NIS2 – Herausforderungen in der Praxis – ein Gespräch mit Barbara Leuschner von refurbed

Business Circle: Sehr geehrte Frau Dr. Leuschner, mit Ihrer Erfahrung im Start-up (wenn wir refurbed noch als solches sehen wollen) und im Konzern: Wie unterschiedlich wird die NIS2-Richtlinie aktuell in beiden Umfeldern wahrgenommen – eher als notwendiges Sicherheitsupdate oder als bürokratische Hürde?

Barbara Leuschner: Kleinere oder jüngere Unternehmen stehen bei der Umsetzung der NIS-2-Richtlinie vor besonderen Herausforderungen. Aufgrund begrenzter personeller und finanzieller Ressourcen sowie noch nicht vollständig etablierter interner Strukturen können sie die Anforderungen nicht in gleicher Weise umsetzen wie größere Organisationen. In der Praxis bedeutet das, dass ein risikobasierter Ansatz notwendig ist: Unternehmen müssen priorisieren, welche Maßnahmen sie in welchem Umfang umsetzen können. Diese pragmatische Herangehensweise ist oft der einzige gangbare Weg, um den Anforderungen der NIS-2 in einem angemessenen Verhältnis zur eigenen Leistungsfähigkeit gerecht zu werden.

BC: Wie sehen Sie NIS2 im Vergleich zur DSGVO – könnten Zielkonflikte entstehen?

Leuschner: Ja, vor allem weil NIS-2 auf die Systemsicherheit und die DSGVO auf den Schutz personenbezogener Daten fokussiert. Das kann zu Zielkonflikten führen – etwa bei der Meldung von Vorfällen. Wichtig ist, beide Anforderungen integriert zu denken: Datenschutz und Informationssicherheit sollten verzahnt gesteuert werden. Mit einem risikobasierten, pragmatischen Ansatz lassen sich Überschneidungen effizient nutzen und Zielkonflikte minimieren – gerade für kleinere Unternehmen mit begrenzten Ressourcen.

BC: Wie wichtig ist heute die enge Zusammenarbeit zwischen Legal, Datenschutz und Datensicherheit  – und wie lässt sich diese Kollaboration strukturell verankern?

Leuschner: Aus meiner Erfahrung ist das Wichtigste, mit der IT Abteilung (Datensicherheit) früh ins Gespräch zu gehen. Wenn man einmal ein gemeinsames Verständnis aufgebaut hat, läuft die Zusammenarbeit meist ganz unkompliziert. Denn am Ende zählt vor allem eines: It’s all about building connections.

BC: Daran anschließend:  Welche Rolle spielt die Rechtsabteilung in diesem Zusammenspiel – strategisch wie operativ? Und wie kann sie am besten eingebunden werden?

Leuschner: Die Rechtsabteilung spielt sowohl strategisch als auch operativ eine Schlüsselrolle – sie schafft den rechtlichen Rahmen, hilft bei der Priorisierung von Risiken und begleitet Projekte mit ihrer Expertise. Wichtig ist, sie frühzeitig einzubinden und als Sparringspartner zu verstehen, nicht nur als Kontrollinstanz. So entsteht echte Zusammenarbeit auf Augenhöhe.

Die Flut an Regulierungen stellt vor allem KMU vor enorme Herausforderungen

BC: Kritiker sehen in Regulierungen wie DSGVO oder NIS2 ein mögliches Wettbewerbshemmnis gegenüber weniger regulierten Märkten wie USA oder China. Wie stehen Sie zu dieser Einschätzung – und wo sehen Sie die EU möglicherweise sogar im Vorteil?

Leuschner: Die Flut an EU-Regulierungen stellt vor allem kleine und mittelständische Unternehmen vor enorme Herausforderungen – personell, finanziell und organisatorisch. Viele der Regelwerke sind ursprünglich auf große Konzerne wie Meta oder Google ausgerichtet, doch treffen sie in der Praxis oft jene am stärksten, die die geringsten Ressourcen haben. Gleichzeitig entsteht ein Wettbewerbsnachteil gegenüber Unternehmen außerhalb der EU, die nicht denselben regulatorischen Pflichten unterliegen.

BC: Gibt es aus Ihrer Sicht kritische Punkte, auf die Unternehmen in der Vorbereitung auf mögliche NIS2-Audits besonders achten sollten?

Leuschner: Unternehmen sollten insbesondere Wert auf Transparenz, Nachvollziehbarkeit und risikobasiertes Vorgehen legen. Wer seine Prozesse dokumentiert, Verantwortlichkeiten klärt und regelmäßig überprüft, ist gut aufgestellt – auch ohne „perfekte“ IT.

BC: Abschließend: Wir gehen jetzt schon länger ein Stück gemeinsamen Weges. Nun haben Sie den Sprung in die Speaker Faculty geschafft, herzlichen Glückwunsch dazu! Was sind für Sie die Erfolgsgaranten der PriSec?

Leuschner: Vielen Dank! Ich freue mich sehr, dass ich Teil der Speaker Faculty sein darf! Aus meiner Sicht ist die PriSec unter anderem deshalb so erfolgreich, weil sie eine hervorragende Balance zwischen Theorie und Praxis schafft. Die Auswahl der Sprecher ist jedes Jahr beeindruckend vielfältig und deckt unterschiedlichste Fachbereiche und Perspektiven ab – das macht sie besonders wertvoll.

BC: Liebe Frau Dr. Leuschner, wir danken Ihnen für dieses Gespräch und freuen uns, Sie bald bei uns auf der Bühne zu begrüßen!

‍