Open Source ist heute ein integraler Bestandteil nahezu jedes Software-Stacks – und gleichzeitig einer der größten blinden Flecken in der IT-Sicherheits- und Compliance-Landschaft. Mit der NIS-2-Richtlinie verschiebt sich die Realität grundlegend: Verantwortung endet nicht mehr bei vertraglichen Beziehungen, sondern umfasst auch indirekte Abhängigkeiten ohne klare Zuständigkeiten.

Der Vortrag zeigt, warum klassische Ansätze wie SBOMs oder reine Tool-Nutzung nicht ausreichen, um diesen Anforderungen gerecht zu werden. Stattdessen rückt die operative Governance in den Mittelpunkt: kontinuierliche Bewertung, priorisierte Reaktion auf Schwachstellen sowie nachvollziehbare Dokumentation werden zur Pflicht – nicht zur Option.

Anhand konkreter Herausforderungen aus der Praxis wird deutlich, warum viele Unternehmen an dieser operativen Lücke scheitern und welche strukturellen Veränderungen notwendig sind, um Open Source unter NIS-2 beherrschbar zu machen. Der Fokus liegt dabei auf einem zentralen Paradigmenwechsel: Sicherheit ist kein Projekt mehr, sondern ein dauerhafter Betriebsprozess.

Der Vortrag liefert klare Einordnungen, zeigt typische Fallstricke auf und skizziert einen praktikablen Ansatz, wie Unternehmen Verantwortung übernehmen können – auch dort, wo formal niemand zuständig ist.