NIS2: Tabletop-Übungen für Business Continuity Pläne

Aktualisierung des Artikels am 21.11.2025: Die NIS2-Pflichten greifen in Deutschland erst mit Inkrafttreten des neuen Gesetzes, das nach Zustimmung des Bundesrats Ende 2025 oder Anfang 2026 erwartet wird. Ab diesem Zeitpunkt gelten die erweiterten Anforderungen für tausende Unternehmen verbindlich.

‍

Stellen Sie sich vor, ein Auditor fragt Sie nicht, ob Sie einen Notfallplan haben, sondern: „Zeigen Sie mir die Protokolle Ihrer letzten Krisenübung und die daraus abgeleiteten Verbesserungen.“ Plötzlich wird klar: Unter der neuen NIS2-Richtlinie ist eine fehlgeschlagene oder undokumentierte Übung fast so teuer wie ein echter Cyberangriff. Die persönliche Haftung der Geschäftsführung rückt dabei ins Zentrum.

‍

Viele Unternehmen sehen Krisenübungen als lästige Pflicht. Einmal im Jahr trifft man sich, spielt ein unrealistisches Szenario durch und legt den Bericht ab. Doch dieser Ansatz ist nicht nur veraltet, er ist gefährlich. Eine gut geplante Tabletop-Übung ist kein Test, den man bestehen oder nicht bestehen kann. Es ist ein strategisches Instrument, das Schwachstellen aufdeckt, bevor ein Angreifer es tut, und vor allem: Es erzeugt den entscheidenden Nachweis für Ihre NIS2-Compliance.

‍

Dieser Leitfaden ist Ihr Begleiter – von der ersten Idee bis zum audit-sicheren Abschlussbericht. Wir verwandeln die „Pflichtübung“ in einen echten Wettbewerbsvorteil und zeigen Ihnen, wie Sie Ihre Resilienz nicht nur behaupten, sondern beweisen.

‍

Foundation: Die Tabletop-Übung im NIS2-Universum

‍

Was genau ist eine Tabletop-Übung? Stellen Sie es sich wie ein moderiertes „Was-wäre-wenn“-Gespräch für den Ernstfall vor. Anstatt echte Systeme herunterzufahren, versammelt sich ein Team von Entscheidungsträgern (IT, Geschäftsführung, Recht, Kommunikation) um einen Tisch (daher der Name) und diskutiert sich durch ein fiktives Krisenszenario – zum Beispiel einen Ransomware-Angriff. Der Fokus liegt auf Kommunikation, Entscheidungsprozessen und der Reaktion gemäß Ihrem Business Continuity Plan (BCP).

‍

Im Kontext von NIS2 wird diese Übung zu einem zentralen Baustein. Das Gesetz verlangt nicht nur, dass Sie Pläne für das Krisenmanagement und die Betriebskontinuität haben, sondern auch, dass Sie deren Wirksamkeit regelmäßig testen. Eine Tabletop-Übung ist die perfekte Methode, um genau das zu tun. Sie ist mehr als nur eine Übung – sie ist ein lebender Beweis dafür, dass Ihr Unternehmen handlungsfähig ist und die strengen NIS2-Anforderungen ernst nimmt.

‍

‍

Der entscheidende „Aha-Moment“ ist die Erkenntnis, dass das Ergebnis der Übung nicht nur ein besseres Gefühl der Sicherheit ist, sondern ein konkretes Nachweisdokument. Dieses Dokument belegt gegenüber Auditoren und Behörden, dass Sie proaktiv handeln, Schwachstellen identifizieren und Ihre Pläne kontinuierlich verbessern.

‍

Building: Der 5-Phasen-Leitfaden zur NIS2-konformen Tabletop-Übung

‍

Eine erfolgreiche Übung entsteht nicht zufällig. Sie folgt einem strukturierten Prozess, der sicherstellt, dass alle relevanten Aspekte von NIS2 berücksichtigt werden. Von der Planung bis zur Nachbereitung – so gestalten Sie eine Übung, die echten Mehrwert liefert.

‍

‍

Phase 1: Konzeption & Planung – Das Fundament legen

‍

Bevor Sie ein Szenario entwerfen, müssen Sie Ihre Ziele definieren. Was genau wollen Sie testen?

‍

• Ziele definieren: Konzentrieren Sie sich auf spezifische NIS2-Anforderungen. Wollen Sie die Einhaltung der 24-Stunden-Frist für die Erst-NIS2-Meldepflicht testen? Oder liegt der Fokus auf der Krisenkommunikation mit Kunden und Behörden? Ein klares Ziel verhindert, dass die Übung ausufert.
• Teilnehmer auswählen: Wer muss am Tisch sitzen? Laden Sie nicht nur die IT-Abteilung ein. Für eine NIS2-konforme Übung sind Vertreter aus der Geschäftsführung, der Rechtsabteilung, der Personalabteilung und der Unternehmenskommunikation unerlässlich. Denken Sie auch an externe Partner, die Teil Ihrer kritischen Lieferkette sind.
• Ressourcen planen: Buchen Sie einen geeigneten Raum, planen Sie genügend Zeit ein (mindestens 3-4 Stunden) und ernennen Sie einen Moderator, der durch die Übung führt, sowie einen Protokollanten, der alle Entscheidungen, Diskussionen und identifizierten Lücken festhält.

‍

Phase 2: Szenario-Entwicklung – Die Krise greifbar machen

‍

Ein gutes Szenario ist realistisch, relevant und herausfordernd. Es sollte Ihr Unternehmen dort treffen, wo es verwundbar ist.

‍

• Szenario-Typ wählen:
  • Ransomware-Angriff: Der Klassiker. Wie reagieren Sie auf die Verschlüsselung kritischer Systeme? Zahlen Sie Lösegeld? Wie stellen Sie den Betrieb wieder her?
  • Supply-Chain-Angriff: Ein Angriff auf einen Ihrer wichtigsten Zulieferer legt Ihre Produktion lahm. Wie stellen Sie sicher, dass Ihre Lieferanten die NIS2-Anforderungen ebenfalls erfüllen? Wie aktivieren Sie alternative Lieferanten?
  • Insider-Bedrohung: Ein frustrierter Mitarbeiter sabotiert bewusst kritische Datenbanken. Wie identifizieren Sie die Bedrohung und wie gehen Sie intern damit um?
    ‍
• Injektionen einbauen: Eine Übung lebt von unerwarteten Wendungen („Injektionen“). Was passiert, wenn nach einer Stunde der erste Pressevertreter anruft? Oder wenn der designierte Krisenmanager im Urlaub und nicht erreichbar ist? Solche Elemente testen die Flexibilität Ihres Plans.

‍

Phase 3: Durchführung – Den Ernstfall proben

‍

Der Moderator führt das Team durch das Szenario. Seine Aufgabe ist es, die Diskussion am Laufen zu halten und sicherzustellen, dass die Ziele der Übung erreicht werden.

‍

• Rollenverteilung: Jeder Teilnehmer sollte seine reale Rolle im Unternehmen einnehmen. Der CEO trifft die strategischen Entscheidungen, der CISO die technischen und der PR-Chef formuliert die öffentliche Kommunikation.
• Offene Diskussion fördern: Es geht nicht darum, perfekte Antworten zu finden, sondern darum, Prozesse zu hinterfragen. Eine Kultur, in der Fehler offen angesprochen werden können, ist entscheidend. Die wichtigste Frage lautet immer: „Was steht dazu in unserem Notfallplan?“
• Zeitmanagement: Halten Sie sich an den Zeitplan, um sicherzustellen, dass alle Phasen des Szenarios durchgespielt werden können.

‍

Phase 4: Auswertung & Analyse – Die Lücken finden

‍

Direkt nach der Übung, während die Eindrücke noch frisch sind, sollten Sie eine erste Auswertungsrunde durchführen.

‍

• Was lief gut? Identifizieren Sie die Stärken Ihrer Reaktion. War die Kommunikationskette klar? Waren die Zuständigkeiten eindeutig?
• Wo gab es Probleme? Seien Sie ehrlich. Gab es widersprüchliche Anweisungen? Fehlten wichtige Informationen? War der Notfallplan an entscheidenden Stellen unklar oder veraltet?
• Metriken definieren: Messen Sie den Erfolg anhand Ihrer zuvor definierten Ziele. Beispiel: Konnte innerhalb von 60 Minuten ein vollständiges Krisenteam einberufen werden? Wurden alle relevanten Stakeholder innerhalb von 2 Stunden informiert?

‍

Phase 5: Integration & Dokumentation – Den Plan verbessern

‍

Die wertvollste Phase findet nach der Übung statt. Die gesammelten Erkenntnisse müssen nun in konkrete Maßnahmen umgesetzt werden.

‍

• Maßnahmenkatalog erstellen: Weisen Sie jeder identifizierten Schwachstelle eine klare Aufgabe, einen Verantwortlichen und eine Frist zu. Beispiel: „Aufgabe: Kontaktliste der externen Rechtsberater im BCP aktualisieren. Verantwortlich: Rechtsabteilung. Frist: 2 Wochen.“
  ‍
• Business Continuity Plan anpassen: Integrieren Sie die Verbesserungen direkt in Ihre Notfalldokumente. Ein Plan, der nach einer Übung nicht angepasst wird, ist wertlos.
  ‍
• Audit-sicheren Bericht erstellen: Fassen Sie den gesamten Prozess zusammen: Ziele, Szenario, Teilnehmer, Diskussionsverlauf, identifizierte Schwachstellen und der daraus resultierende Maßnahmenkatalog. Dieses Dokument ist Ihr Goldstandard für den nächsten NIS2-Audit.

Mastery: Häufige Fehler vermeiden und den Reifegrad steigern

‍

Selbst die besten Pläne können an einfachen Fehlern scheitern. Indem Sie typische Stolperfallen kennen, erhöhen Sie die Wirksamkeit Ihrer Übungen erheblich und entwickeln eine reife Sicherheitskultur.

‍

‍

• Fehler 1: Die Übung als Alibi-Veranstaltung. Wenn die Geschäftsführung nicht aktiv teilnimmt oder die Ergebnisse nicht ernst genommen werden, verkommt die Übung zu einer reinen Pflichtveranstaltung ohne Lerneffekt.
  • Lösung: Verankern Sie die Verantwortung für die NIS2-Compliance klar in der Geschäftsführungsebene. Der Abschlussbericht sollte direkt an den Vorstand gehen.
    ‍
• Fehler 2: Unvollständiger Teilnehmerkreis. Oft wird nur die IT-Abteilung einbezogen. Eine Krise ist jedoch immer ein unternehmensweites Problem, das rechtliche, kommunikative und personelle Entscheidungen erfordert.
  • Lösung: Nutzen Sie die Planungsphase, um alle relevanten Stakeholder zu identifizieren. Denken Sie abteilungsübergreifend.
    ‍
• Fehler 3: Externe Dienstleister vergessen. Ihre Lieferkette ist Teil Ihrer Angriffsfläche. Wenn Ihr externer IT-Dienstleister oder Cloud-Anbieter in der Übung nicht berücksichtigt wird, testen Sie nur die halbe Wahrheit.
  • Lösung: Beziehen Sie kritische Partner aktiv in die Szenarien ein oder definieren Sie klare Kommunikationswege und Eskalationspfade mit ihnen, die im Rahmen der Übung überprüft werden.
    ‍
• Fehler 4: Mangelhafte Dokumentation. Eine Übung ohne detailliertes Protokoll und umsetzbare nächste Schritte ist für einen Auditor wertlos.
  • Lösung: Betrachten Sie die Dokumentation von Anfang an als zentrales Ergebnis. Der Protokollant hat eine der wichtigsten Rollen in der gesamten Übung.
    ‍

Das Ziel ist es, von einem jährlichen Pflichttermin zu einem kontinuierlichen Verbesserungsprozess zu gelangen. Jede Übung sollte den Reifegrad Ihrer Organisation erhöhen und Sie besser auf die nächste, unvermeidliche Krise vorbereiten.

‍

Fazit: Vom Pflichttermin zum strategischen Vorteil

‍

Tabletop-Übungen sind im Zeitalter von NIS2 kein „Nice-to-have“ mehr. Sie sind ein unverzichtbares Instrument, um die Widerstandsfähigkeit Ihres Unternehmens zu stärken und die gesetzlichen Anforderungen zu erfüllen. Der wahre Wert liegt jedoch nicht nur im Abhaken einer Compliance-Box.

‍

Indem Sie Ihre Notfallpläne regelmäßig auf den Prüfstand stellen, fördern Sie eine Kultur der Sicherheit, verbessern die Zusammenarbeit zwischen Abteilungen und decken blinde Flecken auf, bevor sie zu einer echten Bedrohung werden. Sie verwandeln eine gesetzliche Pflicht in einen strategischen Vorteil, der Ihr Unternehmen sicherer, resilienter und letztlich erfolgreicher macht. Beginnen Sie noch heute mit der Planung – der nächste Auditor kommt bestimmt.

‍

FAQs: Ihre Fragen zu Tabletop-Übungen und NIS2

‍

Was ist eine Tabletop-Übung?

‍

Eine Tabletop-Übung ist eine diskussionsbasierte Krisensimulation. Ein Team durchspricht ein fiktives Notfallszenario, um die Wirksamkeit von Plänen, Prozessen und der internen Kommunikation zu testen, ohne den realen Betrieb zu beeinträchtigen.

‍

Wie oft sollte man eine solche Übung durchführen?

NIS2 schreibt regelmäßige Tests vor. Eine bewährte Praxis ist die Durchführung einer umfassenden Tabletop-Übung mindestens einmal pro Jahr. Kleinere, fokussierte Übungen können je nach Risikolage auch häufiger sinnvoll sein.

‍

Wer muss an einer NIS2-konformen Übung teilnehmen?

‍

Der Teilnehmerkreis sollte funktionsübergreifend sein. Unverzichtbar sind Vertreter der Geschäftsführung, IT/Informationssicherheit, Rechtsabteilung, Personalwesen und Unternehmenskommunikation. Je nach Szenario sollten auch Leiter kritischer Fachbereiche (z.B. Produktion, Logistik) teilnehmen.

‍

Was kostet die Durchführung einer Tabletop-Übung?

‍

Die Kosten sind im Vergleich zu einem echten Sicherheitsvorfall minimal. Sie bestehen hauptsächlich aus der internen Arbeitszeit der Teilnehmer und des Organisationsteams. Externe Moderatoren können zusätzliche Kosten verursachen, bringen aber oft wertvolle Impulse und eine neutrale Perspektive ein.

‍