Vom Gesetz in die Umsetzungspraxis : NIS-2 verlegt den Fokus von Einzelmaßnahmen hin zur Stärkung ganzheitlicher Cybersicherheit und Resilienz
Angesichts der bevorstehenden erheblichen Erweiterung der von gesetzlicher Regulierung erfassten Unternehmen durch NIS-2 fassen unsere Autoren* Best Practices für ein ganzheitliches Cybersecurity-Management im Sinne einer organisationsweiten Anstrengung zusammen. Die resultierende Resilienz und Chancen für eine umfassende Sicherheitskultur erscheinen angesichts der heutigen Bedrohungen allerorten geboten und lohnend.
Die Network and Information Security (NIS) Directive 2022/2555 der Europäischen Union [1], die am 14. Dezember 2022 verabschiedet wurde und aktuell mit einer Verspätung von fast einem Jahr auf ihren Einzug in das deutsche Recht mit dem Regierungsentwurf eines „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ [2] wartet, hat das erklärte Ziel, Cyberresilienz in der Europäischen Union zu stärken sowie Cybersicherheit flächendeckend zu erwirken. Sie stellt dabei einen deutlichen Fortschritt im Vergleich zur Vorgängerversion NIS-1 von 2016 dar: Während bisher in Deutschland etwa 2000 Unternehmen unter die Regelungen von NIS-1 fielen, wird sich mit NIS‑2 der Geltungsbereich allein hierzulande auf rund 30 000 Unternehmen ausweiten. Gleichzeitig sind die technischen, personellen und organisatorischen Anforderungen an die Cybersicherheitsmaßnahmen insgesamt deutlich gestiegen.
Mit dieser Erweiterung und der höheren Komplexität setzt die NIS-2-Richtlinie ein deutlich umfassenderes Netz an Schutzmaßnahmen auf, das zahlreiche weitere Sektoren und Branchen mit abdeckt. Das ist aus Sicht des Gesetzgebers notwendig und richtig, um die digitale Infrastruktur Europas gegen die wachsenden Cyberbedrohungen wirkungsvoll abzusichern – und das besonders auch jenseits der kritischen Infrastruktur.
Auf der anderen Seite führen die Vergrößerung des Anwendungsbereichs und die hohen Anforderungen allerdings zu Verunsicherung bei Unternehmen: Viele stellen sich die Frage, ob sie überhaupt betroffen sind, welche Maßnahmen sie konkret umsetzen müssen und wie sie den gesetzlichen Anforderungen in der Praxis gerecht werden können. Besonders herausfordernd ist für viele Unternehmen, dass die im Rahmen der NIS-2-Umsetzung in Deutschland geplanten Regelungen – allem voran in § 30 des Regierungsentwurfs „Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ – zwar zahlreiche technisch-organisatorische Maßnahmen (TOM) vorschreiben, diese aber nicht in einer klar nachvollziehbaren Prozesslogik angeordnet sind. Viele Vorgaben wirken deshalb wie beliebige singuläre Einzelbausteine ohne erkennbare Reihenfolge oder Gesamtstrategie. Dies erschwert es den Verantwortlichen, die Maßnahmen in ihre bestehende Sicherheitsorganisation sinnvoll zu integrieren und zu einem ganzheitlichen Cybersicherheitskonzept zu verbinden.
Dieser Beitrag soll deshalb eine Orientierung bieten, wie sich die neuen technisch-organisatorischen Anforderungen an die Cybersicherheit durch eine praxisorientierte Umsetzung der Maßnahmen auf Basis der bereits bestehenden Normen und des Stands der Technik effektiv angehen lassen. Ziel ist es, neben der reinen Erlangung von NIS-2-Konformität eine robuste Sicherheitskultur und nachhaltige Cyberresilienz im Unternehmen aufzubauen. Dabei werden konkrete Schritte aufgezeigt, wie sich aus den oftmals isolierten gesetzlichen Vorgaben ein sinnvoller und effektiver Umsetzungsprozess im Sinne einer ganzheitlichen unternehmerischen Cybersecurity Governanceentwickeln lässt, denn Cybersicherheit ist auch – oder erst Recht – unter NIS-2 kein singuläres Projekt, sondern ein fortlaufender Prozess, der nur durch gesamtheitliches Risikomanagement, klare Verantwortlichkeiten und die Integration aller Unternehmensbereiche langfristig Erfolg hat.
Awareness schaffen
Die NIS-2-Richtlinie unterstreicht die herausragende Bedeutung und Verantwortung der Leitungsorgane für die Cybersicherheit im Unternehmen. Die Geschäftsführung muss die Gefahren und die Notwendigkeit von Cybersicherheitsmaßnahmen im Unternehmen verstehen und demgemäß ein Bewusstsein für die Risiken haben, die mit der IT-Nutzung verbunden sind. Sie soll aber – und das ist neu – die hierfür notwendigen technischen und organisatorischen Maßnahmen ermöglichen, veranlassen und überwachen.
Außerdem muss sie dafür sorgen, dass alle Mitarbeiter* inklusive der Leitungsorgane geschult und sensibilisiert sind. Durch die aktive Beteiligung und das kontinuierliche Monitoring der Cybersicherheitsmaßnahmen durch die Führungsebene wird eine so verstandene Cybersecurity-Governance als Chefsache verankert und stärkt die Resilienz der Organisation gegen die modernen Cyberbedrohungen.
Die eigene Organisation kennen
Im Regierungsentwurf zum NIS-2-Umsetzungsgesetz ist die Rede von Konzepten in Bezug auf die Risikoanalyse zur Cybersicherheit. Dem ist jedoch auf der Prozessebene noch ein weiterer wichtiger strategischer Schritt voranzustellen – und zwar ein Informationssicherheits-Managementsystem (ISMS) im Sinne von ISO/ IEC 27001, das gute Richtwerte zur Umsetzung von IT-Risikomanagement gibt. Die strategische Auseinandersetzung mit dem IT-Risikomanagement bringt einige Vorteile: Man verschafft sich einen Überblick über die eigene Organisation, erhält dadurch richtungsweisende Erkenntnisse und ist in der Lage, IT-Risiken kontinuierlich zu managen.
Eine Strukturanalyse ist notwendig, um die eigene Vulnerabilität und potenzielle Angriffsvektoren besser zu verstehen. Sie verdeutlicht, welche Objekte das Unternehmen besitzt, die geschützt werden müssen – darunter Gebäude, Räume, Geschäftsprozesse, Geräte, Anlagen, Anwendungen sowie IT-Systeme. Im Rahmen des Asset-Managements erfolgt die systematische Identifikation und Klassifikation dieser IT-relevanten Assets, um deren Schutzbedarf zu bestimmen. Nur wenn alle relevanten IT-und Informationswerte bekannt und dokumentiert sind (z.B. mithilfe von Asset-Management-Tools) können ein effektives IT-Risikomanagement und später die zielgerichtete Umsetzung technisch-organisatorischer Maßnahmen erfolgen. Schon an dieser Stelle wird deutlich, dass eine rein produktfokussierte Cybersecurity somit keine Cybersicherheit nach NIS-2 sein kann.
Ein Netzplan verdeutlicht Abhängigkeiten zwischen Anwendungen, Systemen sowie Infrastruktur und liefert die Basis für eine gezielte Risikobetrachtung. Ebenso wichtig sind klar definierte Rollen, Zuständigkeiten und Kompetenzen: Sie stellen sicher, dass Sicherheitsprozesse wirksam umgesetzt werden und im Ernstfall Verantwortlichkeiten eindeutig zugeordnet sind (z.B. CISO, IT-Manager, Incident-Response-Team, Informations-Sicherheits-Beauftragter – ISB, Datenschutzbeauftragter – DSB).
Eine weitere Komponente des strategischen Risikomanagements ist die IT-Sicherheitsrichtlinie: Diese gilt es auszuformulieren und zu verabschieden. Zunächst erfolgt die Analyse der Aufbau- und Ablauforganisation in der Form von Organigramm und Geschäftsprozessen – anschließend wird der Geltungsbereich der Richtlinie festgelegt. Sicherheitsmaßnahmen können sich dabei auf besonders kritische Bereiche einer Organisation konzentrieren.
Risiken analysieren und managen
Direkt daran schließt sich die Risikoanalyse an. Dabei ist erneut zu betonen: Nur wenn unternehmensinterne Assets, Strukturen und Netze bekannt sind, können diese effektiv geschützt werden! Mit diesen Kenntnissen fällt es leichter, potenzielle Gefährdungen systematisch zu identifizieren, deren Eintrittswahrscheinlichkeit und die mögliche Schadenshöhe einzuschätzen und daraus Schutzmaßnahmen abzuleiten.
Bei der Risikoanalyse sollten qualitative und quantitative Methoden angewendet werden. Eine bewährte Herangehensweise besteht darin, die Wahrscheinlichkeit eines Vorfalls mit dem potenziellen Schadensausmaß zu multiplizieren – so ergibt sich das Gesamtrisiko für das Unternehmen. Dabei sind nicht nur Cyberangriffe zu berücksichtigen, sondern auch physische und umweltbedingte Gefahren wie Brände, Naturkatastrophen, Verlust oder Diebstahl von Geräten sowie Sabotage. Eine hilfreiche Auflistung möglicher Risiken stellt das BSI in Form der „Elementaren Gefährdungen“ [3] auf seiner Website zur Verfügung
Angemessene Maßnahmen
Auf Grundlage der Risikoanalyse sollte für Informationen, Systeme und Geschäftsprozesse entsprechend ihres Schutzbedarfs – etwa hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit – eine Klassifizierung erfolgen. Diese Einstufung bildet die Basis für die Auswahl passender Schutzmaßnahmen. Sobald die individuellen IT-Risiken bekannt sind, stellt sich schnell die Frage nach ihrer Minimierung, die mithilfe von technisch-organisatorischen Maßnahmen (TOM) basierend auf dem Stand der Technik (SdT, vgl. S. 29ff.) erfolgen sollte. Diese ermittelten Maßnahmen zur betrieblichen Cybersicherheit dürfen jedoch nicht mit dem Anspruch aufgebaut werden, dauerhaft und unabänderlich zu halten. Genauso, wie sich Geschäftsprozesse im Laufe der Zeit ändern, müssen auch Risikomanagementmaßnahmen fortlaufend auf ihre Wirksamkeit hin überprüft werden.
TOM müssen die Organisation in ihrer Gesamtheit abbilden
NIS-2 fordert eine Vielzahl technisch-organisatorischer Maßnahmen im Sinne der BSI-Standards 200-1/2/3 (vgl. www.bsi.bund.de/dok/6603458), die als bewährte Praktiken und Gewohnheiten zur IT-Risikominimierung auf allen Organisationsebenen gelten. Sogenannte Cyberhygiene ist damit längst „State of the Art“. Diese Maßnahmen folgen dem Grundsatz: Cybersicherheit betrifft alle und alles in der Organisation. Besonders wichtig sind regelmäßiges Schwachstellen- und Patchmanagement von IT- und OT-Systemen, regelmäßige Software-Updates sowie umfassender Viren- und Endgeräteschutz.
Durch konsequentes Identitäts- und Zugriffsmanagement (IAM) werden Zugriffsrechte gemäß dem „Need to know“-Prinzip vergeben – unterstützt durch Multifaktor-Authentifizierung (MFA) oder auch weitere Authentifizierungsmethoden. Sichere Passwörter sind nicht erst seit heute ein absolutes Must-have, soll eine NIS-2-Compliance gewährleistet sein! Außerdem gehören Datenverschlüsselung und eine sichere sowie auch im Notfall verfügbare Kommunikation dazu.
Durch konsequentes Identitäts- und Zugriffsmanagement (IAM) werden Zugriffsrechte gemäß dem „Need to know“-Prinzip vergeben – unterstützt durch Multifaktor-Authentifizierung (MFA) oder auch weitere Authentifizierungsmethoden. Sichere Passwörter sind nicht erst seit heute ein absolutes Must-have, soll eine NIS-2-Compliance gewährleistet sein! Außerdem gehören Datenverschlüsselung und eine sichere sowie auch im Notfall verfügbare Kommunikation dazu.
Drittparteien und digitale Lieferketten
Allein einen „Sicherheitszaun“ um das eigene Haus zu bauen, reicht in der Cybersicherheit jedoch längst nicht mehr aus: Zu stark sind die Interdependenzen mit anderen Akteuren in der oftmals komplexen digitalen Lieferkette, wie IT-Dienstleister und entsprechende Produkte – auch diese können ein Einfallstor für Cyberangriffe sein.
Die IT-Risiken ebenjener Dritten ebenfalls auszuwerten, Sicherheitsrichtlinien sowie Methoden zur Bewertung und Erfassung der Sicherheit genutzter Anbieter zu erstellen, die sich beispielsweise in Verträgen und Dokumentation niederschlagen, ist deshalb wichtig und wird von NIS-2 explizit vorausgesetzt. Externe Schwachstellen zu kennen, zu schließen und diese erweiterte Komponente der eigenen IT-Infrastruktur mitzudenken ist eine nicht zu vernachlässigende Maßnahme zur Stärkung der betrieblichen Cybersicherheit.
Grundvoraussetzungen schneller Betriebssicherung und Wiederherstellung
Im Text von NIS-2 finden sich die Anforderungen zur Aufrechterhaltung des IT-Betriebs im Sinne von BSI 200-4. Genannt sind in der Regulierung explizit Backups, Wiederherstellungsfähigkeit im Notfall sowie Krisenmanagement. Bislang weitestgehend unklar ist jedoch, welches Ziel mit diesen Anforderungen verfolgt wird und wie weit die Aufrechterhaltung des Betriebs im Zweifelsfall reichen muss.
Der Prozess zur Aufrechterhaltung des Betriebs beginnt naturgemäß nicht erst mit der Abwehr, sondern wird schon zum Teil in der Prävention mit den vorgenannten technisch-organisatorischen Maßnahmen angelegt. Zu nennen sind in diesem Zusammenhang nicht zuletzt IDS/ IPS inklusive geeigneter Parameter und Merkmale, die sich aus dem laufenden Betrieb ergeben, eine Anomalieerkennung mittels Endpoint-/Extended-Detection and -Response (EDR/XDR) sowie kontinuierliche und automatisierte Überwachung durch ein Security-OperationsCenter (SOC).
Backups sind zwar eine grundlegende Voraussetzung für die Betriebssicherung, jedoch gewährleisten sie nicht generell auch die schnelle Wiederherstellung der vollen Betriebsfähigkeit im Notfall. Um den Geschäftsbetrieb angesichts von IT-Störungen effektiv aufrechtzuerhalten, sind daher in diesem Bereich ergänzende Maßnahmen notwendig. Hierzu gehören systematische und regelmäßige Backups aller relevanten Systeme, idealerweise basierend auf einem bestehenden Asset-Management, das sicherstellt, dass alle kritischen Daten und Anwendungen durch das Backup erfasst sind. Weiterhin sind aber auch der Einsatz von Incident-Management-Systemen (IMS) sowie umfassende Notfallkonzepte unverzichtbar. Diese Konzepte benötigen unter anderem notfall- und ausfallsichere Kommunikation, um in Krisensituationen den Informationsfluss und damit ein koordiniertes Handeln zu ermöglichen.
Nur in ihrer Kombination ermöglichen diese Maßnahmen eine robuste Betriebssicherheit, die über die reine Datensicherung hinausgeht und auf die Wiederherstellung der Geschäftsbereiche im Ganzen abzielt.
Dokumentation und Nachvollziehbarkeit
Die Dokumentation der zuvor beschriebenen Maßnahmen und Prozesse zur Cybersicherheit – Risikomanagement inklusive der Einbindung von Drittparteien, technisch-organisatorische Maßnahmen, der richtige Umgang mit Vorfällen – bildet die Basis für Transparenz und Nachvollziehbarkeit im betrieblichen Cybersecurity-Management.
Transparenz und Nachvollziehbarkeit sind gleichermaßen wichtig, damit zuständige Aufsichtsbehörden (wie das BSI) die getroffenen IT-Sicherheitsmaßnahmen bewerten können. Die nationale Umsetzung der NIS‑2-Richtlinie verpflichtet betroffene Unternehmen deshalb, ihre relevanten Prozesse zu erfassen und zugänglich zu machen. Demgegenüber kann das Fehlen einer entsprechenden Dokumentation Bußgelder und Haftungsrisiken für die Geschäftsleitung zur Folge haben.
Die Funktion einer Dokumentation geht jedoch weit über die bloße behördliche Aufsicht hinaus: Sie macht eventuelle IT-Sicherheitsvorfälle schneller nachvollziehbar und sorgt so für eine effektivere und effizientere Schließung von Schwachstellen. Auf diese Weise unterstützt eine gute, detaillierte und regelmäßig geführte Dokumentation nicht nur die Aufsicht, sondern befähigt eine Organisation gleichzeitig dazu, ihre eigenen Prozesse zu revidieren und nachhaltig zu verbessern.
Fazit
Die NIS-2-Richtlinie mit ihren umfangreichen und doch für die Praxis weitestgehend nachvollziehbaren Maßnahmen ist ein solides Instrument im Wettlauf um die sichere IT-Umgebung von „wichtigen“ und „besonders wichtigen“ Einrichtungen. Sie darf allerdings nicht als ein rein bürokratisches Instrument der Aufsichtsbehörden missverstanden werden, sondern ist vielmehr eine Chance, jetzt wirksame Verteidigungslinien gegen Cyberangriffe und vor allem auch eine nachhaltige digitale Resilienz aufzubauen.
Diese Aufgabe wird mit der NIS-2-Richtlinie jedoch nicht einzelnen Personen oder Bereichen im Unternehmen überantwortet, sondern ist vielmehr unter aktiver Einbeziehung von diversen Ebenen eines Unternehmens zu erfüllen, wozu Leitungsorgane, IT-Verantwortliche, Human Resources bis hin zum operativen Geschäft gehören. Die Richtlinie – soweit granular operationalisiert – ist somit ein Instrument, das die gesamte Organisation durchdringt. Cybersicherheit geht somit jede und jeden im Unternehmen etwas an!
Die Einführung der in diesem Beitrag dargestellten Maßnahmen zur Cybersicherheit ist für viele Unternehmen nach wie vor keine leichte Aufgabe und verunsichert deshalb bisweilen. Sie bietet jedoch gleichzeitig die Chance für eine Cybersicherheitskultur im Unternehmen, an der alle partizipieren können. In der Fläche skaliert ergibt sich damit ein IT-Sicherheitsnetz, das in einer Zeit geopolitischer Unsicherheit und zunehmender Bedrohungen aus dem Cyberspace dringend notwendig ist.
Irina Rosensaft ist Governance Director, Prof. Dr. DennisKenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main.
Literatur
[1] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, S. 80, Dezember 2022, berichtigt im Dezember 2023, konsolidierte Fassung: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02022L2555-20221227
[2] Bundesministerium des Innern (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2025, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf_2025.pdf
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Elementare Gefährdungen, Dezember 2020, www.bsi.bund.de/dok/10099762