Warum NIS2 die Macht der Verträge sichtbar macht

Und dann gibt es NIS2‑Projekte. Sie beginnen oft strukturiert:
Ein Kick-off mit den relevanten Stakeholdern, erste Workshops zur Einordnung der Richtlinie, IT-Security präsentiert Maßnahmen, Governance-Teams definieren Verantwortlichkeiten. Alles wirkt kontrollierbar, fast routiniert.

Und doch passiert in vielen dieser Projekte irgendwann etwas, das sich nicht planen lässt.

Ein kurzes Innehalten.
Ein Blick in die Runde.
Und dann diese eine Frage:

„Wo genau ist das eigentlich vertraglich geregelt?“

Was danach folgt, ist selten angenehm. Denn plötzlich wird klar, dass zwischen dem, was Unternehmen glauben umgesetzt zu haben, und dem, was tatsächlich in ihren Strukturen verankert ist, eine Lücke besteht. Eine Lücke, die sich nicht durch weitere Dokumentation schließen lässt.

Die meisten Organisationen erkennen an diesem Punkt, dass sie ein fundamentales Problem haben: Sie haben Compliance gedacht – aber nicht operationalisiert.

Warum genau hier NIS2 schwierig wird

Die NIS2-Richtlinie verlangt vieles: Risikomanagement, Transparenz, Meldepflichten, Steuerung von Drittparteien. Auf dem Papier ist das alles klar beschrieben. In der Praxis wird es jedoch diffus.

Denn NIS2 trifft auf eine Realität, die in Unternehmen über Jahrzehnte gewachsen ist:

• Verträge, die in Archiven liegen.
• Lieferantenbeziehungen, die sich historisch entwickelt haben.
• Abhängigkeiten, die nie vollständig dokumentiert wurden.

Und genau diese Realität ist entscheidend. Denn dort, wo NIS2 wirksam wird, geht es nicht um abstrakte Anforderungen, sondern um konkrete Beziehungen – zwischen Unternehmen, Dienstleistern und Systemen.

Das Problem ist nur: Diese Beziehungen sind selten transparent.

Eine Studie beschreibt es nüchtern als „intransparente Lieferketten und schwer umsetzbare Anforderungen“ – in Projekten fühlt es sich deutlich dramatischer an. [kiteworks.com]

Denn plötzlich wird sichtbar:

• dass wichtige Dienstleister nicht klassifiziert sind
• dass Audit-Rechte fehlen
• dass Exit-Strategien nie vereinbart wurden
• dass kritische Risiken zwar bekannt, aber nicht geregelt sind

Und all das steckt nicht in Systemen. Es steht – oder eben nicht – in Verträgen.

Der Moment, in dem Excel stirbt

Ein Projekt, das besonders im Gedächtnis geblieben ist, begann mit einer scheinbar überschaubaren Aufgabe. Ein Unternehmen wollte seine wichtigsten IT-Dienstleister im Kontext von NIS2 bewerten.

Man startete klassisch:

• Vertragslisten wurden erstellt
• Verantwortliche verteilt
• Excel-Templates entwickelt

Nach einigen Wochen sah alles noch gut aus. Fortschritt war sichtbar, erste Bewertungen lagen vor. Nach drei Monaten nicht mehr.

Der Grund war einfach:
Die Realität überholte die Methode.

• Die Verträge waren zu unterschiedlich.
• Die Inhalte zu komplex.
• Die Abhängigkeiten zu tief.

Und vor allem: Die Menge war nicht beherrschbar.

Was vorher wie ein strukturierter Prozess aussah, wurde zu einem fragmentierten Puzzle. Jeder arbeitete hart, aber niemand konnte sagen, ob das Gesamtbild überhaupt stimmte.

Diese Erfahrung ist kein Einzelfall.
Manuelle Analyse skaliert schlicht nicht für NIS2 – allein die Bewertung großer Vertragsbestände würde sonst Jahre dauern.

Und selbst wenn sie abgeschlossen wäre, bliebe ein Problem bestehen: 

Sie wäre nicht reproduzierbar. Nicht prüfbar. Und vor allem nicht steuerbar.

Der eigentliche Bruch: Wenn Verträge keine Rolle spielen

In fast allen Projekten wird irgendwann sichtbar, dass das Hauptproblem nicht Technologie ist. Auch nicht Regulierung. Es ist die fehlende Verbindung zwischen beiden.

Unternehmen bauen:

• Security-Konzepte
• Risiko-Frameworks
• Governance-Strukturen

Aber sie vergessen das Element, das diese Strukturen überhaupt erst wirksam macht: den Vertrag. Das ist der Punkt, an dem sich die Perspektive verändert.

Denn plötzlich wird klar:

• Jede Verpflichtung gegenüber einem Dienstleister muss vertraglich bestehen
• Jede Sicherheitsanforderung muss vereinbart werden
• Jede Durchsetzung basiert auf rechtlicher Grundlage

Ohne diese Verankerung bleibt Compliance theoretisch.

Der Perspektivwechsel beginnt leise

In den Projekten mit LEGANTA® passiert dieser Wechsel oft unspektakulär.

Es ist kein Big-Bang. Kein System, das einfach „ausgerollt“ wird.

Es beginnt mit einer anderen Frage:

👉 Was, wenn wir nicht versuchen, die Realität in Systeme zu pressen –
sondern die Systeme aus der Realität entstehen lassen?

Und diese Realität ist der Vertrag.

Wenn Verträge plötzlich sprechen

Was LEGANTA® anders macht, lässt sich am besten beschreiben, wenn man sieht, was im System passiert.

Ein Vertrag wird nicht mehr als Dokument behandelt.
Nicht mehr als PDF.
Nicht mehr als Text.

Er wird zu etwas anderem: Einem strukturierten Informationsraum.

• Klauseln werden erkannt.
• Zusammenhänge werden hergestellt.
• Verpflichtungen werden identifiziert.

Di Wirkungen werden über den gesamten Vertragszeitraum transparent und bei allen Änderungen sofort aktualisiert.

Und vor allem:

Der Vertrag wird in eine Form gebracht, die ein Unternehmen verstehen und steuern kann.

Genau das ist der Kern der sogenannten semantischen Transformation:
Verträge werden nicht gelesen – sie werden übersetzt.

• In Daten.
• In Logik.
• In den Unternehmenskreislauf.
• In Steuerbarkeit.

Der zweite Schlüsselmoment

Es gibt einen Zeitpunkt in diesen Projekten, der fast immer ähnlich verläuft.

Die erste vollständige Analyse ist fertig.

• Alle Verträge wurden verarbeitet.
• Die Lieferkette ist sichtbar.
• Die Risiken sind strukturiert.

Und dann zeigt sich zum ersten Mal das Gesamtbild.

Nicht das Bild, das man erwartet hatte. Sondern das tatsächliche.

In diesem Moment verändern sich Gespräche im Projekt komplett.

Es geht nicht mehr um:

• „Haben wir die Anforderungen verstanden?“

Sondern um:

• „Wie konnten wir das so lange nicht sehen?“

Dieser Moment ist entscheidend.
Er ist unbequem – aber er ist ehrlich.

Denn hier entsteht echte Transparenz.

Warum Transparenz allein nicht genügt

Viele Lösungen enden an diesem Punkt.

Sie liefern:

• Dashboards
• Bewertungen
• Reports

Und genau dort beginnt oft das nächste Problem.

Denn Wissen verändert nichts, wenn es nicht umgesetzt wird. Und genau hier wird die Partnerschaft mit top.legal entscheidend.

Wenn Erkenntnisse zu Verträgen zurückkehren

In klassischen Projekten entsteht nach der Analyse ein Bruch:

Die Ergebnisse werden dokumentiert, Maßnahmen definiert, Verantwortlichkeiten verteilt.

Und dann verlangsamt sich alles.

• Die Anpassung der Verträge dauert.
• Abstimmungen ziehen sich.
• Der Zusammenhang zur ursprünglichen Analyse geht verloren.

top.legal verhindert genau das.

Nicht als separates System, sondern als direkte Fortsetzung des Prozesses:

Die Ergebnisse aus LEGANTA® fließen strukturiert weiter
– als Daten, nicht als Dokumente.

Verträge werden angepasst.
Versionen werden nachvollziehbar.
Audit-Trails entstehen automatisch.

Und plötzlich gibt es keinen Bruch mehr: Analyse und Umsetzung werden Teil desselben Systems.

Skalierung ist keine Option – sondern Voraussetzung

Ein Aspekt wird häufig unterschätzt, bis es zu spät ist:

Selbst die beste Methodik scheitert, wenn sie nicht skaliert.

Genau hier kommt Innowise ins Spiel.

Denn was in frühen Projektphasen noch überschaubar wirkt, wächst schnell:

• Tausende Verträge
• Millionen Datenpunkte
• kontinuierliche Änderungen

Ohne eine leistungsfähige Datenarchitektur wird daraus ein Engpass.

Mit unsrem Partner Innowise wird daraus etwas anderes:

Ein System, das große Datenmengen nicht nur verarbeitet –
sondern daraus entscheidungsrelevante Informationen in Echtzeit erzeugt.

Und genau das macht den Unterschied:

• NIS2 wird nicht verwaltet. NIS2 wird betrieben.
• NIS2 und die Verträge leben.

Was am Ende wirklich entsteht

Der größte Unterschied zeigt sich nicht beim Go‑Live. Sondern Monate später.

Während viele Unternehmen nach einem Audit wieder hektisch reagieren müssen, passiert hier etwas anderes:

• Das System läuft weiter.
• Neue Verträge werden automatisch bewertet.
• Risiken aktualisieren sich selbst.
• Lieferketten bleiben sichtbar.

Und langsam entsteht etwas, das in klassischen Projekten selten gelingt: Stabilität.

Nicht als Zustand, sondern als Prozess.

Am Ende steht eine einfache Erkenntnis

Wenn man all diese Erfahrungen zusammenfasst, bleibt eine überraschend einfache Wahrheit:

• NIS2 ist kein IT-Thema.
• Es ist ein Steuerungsthema.

Und Steuerung beginnt dort, wo Verbindlichkeit entsteht.

Im Vertrag.

Die Kombination aus:

• LEGANTA® als semantische Intelligenz
• top.legal als Umsetzungsmaschine
• Innowise als Skalierungsplattform

führt genau dorthin.

Nicht zu einem weiteren Tool.
Nicht zu einem weiteren Projekt.

Sondern zu einem System, das Unternehmen zum ersten Mal in die Lage versetzt, das zu tun, was NIS2 eigentlich verlangt:

Die eigene Realität zu verstehen – und aktiv zu steuern.