Prozesserkennung mittels KI und -management spielen eine zentrale Rolle bei NIS-2

Laut einschlägigen Umfragen haben rund 50 Prozent der deutschen Unternehmen NIS-2 noch nicht umgesetzt. Was sind Ihrer Meinung nach die Gründe dafür?

von Kries: „Viele deutsche Unternehmen haben die NIS-2-Richtlinie noch nicht umgesetzt, da sie sich möglicherweise nicht vollständig über die spezifischen Verpflichtungen im Klaren sind, die sie erfüllen müssen. Insbesondere kleinere Unternehmen stehen vor der Herausforderung, dass die Umsetzung ressourcenintensiv ist und sie möglicherweise nicht über die notwendigen Mittel verfügen.

Zudem könnte die Priorisierung anderer geschäftlicher Herausforderungen und die Komplexität ihrer bestehenden IT-Infrastruktur die Umsetzung verzögern. Unternehmen, die ältere oder fragmentierte Systeme nutzen, könnten Schwierigkeiten haben, die geforderten Sicherheitsstandards ohne umfassende Anpassungen zu erfüllen.“

Die Zeit bis zur Frist, wenn NIS-2 in nationales Recht umgesetzt wird, drängt. Was können Unternehmen so kurzfristig noch tun?

von Kries: „Angesichts der nahenden Frist sollten Unternehmen zunächst eine Bestandsaufnahme ihrer aktuellen IT-Sicherheitsmaßnahmen durchführen, um festzustellen, in welchen Bereichen sie den Anforderungen der NIS-2-Richtlinie noch nicht entsprechen. Eine Priorisierung der dringendsten Maßnahmen ist entscheidend, um die größten Sicherheitslücken kurzfristig zu schließen.

Darüber hinaus sollten Unternehmen verstärkt auf eine klare Prozessdokumentation und Automatisierung setzen. Durch die Automatisierung von Sicherheitsprozessen wird sichergestellt, dass die Einhaltung der NIS-2-Vorgaben kontinuierlich überwacht und verbessert wird. Zusätzlich ist es wichtig, Schulungen zur Sensibilisierung der Mitarbeitenden durchzuführen, um das Bewusstsein für die neuen Anforderungen zu schärfen und das Unternehmen insgesamt widerstandsfähiger gegen Cyberangriffe zu machen.“

Wieso ist es zu kurz gedacht, wenn Unternehmen nur an IT-Sicherheitswerkzeuge denken? Was hat Prozesserkennung und -management mit NIS-2 zu tun?

von Kries: „Es ist zu kurz gedacht, wenn Unternehmen bei der Umsetzung von NIS-2 nur an IT-Sicherheitswerkzeuge denken, weil effektive Cybersicherheit weit mehr umfasst als den Einsatz von Technologien. IT-Sicherheitswerkzeuge sind zwar ein wichtiger Bestandteil, doch ohne eine fundierte Prozesserkennung und ein effizientes Prozessmanagement bleiben Sicherheitslücken oft unentdeckt und ungeahnte Risiken bestehen.

Prozesserkennung mittels künstlicher Intelligenz und -management spielen eine zentrale Rolle bei NIS-2, da sie es Unternehmen ermöglichen, ihre gesamten IT- und Geschäftsprozesse umfassend zu verstehen und zu überwachen. Prozessmanagement hilft dabei, Sicherheitsmaßnahmen gezielt in den Arbeitsablauf zu integrieren und so eine ganzheitliche und nachhaltige Sicherheitsstrategie zu entwickeln.“

Sie sagen also Automatisierung und Künstliche Intelligenz sind auch hier entscheidende Eckpfeiler?

von Kries: „Ja unbedingt sogar. Automatisierung ermöglicht es, Sicherheitsprozesse effizienter zu gestalten und die Einhaltung der Vorgaben kontinuierlich zu überwachen. KI kann darüber hinaus komplexe Muster erkennen und potenzielle Bedrohungen frühzeitig identifizieren.

Zum Beispiel kann KI ungewöhnliche Netzwerkaktivitäten aufspüren, wie plötzliche Spitzen im Datenverkehr oder ungewöhnliche Zugriffsmuster, die auf einen möglichen Cyberangriff hinweisen. Auch unbekannte Schwachstellen, sogenannte Zero-Day-Schwachstellen, können durch KI erkannt werden, bevor herkömmliche Sicherheitstools diese identifizieren. Diese proaktiven Maßnahmen tragen dazu bei, Sicherheitsbedrohungen rechtzeitig zu erkennen und abzuwehren, was für die Einhaltung der NIS-2-Richtlinie unerlässlich ist.“

Gibt es konkrete Beispiele aus Ihrer alltäglichen Arbeit, wie Unternehmen NIS-2 und Prozessautomatisierung am besten umsetzen?

von Kries: „Ja, es gibt konkrete Beispiele aus der Praxis, wie Unternehmen NIS-2 und Prozessautomatisierung erfolgreich umsetzen. Ein häufiges Szenario ist die Automatisierung von Sicherheitsvorfällen. Dadurch wird die Reaktion auf Sicherheitsvorfälle automatisiert, indem Daten aus verschiedenen Sicherheitstools zusammengeführt, Bedrohungen automatisch priorisiert und vorab definierte Reaktionspläne ausgelöst werden. Das reduziert die Reaktionszeit und minimiert menschliche Fehler, was für die Einhaltung von NIS-2 entscheidend ist.

Ein weiteres Beispiel ist die automatisierte Risikoanalyse. Unternehmen setzen hier auf KI-gestützte Tools, die regelmäßig und automatisch ihre IT-Systeme auf potenzielle Sicherheitslücken überprüfen. Diese Tools bewerten die Risiken und priorisieren sie nach ihrer potenziellen Auswirkung, sodass Unternehmen ihre Ressourcen gezielt auf die kritischsten Schwachstellen konzentrieren können.“

Was raten Sie Unternehmen, deren Prozess-Automatisierungsprojekte nicht so laufen wie geplant?

von Kries: „Wenn Prozess-Automatisierungsprojekte nicht wie geplant verlaufen, empfehle ich, zunächst eine gründliche Analyse der betroffenen Prozesse durchzuführen. Oftmals liegen die Probleme darin, dass die Prozesse nicht ausreichend verstanden oder dokumentiert sind. Ein gut definierter und effizienter Prozess lässt sich wesentlich leichter und erfolgreicher automatisieren.

Darüber hinaus ist es wichtig, die Projektziele klar zu definieren und sicherzustellen, dass sie mit den strategischen Zielen des Unternehmens übereinstimmen. Unternehmen sollten auch prüfen, ob die eingesetzten Automatisierungstools wirklich zu ihren Anforderungen passen, und bei Bedarf Anpassungen vornehmen. Kommunikation spielt ebenfalls eine zentrale Rolle – regelmäßige Updates und offene Feedbackrunden zwischen den beteiligten Teams können helfen, das Projekt wieder auf den richtigen Kurs zu bringen.“

Apropos Produktivität via Automatisierung und KI. Wie sehr steht hier noch der Mitarbeitende im Mittelpunkt?

von Kries: „Auch in einer Welt, die zunehmend von Automatisierung und KI geprägt ist, bleibt der Mitarbeitende das Herzstück des Unternehmens. Diese Technologien sind nicht dazu da, Menschen zu ersetzen, sondern ihnen den Rücken freizuhalten, indem sie Routineaufgaben übernehmen und komplexe Daten blitzschnell analysieren. So können Mitarbeitende sich auf das konzentrieren, was wirklich zählt: kreative Problemlösungen, strategische Entscheidungen und Innovation. Automatisierung und KI steigern nicht nur die Produktivität, sondern eröffnen neue Freiräume für menschliches Potenzial und persönlichen Erfolg.

Die Zukunft gehört also denjenigen, die Technologie gezielt nutzen, um ihre eigenen Fähigkeiten zu erweitern. Mitarbeitende bleiben die treibende Kraft hinter jedem Fortschritt – sie steuern und optimieren die Prozesse, sorgen für Anpassungen und schaffen so echten Mehrwert. KI und Automatisierung sind Werkzeuge, die uns mehr Zeit und Raum geben, uns auf das Wesentliche zu fokussieren: den Wandel aktiv zu gestalten und die Zukunft unseres Unternehmens voranzutreiben.“

Der Fachkräftemangel ist allgegenwärtig. Geraten Projekte dadurch ins Stocken? Wie sehen Sie die Lage?

von Kries: „Ja, der Fachkräftemangel stellt eine große Herausforderung dar und kann dazu führen, dass Projekte ins Stocken geraten, da Unternehmen nicht genügend qualifizierte Mitarbeitende finden, um Schlüsselrollen zu besetzen. Besonders in Bereichen wie IT, Ingenieurwesen und Data Science fehlt es oft an Experten, die komplexe Projekte vorantreiben können. Dies verlangsamt Innovation und macht es schwieriger, wichtige Initiativen termingerecht umzusetzen.

Dennoch bietet der Fachkräftemangel auch eine Chance, neue Wege zu gehen. Unternehmen setzen vermehrt auf Automatisierung, Künstliche Intelligenz und Prozessoptimierung, um Engpässe abzufangen. KI kann dabei gezielt unterstützen, indem sie Routineaufgaben übernimmt, Datenanalysen beschleunigt und die Produktivität steigert. Dadurch bleibt der Fachkräftemangel kein Showstopper für Projekte, da Mitarbeitende sich stärker auf strategische und kreative Aufgaben konzentrieren können. Langfristig müssen Unternehmen flexibler und kreativer werden, um Projekte trotz begrenzter personeller Ressourcen erfolgreich voranzutreiben.“

Was sollten Unternehmen bis Ende 2024 unbedingt noch angehen und umsetzen? Was sind Ihre Empfehlungen?

von Kries: „Bis Ende 2024 haben Unternehmen die einzigartige Chance, ihre Zukunft aktiv zu gestalten. Jetzt ist die Zeit, Prozesse radikal zu optimieren und Automatisierung sowie Künstliche Intelligenz intelligent einzusetzen. Durch die Digitalisierung ihrer Workflows und die Automatisierung von Routineaufgaben können Unternehmen nicht nur ihre Effizienz steigern, sondern auch ihre Mitarbeitenden freisetzen, um sich auf kreative und strategische Herausforderungen zu konzentrieren. Das eröffnet enormes Potenzial für Innovation und Wachstum – der Wettbewerbsvorteil liegt klar bei denjenigen, die diesen Wandel proaktiv angehen.

Ein entscheidender Erfolgsfaktor wird die Investition in Cybersicherheit sein. Der Schutz vor wachsenden Bedrohungen ist heute mehr als nur eine Kostenstelle – er ist ein klarer Wettbewerbsvorteil. Unternehmen, die frühzeitig in starke Sicherheitsmaßnahmen investieren, profitieren nicht nur von der Einhaltung von Regulierungen wie NIS-2, sondern stärken auch das Vertrauen ihrer Kunden und Partner. Beispiele wie der Schutz vor Ransomware-Angriffen oder die Sicherung sensibler Kundendaten zeigen, wie wichtig präventive Sicherheitsmaßnahmen sind. Unternehmen, die ihre Cybersicherheit proaktiv angehen, minimieren nicht nur das Risiko kostspieliger Zwischenfälle, sondern gewinnen an Reputation und Marktführerschaft. Die Zukunft gehört denen, die in Sicherheit und Innovation investieren – und 2024/2025 ist der ideale Zeitpunkt, diese Weichen zu stellen.“

Unternehmen, die in stark regulierten Bereichen, wie Finanzdienstleister, Gesundheitswesen oder öffentlicher Dienst tätig sind, zögern in der Regel, neue Technologien einzuführen. Warum ist das so?

von Kries: „Strenge Vorschriften und Compliance-Anforderungen: In regulierten Branchen wie Finanzdienstleistungen, Gesundheitswesen oder Pharmazie gibt es umfassende gesetzliche und regulatorische Anforderungen. Neue Technologien müssen diesen Vorschriften entsprechen, was aufwendig und kostspielig sein kann.

• Langwierige Genehmigungsprozesse: Die Implementierung neuer Technologien erfordert oft langwierige Genehmigungs- und Zertifizierungsprozesse durch Regulierungsbehörden, was den Einsatz verlangsamt.
• Mangel an Fachwissen: Es kann an internem Fachwissen fehlen, um neue Technologien effektiv zu implementieren und zu verwalten. Der Mangel an qualifiziertem Personal kann Unternehmen davon abhalten, neue Technologien einzuführen.
• Datenschutz und Sicherheit: In stark regulierten Sektoren ist der Schutz sensibler Daten von größter Bedeutung. Neue Technologien müssen höchste Sicherheitsstandards erfüllen, um Datenschutzverletzungen und Cyberangriffe zu verhindern.
• Konservative Unternehmenskultur: In vielen stark regulierten Branchen herrscht eine konservative Unternehmenskultur vor, die Veränderungen und Innovationen grundsätzlich skeptisch gegenübersteht.

Diese Faktoren zusammen bewirken, dass Unternehmen in stark regulierten Sektoren häufig vorsichtig sind, wenn es um die Einführung neuer Technologien geht.“