Informationssicherheit und Compliance zu delegieren, reicht 2026 nicht mehr aus.

Grund dafür ist unter anderem NIS2, die Geschäftsleitungen noch konkreter in die Verantwortung nimmt. Und ohne Governance, Risk and Compliance (GRC) fehlt dem Management die Kontrolle, selbst wenn Richtlinien, Audits und Zertifikate vorhanden sind. 

Dieser Artikel zeigt:  

• Warum die Verantwortung für Informationssicherheit nicht teilbar ist 
• Warum klassische Compliance in wachsenden Organisationen zu kurz greift 
• Wie die wachsenden Anforderungen konkret aussehen 
• Was moderne Governance, Risk and Compliance (GRC) deinem Unternehmen konkret bringt 

Informationssicherheit und Compliance zu delegieren, reicht 2026 nicht mehr aus.

Grund dafür ist unter anderem NIS2, die Geschäftsleitungen noch konkreter in die Verantwortung nimmt. Undohne Governance, Risk and Compliance (GRC) fehlt dem Management die Kontrolle, selbst wenn Richtlinien, Audits und Zertifikate vorhanden sind. 

Dieser Artikel zeigt:  

• Warum die Verantwortung für Informationssicherheit nicht teilbar ist 

• Warum klassische Compliance in wachsenden Organisationen zu kurz greift 

• Wie die wachsenden Anforderungen konkret aussehen 

• Was moderne Governance, Risk and Compliance (GRC) deinem Unternehmen konkret bringt 

Warum ist Informationssicherheit nicht delegierbar, sondern Chefsache?

Mit dem Inkrafttreten des NIS2 Umsetzungsgesetzes ist die Verantwortung 2026 eindeutig festgelegt:  

• Die Geschäftsleitungist verpflichtet,Risikenzuverstehen,zubewerten undwirksames Risikomanagementsicherzustellen.

• Auch wenn Sicherheitsmaßnahmen in Fachbereichen umgesetzt werden, bleibt die Leitung verantwortlich und haftbar.

• Delegiert werden kann also die Umsetzung der Maßnahmen, nicht aber die Verantwortung für deren Auswahl, Wirksamkeit und Überwachung.

Genau deshalb muss Informationssicherheit spätestens ab 2026 zum integralen Bestandteil ganzheitlicher Governance, Risk and Compliance (GRC) werden. 

Warum reicht klassische Compliance in wachsenden Organisationen nicht aus?

Weil klassische Compliance Nachweise erzeugt, ohne Steuerbarkeit und Zukunftssicherheit zu schaffen. 
In wachsenden Organisationen reicht das nicht mehr aus. 

Hier braucht es eine moderne Governance, Risk and Compliance (GRC). 

Viele dieser Unternehmen haben in den letzten Jahren auf neue Anforderungen nur mit zusätzlichen Richtlinien, punktuellen Audits und projektbasierten Sicherheitsmaßnahmen reagiert.
 

Das Problem: Das funktioniert nur, solange Komplexität überschaubar bleibt. Denn mit Wachstum entstehen: 

• parallele Prozesse 

• unterschiedliche Reifegrade  

• eine fragmentierte Sicherheitslandschaft 

Der Leitungsebene fehlt dadurch der Überblick über die tatsächlichen Risiken. Man ist zwar formal compliant, beherrscht aber dennoch seine Risiken nicht wirklich. 

Genau deshalb verlangen Regulierungen wie NIS2, DORA, GDPR oder der Cyber Resilience Act heute über die formale Einhaltung von Anforderungen hinaus eine risikobasierte Sicherheitskultur.  

Sie fordern wirksame Governance, Risk and Compliance (GRC), die:
 

• Maßnahmen risikobasiert priorisiert 

• Entscheidungen ermöglicht  

• Compliance als Ergebnis risikobewussten Handelns sicherstellt 

Wie sehen die wachsenden Anforderungen konkret aus?

Neben gesetzlichen Vorgaben steigt der Druck von Kunden und Lieferketten.
Viele mittelständische Unternehmen mit komplexen Strukturen müssen gleichzeitig Anforderungen aus verschiedenen Standards und Vorgaben erfüllen: 

• TISAX 

• PCI DSS 

• IEC 62443 

• BAIT / VAIT / MaRisk 
   

Ohne übergreifende Governance, Risk and Compliance (GRC) führt das zu mehrfachem Aufwand, nicht abgestimmten Maßnahmen und steigenden Kosten, aber nicht zu mehr Sicherheit. 

Was bedeutet Governance, Risk and Compliance (GRC) konkret für dein Unternehmen?

Kurz gesagt: 
Governance bedeutet, Informationssicherheit aktiv zu steuern, nicht nur Anforderungen abzuarbeiten. Compliance wird zum Ergebnis guter Führung, nicht zur endlosen To‑do‑Liste 

Für wachsende Organisationen heißt das vor allem eines:

Raus aus Einzelmaßnahmen, rein in klare Entscheidungs-, Verantwortungs- und Steuerungsstrukturen, die Sicherheit skalierbar machen  

Was sich für die Geschäftsleitung ändert 

Governance, Risk and Compliance (GRC) verlangt keine Detailarbeit, sondern klare Verantwortung: 

• Transparenz über relevante Risiken 

• belastbare Entscheidungsgrundlagen 

• Steuerung über Prozesse statt Einzelmaßnahmen  

Was sich für die Fachbereiche ändert
 

Mit Governance, Risk and Compliance (GRC) ändern sich nicht die Anforderungen, sondern ihre Umsetzung: 

• einheitliche, klare Leitplanken 

• konsistente Anforderungen 

• weniger Ad-hoc-Anfragen und Reibungsverluste  

Was sich operativ bewährt hat
 

Der nachhaltige Weg beginnt nicht bei Richtlinien, sondern beim Sicherheitsprozess. 

Konkret heißt das:
 

• Etablierung eines risikobasierten ISMS, das bereichsübergreifend konsistent ist 

• Integration von Informationssicherheit in bestehende Geschäftsprozesse 

• klare Rollen und Verantwortlichkeiten zwischen Management, Fachbereichen und externen Partnern 

Mit dem richtigen Partner zur funktionierenden Governance, Risk and Compliance (GRC)

Wir begleiten mittelständische Unternehmen mit komplexen Geschäfts- und IT-Strukturen als Sparringpartner an der Schnittstelle von Management, Fachbereichen und Regulierung.

Unsere Leistungen: 

• NIS2 Gap Analysis 

• ISO 27001 Gap Analysis 

• ISB as a Service (ISBaaS)
  

Quelle:

Daniel Scherer
Security Lead WK IT GmbH

„Ich bin Security Lead bei WK IT GmbH. Anfänglich in der Softwareentwicklung, habe ich meine IT-Erfahrungen als System- und Netzwerkadministrator, Service- und Operationsmanager gesammelt. Es folgten Design und Aufbau von SOC-Infrastrukturen, Rollen als Information Security Officer und Information Security Consultant. Heute begleite ich unsere Kunden in allen Fragen der Informationssicherheit und Cybersecurity von Governance bis Response„.

Zu meinem LinkedIn Account