sollte Entscheidungs- und Eskalationsrechte besitzen, standardisierte Roadmaps herausgeben und verbindliche Rollen festschreiben. Dieses Gremium muss formell über Ressortgrenzen hinweg wirken und zugleich die Abstimmung mit Bundeseinheiten ermöglichen. Standardisierte Geschäftsordnungen und verpflichtende Berichtszyklen reduzieren Interpretationsspielräume. Auf föderaler Ebene empfiehlt sich enge Einbindung bestehender Koordinationsforen wie des IT-Planungsrats, um Länderstandardisierung zu fördern.
Compliance
Einheitliche Vorlagen für Nachweisdokumente und standardisierte Berichtsformate reduzieren Auslegungsarbeit. Harmonisierte Minimalanforderungen mindern den Aufwand für rechtliche Auslegung. Diese Instrumente sind zugleich kompatibel mit föderalen Erfordernissen, da Mindeststandards trotzdem lokal ergänzbar bleiben. Hier wird für ein gemeinsames Verständnis von Informations- und Cybersicherheit konkreter Input von Bund und EU benötigt.
IT
Gemeinsame Beschaffungsrahmen und Lieferantenmanagement begrenzen Lieferkettenrisiken und schaffen Skaleneffekte. Zentralisierung von Basistechnologien, etwa für Monitoring und Logging, senken Komplexität. Für das föderale Setting ist es wichtig, dass Landes-IT-Dienstleister in multilaterale Vereinbarungen eingebunden werden, um einheitliche Sicherheitsanforderungen durchzusetzen.
Weiterbildung
Ein gemeinsames Kompetenzrahmenwerk, sowie modulare, rollenbasierte Lernpfade schaffen Nachweisbarkeit. Storytelling-gestützte, kompetenzorientierte Awarenessmaßnahmen erleichtern das Verständnis abstrakter Anforderungen für fachfremde Mitarbeitende und fördern die Übernahme konkreter Handlungskompetenzen. Auf Länderebene könnte eine geteilte Lernplattform und abgestimmte Zertifizierungsstandards die Heterogenität der Kenntnisse verringern.
Die Bündelung von Ressourcen durch geteilte Personalpools, ressortübergreifende Entscheidungsgremien und gemeinsame Beschaffungsrahmen würden Implementierungsrisiken reduzieren und Skaleneffekte erzeugen, die besonders für kleinere Dienststellen relevant sind.
4.4 Potenziale und Grenzen
ENISA, die Cyberagentur der EU hat im März 2025 ihre erste Untersuchung „NIS360“ veröffentlicht, in der sie die Kritikalität und Reife der NIS2-betroffenen Sektoren betrachtet hat. Über den Sektor der öffentlichen Verwaltung wird dort explizit gesagt: „Auf EU-Ebene besteht kein umfassendes, sektorspezifisches Verständnis der Risiken im Bereich der öffentlichen Verwaltung. Ebenso fehlt eine eindeutige Definition des Geltungsbereichs, der gemeinsamen Schutzobjekte und der relevanten Bedrohungsszenarien, was die effektive Umsetzung von Risikomanagementmaßnahmen zusätzlich erschwert“ (ENISA 2025a).
Aus der Fallstudie lassen sich mehrere wiederkehrende Phänomene ableiten, die diese Perspektive bestärken und zugleich Chancen für gezielte Interventionen aufzeigen. Diese Phänomene repräsentieren Abweichungen des empirischen Falls vom im Methodenteil definierten Idealtypus und verknüpfen Befunde direkt mit operativen Handlungsoptionen.
1.
Formale Compliance versus gelebte Sicherheit: Die Verwaltung produziert umfangreiche Nachweisdokumente, zugrunde liegende Sicherheitspraktiken sind jedoch uneinheitlich. Potenzial besteht darin, Compliance-Vorlagen mit konkreten Arbeitsanweisungen und Übungsskripten zu verbinden, so dass Nachweisführung unmittelbar Trainingswirkung entfaltet. (Compliance, Weiterbildung)
2.
Einheitliche Vorgaben versus lokale Anpassungsbedarfe: EU- und Bundesvorgaben fordern Harmonisierung, die praktische Vielfalt von IT-Landschaften und Prozessen verlangt aber Flexibilität. Ein modularer Standardkern mit optionalen Anpassungsbausteinen reduziert Widersprüche und erleichtert die Umsetzung vor Ort. (Governance, IT)
3.
Kurzfristiger Umsetzungsdruck versus langfristiger Kompetenzaufbau: Politische Fristen erzeugen Fokus auf rasche Dokumentation. Nachhaltige Befähigung benötigt jedoch kontinuierliche Lernpfade. Hier schaffen kombinierte Kurzformate und zertifizierbare Module unmittelbare Zielerreichung und langfristige Wirkung zugleich. (Weiterbildung, Governance)
4.
Zentralisierungsdruck versus föderale und ressortspezifische Autonomie: Forderungen nach zentraler Steuerung stoßen an verfassungsrechtliche und organisatorische Grenzen. Prozessbasierte Koordination in verbindlichen Steuerungsforen ermöglicht praktikable Harmonisierung ohne Eingriffe in Zuständigkeitsprinzipien. (Governance, Compliance, IT)
5.
Transparenzpflichten versus Geheimschutz: Melde- und Berichtspflichten stehen in Spannung mit Schutzinteressen. Aggregierte Indikatoren und gestufte Berichtssysteme erlauben Nachweisführung bei gleichzeitiger Wahrung des Geheimschutzes sensibler Informationen. (Compliance, Governance)
Die Transformation der NIS2-Anforderungen in administratives Handeln ist also weniger eine technische Frage als eine Frage von Steuerstruktur, Kooperation und Ressourcenverfügbarkeit. Die ENISA empfiehlt, effektive Incident-Response-Fähigkeiten aufzubauen, kooperative Servicemodelle mit anderen öffentlichen Einrichtungen zur Optimierung von Ressourcen und zur Stärkung der Cybersicherheitskompetenz zu nutzen sowie durch gezielte Investitionen in Qualifizierung und Personal die Anforderungen der NIS2 zu erfüllen (ENISA 2025a). In Deutschland erhöhen Ressortprinzip und Föderalismus die Komplexität und schaffen weitere spezifische Risiken. Deshalb sollten Maßnahmen darauf abzielen, Fachautonomie zu bewahren und zugleich verbindliche, landesweite Mechanismen zu schaffen. Kurzfristig lassen sich mit verbindlicher Governance, standardisierter Compliance, gebündelter IT-Basisinfrastruktur und zielgerichteter Weiterbildung messbare Verbesserungen erzielen. Langfristig sind multilaterale Zusammenarbeit mit anderen Ländern und dem Bund erforderlich, um Nachhaltigkeit und Vergleichbarkeit sicherzustellen. Wenn Kooperation als kulturbestimmendes Merkmal gelebt wird, werden Anpassungen möglich und damit innere Agilität und externe Services gefördert (Robra-Bissantz und Siemon 2019).
5 Fazit und Ausblick
Der Beitrag liefert Einblicke in die administrative Umsetzung der NIS2-Richtlinie und zeigt sowohl Potenziale für koordinierte Sicherheitsstrukturen als auch Grenzen zwischen normativen Vorgaben und verwaltungspraktischer Umsetzung auf. Für die Praxis ergeben sich Hinweise auf notwendige Steuerungsinstrumente und Unterstützungsstrukturen. Aus Forschungsperspektive trägt die Fallstudie zur gestaltungsorientierten Weiterentwicklung verwaltungsnaher Sicherheitskonzepte bei, indem sie Idealtypen als analytisches Werkzeug nutzt, um organisationale Handlungsspielräume, Aneignungs- und Anpassungsprozesse sowie Zielkonflikte im Kontext föderaler Umsetzungsrealitäten sichtbar zu machen.
Dabei sollten folgende Limitationen bedacht werden: Die Befunde stammen aus einer theoriebasierten Einzelfallstudie. Die Datengrundlage ist qualitativ und die Datendichte begrenzt. Der Zugang zu sensiblen Informationen war teilweise eingeschränkt, was die Tiefe der öffentlich berichtbaren Befunde reduziert. Die Studie liefert noch keine quantitativen Effizienznachweise der vorgeschlagenen Maßnahmen. Wegen der institutionellen Heterogenität im föderalen System sind Übertragungen auf andere Länder nur mit Vorsicht vorzunehmen. Diese Grenzen mindern die Generalisierbarkeit, nicht aber die Relevanz der dargestellten Handlungsoptionen.
Für die nächsten Schritte empfiehlt sich ein zweistufiges Vorgehen in Forschung und Praxis. Folgende praktische Handlungsempfehlungen haben sich aus der Fallstudie ergeben und wurden durch die Empfehlungen in der NIS360-Untersuchung der ENISA (2025a) bestätigt:
Einrichtung eines verbindlichen landesweiten Steuerungsgremiums mit Geschäftsordnung und Eskalationsregeln.
Entwicklung von Vorlagen und Dokumenten, die einem Mindeststandard in der Verwaltung entsprechen und ressortübergreifend eingesetzt werden können.
Ausbau der zentralisierten IT-Strukturen und die Implementierung rollenbezogener Awareness-Maßnahmen.
Parallel sollte die Abstimmung mit Bund-Länder-Gremien intensiviert werden, damit föderale Regelungslücken geschlossen und harmonisierte Mindeststandards etabliert werden.
Um die Tragfähigkeit der Empfehlungen zu prüfen, sollten im Forschungskontext vergleichende Fallstudien in mehreren Bundesländern und Verwaltungskontexten durchgeführt werden. Weiterhin bietet sich die systematische Entwicklung praxisorientierter Awareness-Maßnahmen mit wirksamkeitsorientierter Evaluation an. Die gewonnenen Erkenntnisse sollen in die Konzepte zurückfließen, damit Wirksamkeit, Anpassungsbedarf und Übertragbarkeit empirisch belegt und gezielt verbessert werden.
Interessenkonflikt
R. Finster, L. Grogorick und S. Robra-Bissantz geben an, dass kein Interessenkonflikt besteht.
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen. Weitere Details zur Lizenz entnehmen Sie bitte der Lizenzinformation auf http://creativecommons.org/licenses/by/4.0/deed.de.
Hinweis des Verlags
Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.
ENISA (2025b) Technical implementation guidance on Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 laying down rules for the application of NIS2 Directive as regards technical and methodological requirements of cybersecurity risk-management measures: June 2025, version 1.0. Publications Office. https://data.europa.eu/doi/10.2824/2702548. Gesehen 17. Dez. 2025
Finster R, Grogorick L, Robra-Bissantz S (2025) Navigation im Cyberraum: Die NIS2-Umsetzung in der öffentlichen Verwaltung – mit KOMPASS und SEXTANT. In: Proceedings der Fachtagung Rechts- und Verwaltungsinformatik (RVI 2025) Hamburg
Jonathan GM, Hailemariam KS, Gebremeskel BK, Yalew SD (2021) Public sector digital transformation: challenges for information technology. 2021 IEEE 12th Annual Information Technology, Electronics and Mobile Communication Conference (IEMCON). https://doi.org/10.1109/IEMCON53756.2021.9623161CrossRef
Rehbohm T, Moses F (2023) Federal cybersecurity architecture and information security management—adoption and diffusion of the NIS. In: Proceedings der Fachtagung Rechts- und Verwaltungsinformatik (RVI 2023) Dresden (2 Requirements)
Rehnstam E, Winquist W, Hacks S (2025) NIS2 directive in Sweden: a report on the readiness of Swedish critical infrastructure. In: Horn L, Iwaya L, Kamm L, Martucci L, Pulls T (Hrsg) Secure IT Systems. Springer, S 176–195CrossRef
Stuart I, McCutcheon D, Handfield R, McLachlin R, Samson D (2002) Effective case research in operations management: a process perspective. J Oper Manag 20(5):419–433. https://doi.org/10.1016/S0272-6963(02)00022-0CrossRef
