Teamstudie: NIS2 im Team

Was diese Teamstudie Ihrem Team gibt

NIS2-Anforderungen im Team durcharbeiten – mit Fokus auf IT-Sicherheit und Meldepflichten.

NIS2 im Team

Das Meldepflicht-Meeting, das fast eskaliert – und wie es doch gelingt

Unternehmen	Nextronix AG, Sursee LU
Branche	IoT-Steuerungen für die Lebensmittelindustrie in Europa
Grösse	92 Mitarbeitende
Regulierung	NIS2 – Meldepflichten, Risikomanagement, kritische Infrastruktur
Konfliktauslöser	Erster grosser NIS2-Workshop: Meldepflicht-Matrix für 47 potenzielle Vorfälle
Lernpunkt	9 statt 47 Meldepunkte – durch Struktur, nicht durch Kompromiss

Einordnung

Diese Teamstudie zeigt, wie ein NIS2-Meldepflicht-Workshop durch den Zusammenprall von Entwicklungslogik, Rechtslogik und Sicherheitslogik an den Rand des Scheiterns gerät – und wie eine strukturierte CEO-Moderation die Wende bringt.

Die Ausgangslage

Die Nextronix AG aus Sursee entwickelt IoT-Steuerungen für die Lebensmittelindustrie in ganz Europa. Seit Monaten steht auf der Agenda: NIS2-Umsetzung. Jetzt ist es so weit: Erster grosser Risiko- und Meldepflicht-Workshop. Alle sind da – und es knistert sofort.

Das Unternehmen fällt als wichtiger Anbieter kritischer Infrastrukturen unter NIS2. Die 24-Stunden-Early-Warning-Pflicht, der 72-Stunden-Initial-Report und der 1-Monats-Final-Report sind nicht verhandelbar. Was verhandelbar ist: Was genau als meldepflichtig gilt.

Das Modell: Vier Arbeitslogiken

NIS2 verbindet technische Sicherheitslogik, rechtliche Pflichtlogik und operative Entwicklungslogik in einem Projekt. Das ist kein Problem – solange diese Logiken nacheinander reden dürfen. Das Problem entsteht, wenn sie gleichzeitig reden.

System	Arbeitslogik	Fokus	In diesem Meeting
A	Resonanz	Menschen, Klima, Wirkung	Sandra – CEO
B	Struktur	Pflichten, Relevanz, Entscheidungen	Philipp – Leiter Recht & Compliance
C	Exploration	Ideen, Optionen, Innovation	Lena – Head of Development
D	Tiefe	Analyse, Risiken, Abhängigkeiten	Timo – Externer CISO

Die Konfliktlage

System A – Resonanz

Sandra

„Wenn wir uns jetzt zerstreiten, verlieren wir Monate.“

System B – Struktur

Philipp

„Wir brauchen eine lückenlose Melde-Matrix. 24h, 72h, 1 Monat. Das ist Gesetz.“

System C – Exploration

Lena

„Wir können doch nicht jede kleine Anomalie melden. Dann sitzen wir nur noch am Telefon mit dem NCSC.“

System D – Tiefe

Timo

„Wenn wir nicht jede erhebliche Anomalie melden, verlieren wir in drei Jahren unsere EU-Marktzulassung.“

Die Eskalation

Nach zehn Minuten reden alle durcheinander. Die Energie kippt.

Philipp: „Lena, das ist kein Vorschlag. Das ist Gesetz.“ Lena: „Gesetze, die ich nicht umsetzen kann, helfen niemandem.“ Timo, ruhig: „Beide haben recht – und ihr redet aneinander vorbei.“

Die 4-Phasen-Wende

Sandra stoppt das Meeting.

„Stopp. Lena, du sprichst zuerst fünf Minuten frei. Was stört dich genau an der Meldepflicht?“

Phase 1 — Exploration (System C)

Freies Reden ohne Bewertung – Lena beginnt. Lena beschreibt den Entwickleralltag. Wie viele Anomalien täglich auftreten. Was meldepflichtig wäre, wenn man Philipps Liste wortwörtlich nannte. Was das für das Team bedeuten würde. Philipp hört zu – und beginnt zum ersten Mal zu verstehen, warum seine Matrix für Lena wie eine Lähmung wirkt.

Phase 2 — Analyse (System D)

Die drei schlimmsten Szenarien bei falscher oder fehlender Meldung. Sandra zu Timo: „Zeig uns die drei schlimmsten Szenarien, wenn wir falsch melden – oder nicht melden.“ Timo nennt: Bussgeld bis 10 Millionen Euro oder 2 % des Weltumsatzes. Entzug der EU-Marktzulassung. Öffentliche Bekanntgabe des Verstosses durch die Aufsichtsbehörde. Lena hört zu. Ihre Körpersprache verändert sich.

Phase 3 — Struktur (System B)

Matrix erstellen – aber nur basierend auf Phase 1 und 2. Sandra: „Philipp, bitte bau eine Matrix – aber nur basierend auf Phase 1 und 2.“ Philipp arbeitet zwanzig Minuten. Ergebnis: 9 statt 47 Meldepunkte. Lena liest die Liste. „Das ist machbar.“ Timo nickt: „Das ist auch regelkonform.“

Phase 4 — Kommunikation (System A)

Verbindlichkeit herstellen – alle müssen dahinterstehen. Sandra: „Wir haben jetzt eine Matrix, die machbar ist, schützt und uns nicht erstickt. Wer fühlt sich wohl damit?“ Alle nicken. Lena sagt: „Ich hätte nie gedacht, dass ich mal sage: Die Meldepflicht macht Sinn.“

Das Ergebnis nach 90 Minuten

Eine praktikable NIS2-Melde-Matrix mit 9 Ampel-Indikatoren statt 47

Klare Rollen und Eskalationswege für jeden Meldepunkt

Ein Dashboard, das den Meldestatus in Echtzeit abbildet

Ein Team, das wieder zusammenarbeitet

Learnings

1	NIS2 scheitert nicht an Technik	Es scheitert an Meetings ohne Struktur. 47 Meldepunkte werden durch Priorisierung zu 9 – nicht durch Kompromiss.
2	Die 24/72/1-Monat-Fristen sind ein Rhythmus	Kein Berichtssystem für jede Anomalie. Kein Filter, der echte Vorfälle übersieht. Das ist die Balance.
3	Erfolg entsteht durch Reihenfolge	C → D → B → A. Erst Praxissicht, dann Risikosicht, dann Struktur, dann Verbindlichkeit.
4	Die 4-Phasen-Methode macht NIS2 zum Team-Tool	Was als regulatorische Last begann, wird zum gemeinsamen Steuerungsinstrument.
5	Führung ist das verbindende Element	Sandra hat keine Entscheidung getroffen. Sie hat den Raum geschaffen, in dem das Team die richtige Entscheidung treffen konnte.

Kernaussage

NIS2 macht aus Pflichten ein Team-Tool – wenn man die Reihenfolge kennt. 9 Meldepunkte statt 47. Nicht durch Kompromiss, sondern durch Struktur.

NBK Legal ·

Die vorliegende Teamstudie ersetzt keine Rechtsberatung.

Weiter vertiefen

Leitfaden Leitfaden NIS2 NIS2 als Vorbereitung lesen. Lesen → Self-Check Self-Check NIS2 NIS2-Readiness prüfen. Lesen → Krimi Krimi: Die Compliance-Fassade Wenn Sicherheit nur Fassade ist. Lesen →