NIS2 hat den rechtlichen Rahmen für Cybersicherheit verschärft, aber viele Unternehmen verharren in Papier-Compliance. Prozesse sind dokumentiert, Tools beschafft, aber Phishing-Angriffe und Fehlkonfigurationen gehören weiterhin zum Alltag. Echte Sicherheit entsteht erst, wenn Mitarbeitende unter realen Bedingungen sicherheitsgerecht handeln können.