Zurück zum BlogCompliance

Strategie auf dem Papier — aber funktioniert sie auch in der Praxis?

uComply

Team uComply

Autor

March 3, 2026

Veröffentlicht

Compliance

Strategie auf dem Papier — aber funktioniert sie auch in der Praxis?

Im Februar 2026 wurde der niederländische Telekommunikationsanbieter Odido Opfer eines Cyberangriffs einer Hackergruppe. Durch Social Engineering wurden Kundendienstmitarbeiter getäuscht, woraufhin die Angreifer 48 Stunden lang unbemerkt Zugang zur Salesforce-Datenbank hatten. Das Ergebnis: Personenbezogene Daten von 6,2 Millionen Kunden wurden offengelegt — Namen, Adressen, Bankdaten, Passnummern und Führerscheine. Odido weigerte sich, das Lösegeld von einer Million Euro zu zahlen, woraufhin der vollständige Datensatz im Dark Web veröffentlicht wurde.

Odido hatte zweifellos Sicherheitsrichtlinien, Incident-Response-Verfahren und einen Krisenplan. Aber waren die Mitarbeiter ausreichend geschult und geübt, um einen Social-Engineering-Angriff zu erkennen? Der Plan existierte — die Frage ist, ob die Organisation tatsächlich vorbereitet war.

Dieses Muster ist nur allzu bekannt. Von Datenpannen bei Telekommunikationsanbietern bis hin zu Ransomware-Angriffen auf niederländische Gemeinden und Gesundheitseinrichtungen — immer wieder zeigt sich dasselbe: Der Plan existierte, aber trotzdem ging es schief.

Das hartnäckige Missverständnis

Viele Organisationen investieren Zeit, Geld und Energie in die Erstellung von Plänen. Business-Impact-Analysen, Krisenpläne, Kontinuitätspläne und Kommunikationspläne werden ordentlich in SharePoint gespeichert oder sauber in einem Ordner abgelegt.

Und dennoch geht es schief, wenn es darauf ankommt. Nicht weil der Plan schlecht ist, sondern weil ein hartnäckiges Missverständnis vorherrscht:

Einen Plan zu haben ist nicht dasselbe wie vorbereitet zu sein.

Ein Plan ist ein Dokument. Vorbereitet zu sein ist eine Fähigkeit. Es geht nicht um den Plan selbst, sondern um den Prozess:

  • Gemeinsam nachdenken, was schiefgehen kann
  • Klarheit schaffen, wer welche Rolle übernimmt
  • Vereinbaren, wie kommuniziert wird, wenn es ernst wird
  • Üben, Reibung spüren und Fehler machen in einer sicheren Umgebung

    • Ein Plan, der nie geübt wurde, ist in einer Krise so gut wie nie wirksam.

    NIS2 zwingt Organisationen, über das Dokument hinauszuschauen

    Die NIS2-Richtlinie, die seit Oktober 2024 EU-weit gilt und in den Niederlanden über das Cybersicherheitsgesetz umgesetzt wird, stellt explizite Anforderungen an Geschäftskontinuität und Krisenmanagement. Artikel 21 verpflichtet Organisationen nicht nur dazu, Pläne zu haben, sondern diese auch zu testen und zu evaluieren.

    Das bedeutet, dass ‚der Plan liegt im Regal' nicht mehr ausreicht. Aufsichtsbehörden erwarten, dass Organisationen nachweisen können, dass:

  • Kontinuitätspläne regelmäßig geübt werden
  • Incident-Response-Verfahren getestet wurden
  • Mitarbeiter in ihrer Krisenrolle geschult sind
  • Erkenntnisse aus Übungen nachweislich eingearbeitet wurden

    • Für viele Organisationen ist dies ein grundlegender Wandel: von Compliance auf dem Papier zu Compliance in der Praxis.

    Die echte Vorbereitung geschieht vor der Krise

    Organisationen, die nachweislich resilient durch Krisen navigieren, haben mehrere Schlüsselelemente verankert:

    Teamdynamik

    Wissen, wie man gemeinsam unter Druck reagiert. Wer übernimmt die Führung? Wer eskaliert? Wer kommuniziert nach außen? Das entdecken Sie nicht während einer Krise — das lernen Sie durch vorheriges Üben.

    Entscheidungsfähigkeit

    Den Mut haben, mit 60 % der Informationen zu handeln. In einer Krise haben Sie selten das vollständige Bild. Organisationen, die auf vollständige Sicherheit warten, verlieren wertvolle Zeit.

    Kommunikationsstärke

    Klar kommunizieren, wenn das Rauschen zunimmt. Interne Panik übersetzt sich direkt in externes Chaos, wenn Kommunikationswege nicht klar sind.

    Anpassungsfähigkeit

    Den Kurs korrigieren können, ohne in Panik zu geraten. Keine Krise verläuft nach Drehbuch. Die Frage ist nicht, ob Sie vom Plan abweichen müssen, sondern wie schnell Sie das können.

    Vom Dokument zur gelebten Praxis

    Der Schritt von einem Plan auf dem Papier zu einer Organisation, die wirklich vorbereitet ist, erfordert einen strukturellen Ansatz:

    1.Erfassen Sie Ihre aktuelle Situation — Welche Pläne existieren? Wann wurden sie zuletzt getestet? Wer kennt den Inhalt?
    2.Planen Sie periodische Übungen — Haken Sie nicht nur jährlich eine Tabletop-Übung ab, sondern führen Sie regelmäßig Szenarien mit wechselnden Teams durch.
    3.Dokumentieren und verbessern — Halten Sie Erkenntnisse fest, formulieren Sie Verbesserungsmaßnahmen und verfolgen Sie diese. Machen Sie es zu einem fortlaufenden Prozess.
    4.Verknüpfen Sie mit Ihrem Managementsystem — Stellen Sie sicher, dass BCM-Maßnahmen nicht isoliert von Ihrem ISMS oder Compliance-Framework stehen, sondern integraler Bestandteil sind.

    Wie uComply hilft

    Mit uComply arbeiten Sie proaktiv an Compliance und Krisenvorsorge. Die Plattform unterstützt Sie dabei:

  • Maßnahmen mit Normanforderungen verknüpfen — Sehen Sie direkt, welche BCM-Anforderungen aus NIS2, ISO 27001 oder anderen Frameworks stammen und welche Maßnahmen Sie getroffen haben.
  • Den Status Ihrer Maßnahmen überwachen — Kein Plan mehr, der unbemerkt veraltet. uComply signalisiert, wenn Reviews, Übungen oder Aktualisierungen erforderlich sind.
  • Nachweise sammeln — Erfassen Sie Übungsergebnisse, Evaluierungen und Verbesserungsmaßnahmen als nachweisbare Evidenz für Audits und Aufsichtsbehörden.
  • Mehrere Normen gleichzeitig managen — Arbeiten Sie mit ISO 27001 und NIS2? uComply zeigt, wo Normen überlappen, damit Ihre BCM-Bemühungen doppelten Nutzen bringen.

    • So wird Compliance von einer jährlichen Papierübung zu einem fortlaufenden, lebendigen Prozess.

    Fazit

    Sicherheit kommt nicht aus einem Dokument. Sicherheit kommt von Menschen, die wissen, was zu tun ist, die einander vertrauen und die im Unbekannten geübt haben. Die Frage ist nicht, ob Ihre Organisation einen Plan hat, sondern ob dieser Plan funktioniert, wenn es wirklich darauf ankommt.

    NIS2 und aktuelle Vorfälle machen eines deutlich: Die Zeit der Papier-Compliance ist vorbei. Organisationen, die jetzt in das tatsächliche Durchleben ihrer Pläne investieren, stehen stärker da — nicht nur gegenüber Aufsichtsbehörden, sondern vor allem gegenüber der nächsten Krise.

    Neugierig, wo Ihre Organisation steht? Vereinbaren Sie eine Demo und entdecken Sie, wie uComply Ihnen hilft, vom Plan zur Praxis zu kommen.

    Alle Artikel

    Mehr über Compliance

    Compliance im IT/SaaS-Sektor: von ISO 27001 bis KI-gesteuertem Management

    Compliance im IT/SaaS-Sektor: von ISO 27001 bis KI-gesteuertem Management

    February 23, 2026

    uComply vs traditionelle GRC-Tools

    uComply vs traditionelle GRC-Tools

    February 17, 2026

    Compliance in Excel

    Compliance in Excel

    February 5, 2026

    ISO 14001:2026 - Der Standard für zukunftssicheres Umweltmanagement

    ISO 14001:2026 - Der Standard für zukunftssicheres Umweltmanagement

    February 3, 2026

    uComply SaaS: Sofort mit Compliance-Management starten

    January 29, 2026

    Alle Artikel anzeigen

    Alle Kategorien

    ComplianceISO 27001ISO 9001ISO 14001NEN 7510BIO2NIS2AISecurityuComply Product

    Bereit zum Starten?

    Entdecken Sie, wie uComply Ihrer Organisation bei der Compliance helfen kann.

    Demo buchen