top of page

Showcar vs. Biest

Tempo-Thema DORA & NIS2: Rundenzeit kommt aus Training

Neulich habe ich den Film „Formula 1“ gesehen – richtig gut, schaut mal rein. Und ohne zu spoilern: Am Ende gewinnt… sagen wir mal… nicht automatisch der beste Bolide.

Seitdem begleitet mich ein Bild, das erstaunlich gut zu dem passt, was gerade in vielen Unternehmen passiert: NIS2 und DORA fühlen sich an wie eine neue Rennserie mit neuen Regeln, engem Zeitplan und hoher Erwartungshaltung. Und plötzlich geht es nicht mehr darum, ob man die Theorie verstanden hat – sondern ob man stabil Leistung bringen kann, wenn es zählt.

Denn: Regulatorik ist gerade ein Tempo-Thema.Und Tempo entsteht nicht durch mehr Slides. Tempo entsteht durch Fähigkeiten.


Worum es mir hier geht (und worum nicht)

Ich werde in diesem Beitrag nicht die Regelwerke nacherzählen. Dafür gibt es genug Übersichten, Checklisten und Auslegungshilfen.

Was mich in der Praxis viel mehr beschäftigt, ist die eigentliche Umsetzungsrealität:

  • Die Anforderungen sind komplex.

  • Die Zeit ist knapp.

  • Die Abhängigkeiten sind groß (IT, Risk, Compliance, Einkauf, Legal, Provider, SOC, …).

  • Und am Ende muss es im Betrieb funktionieren – nicht nur im Audit.

Kurz: Ihr müsst nicht nur „konform“ werden. Ihr müsst handlungsfähig werden.

Viele optimieren erstmal ihre Garage

Was ich gerade häufig sehe: Viele Organisationen investieren zuerst sehr viel Energie in die „Garage“:

  • GAP-Analysen

  • Programme und Steering-Strukturen

  • Reporting und Statusbilder

  • externe Teams und „Delivery Power“

  • Artefakte, Templates, Policies in Serie

Das kann alles sinnvoll sein. Aber es hat einen Haken: Garagen-Optimierung ist keine Rundenzeit.

Du kannst das Auto perfekt vermessen, lackieren und dokumentieren – wenn das Team nicht trainiert, wird es auf der Strecke nicht stabil schnell. Oder schlimmer: Es wird schnell und instabil.

Und das ist in Cyber-/IKT-Resilienz genau der Punkt: Instabil schnell ist das, was später teuer wird.

Die entscheidenden Fragen sind operativ – nicht akademisch

Die zentrale Frage ist nicht: „Was fehlt uns laut Regelwerk?“

Sondern eher so:

  • Wer fährt den Boliden bei uns, wenn es schnell wird?

  • Wer entscheidet in der Kurve – nicht im Lenkungskreis nächsten Monat?

  • Wer macht den Boxenstopp – und wer gibt das Go?

  • Wer reagiert, wenn ein kritischer Dienstleister ausfällt oder ein Incident reinknallt?

Das sind Führungsfragen. Und das sind Betriebsfragen.

Denn am Ende ist DORA/NIS2 nicht nur „Dokumentation“ – es ist Betriebsfähigkeit unter Stress.

Was ich aus zwei Jahren DORA-Projekten in Banken mitnehme

Ich begleite seit zwei Jahren DORA-Projekte in Banken. Mein größtes Learning:

Der Abstand zwischen „Framework steht“ und „Betrieb läuft“ ist brutal.Und er wird nicht durch mehr Folien kleiner, sondern durch Training und Übung.

Banken sind hier nicht „besser“, aber sie sind oft früher durch die Realität gegangen:Incident-Situationen, Provider-Abhängigkeiten, Nachweis- und Auditfähigkeit, operative Reaktionsfähigkeit – und das Ganze mit engem Zeitplan.

Und genau deshalb können andere Branchen jetzt profitieren: nicht indem man Banking 1:1 kopiert, sondern indem man sich einen entscheidenden Punkt abschaut:

Resilienz entsteht nicht durch Papier. Sie entsteht durch Können.

Rückblickend würde ich früher vom Showcar-Modus in den Rennbetrieb wechseln

Im Rückspiegel ist es für mich klar: Wir hätten früher trainieren sollen, statt die Garage zu polieren.

Warum?

Ein Showcar sieht beeindruckend aus. Es glänzt. Es erfüllt Erwartungen auf dem Papier.Aber ein Rennwagen muss etwas anderes leisten: unter wechselnden Bedingungen stabil funktionieren.

Und genau das ist eure Lage: Ihr braucht nicht „eine Strecke“. Ihr braucht Leistung auf jeder Strecke:

  • bei internen Änderungen (Reorg, neue Systeme, M&A)

  • bei externen Störungen (Provider-Probleme, Angriffe, Ausfälle)

  • bei Prüfungen und Nachfragen (Audit, Aufsicht, interne Revision)

  • im Tagesgeschäft (Prioritäten, Budget, knappe Ressourcen)

Ein teurer Rennwagen ist das eine.Das noch wertvollere Team, das ihn sicher und schnell bewegt, ist das andere.

Der Hebel, den viele unterschätzen: Praxisnahe Schulung (früh, fokussiert, rollenbasiert)

Wenn du mich fragst, was ich bei NIS2/DORA anders machen würde, ist meine Antwort provokant, aber praktisch:

Schult eure Mannschaft so früh wie möglich.

Nicht als „Awareness-Häkchen“. Sondern als Enablement, das Rundenzeit bringt:

  • Gemeinsame Sprache: Was bedeutet „Incident“, „kritischer Dienstleister“, „Resilienz“, „Kontrolle“ in eurem Kontext?

  • Klare Rollen & Entscheidungswege: Wer darf was wann entscheiden? Wer gibt „Go“?

  • Praktische Entscheidungslogik: Was ist „gut genug“, was ist „zu riskant“, was hat Priorität?

  • Drills & Übungen: Incident-Response nicht nur beschreiben, sondern durchspielen.

  • Third-Party-Szenarien: Ausfall, Vertrags-/Exit-Themen, Eskalationen, Kommunikationspfade.

Das Ziel ist nicht „Wissen“. Das Ziel ist: Handlungsfähigkeit.


Wer ich dabei bin – und was ich anbiete

Ich bin PECB DORA Lead Manager und bringe von Kunden verifizierte Projekterfahrung aus DORA-Umsetzungen mit. (Also nicht nur „Zertifikat“, sondern Praxis, die in Projekten und bei Kunden nachweisbar ist.)

Und genau daraus sind meine Schulungen entstanden: für die Praxis. Für Menschen, die am Ende dafür sorgen müssen, dass der teure Rennwagen – und vor allem das noch wertvollere Team – heil bleibt und schnell ist. Nicht nur auf einer Strecke, sondern auf jeder.


Wenn ihr euch aktuell dabei ertappt, viel in die Garage zu investieren: völlig normal. Aber stellt euch parallel die Frage:

Wo bauen wir gerade echte Fahrfähigkeit auf?

Wenn ihr wollt, unterstütze ich euch dabei mit praxisnahen Schulungen – für Führungskräfte und Teams, die am Ende die Rundenzeit verantworten.

Meldet euch gern direkt  – dann schauen wir, welches Format zu eurer Organisation passt und wo ihr am schnellsten messbar handlungsfähiger werdet.


 
 
 

Kommentare

bottom of page