Schritt für Schritt zur NIS-2-Umsetzung

Wichtige Anlaufstellen für belastbare Betroffenheitsaussagen sind überdies einschlägige juristische Beratungen, die man bei Unklarheiten hinzuziehen sollte. Steht nach entsprechender Prüfung fest, dass die eigene Organisation unter NIS-2 fällt, ist dies dem BSI bis zum 5. März 2026 zu melden – diese Registrierung ist über https://portal. bsi.bund.de/ möglich. Falls betroffene Organisationen dies nicht (rechtzeitig) tun, drohen Bußgelder (siehe auch [2]).

GAP-Analyse

Nach der Betroffenheitsprüfung und Registrierung bedarf es einer Gap-Analyse, um durch einen Abgleich der Anforderungen mit dem Ist-Zustand herauszufinden, wo eventuell noch Lücken vorliegen. In der Regel basiert die Gap-Analyse in der Privatwirtschaft auf einem Informationssicherheits-Managementsystem (ISMS) gemäß ISO  27001, die sich – wie im Gesetz vorgesehen – vor allem an Risiken orientiert und verhältnismäßige Lösungen ermöglicht. Als Teil der ISO/IEC-27000-Reihe bildet sie international anerkannte Standards ab, die gemäß Erwägungsgrund 79 (vgl. etwa https://nis2-umsetzung.com/ erwaegungsgruende/erwaegungsgrund-079/) als zulässiger Nachweisrahmen für die Umsetzung der NIS-2-Richtlinie herangezogen werden können – auch das BSI nennt diese Norm als mögliche Basis.

Im Behördenumfeld wird eher der BSI IT-Grundschutz zurate gezogen, was einem größeren und anspruchsvollen Rahmen entspricht und sich weniger an Risiken orientiert. Allerdings ist nach NIS-2 auch innerhalb des Grundschutzes ein fachliches Mapping auf die ISO 27001 gefordert.

Die Implementierung technischer und organisatorischer Maßnahmen kann also so oder so im Rahmen eines soliden und umfassenden ISMS erfolgen, das idealerweise auf dem Standard der ISO 27001 beziehungsweise BSI IT-Grundschutz basiert. Ein Abgleich der Anforderungen reicht aus – eine Zertifizierung ist laut NIS-2 nicht erforderlich. Für Organisationen ist es jedoch dennoch ratsam, diese anzustreben, da sie als Nachweis verwendet werden kann.

Maßnahmenimplementierung

Nach dieser grundlegenden Prüfung aller Bereiche auf Basis einer der beiden beschriebenen Rahmenwerke sind vorliegende Schwächen bekannt und man weiß, wie weit man vom Soll-Zustand entfernt ist. Somit lässt sich ein Katalog von Maßnahmen erarbeiten, was in Summe mit Unterstützung von externen Beratern etwa ein bis zwei Wochen Durchlaufzeit benötigen dürfte (GAPAnalyse). Auf dieser Basis wird dann eine Entscheidung getroffen, welche Maßnahmen an welcher Stelle Abhilfe schaffen können, um das angestrebte Ziel zu erreichen – schließlich gibt es manchmal durchaus mehrere Optionen für mögliche Maßnahmen.

Als Mindestanforderungen gelten jene 10 Aspekte, die im § 30 des Umsetzungsgesetzes [1] gelistet sind und das Risikomanagement betreffen. Weitere Paragrafen sprechen Maßnahmen zur Schulung des Managements an (vgl. [3]) – zudem müssen Organisationen das Meldewesen auf Basis der Berichtspflichten beachten (siehe auch [4,5]): Im Falle eines Sicherheitsvorfalls müssen innerhalb von 24 Stunden erste Informationen an das BSI gemeldet werden. Danach müssen detailliertere forensische Untersuchungen erfolgen, deren Ergebnisse ebenfalls zu übermitteln sind. Eine weitere Meldepflicht besteht nach 72 Stunden. Daneben können im Verdachtsfall auch die Strafverfolgungsbehörden informiert und eine Strafanzeige gegen Unbekannt erstattet werden.

12 grundlegende Anforderungen

Im Folgenden sind 12 Anforderungen gelistet, um die Prävention und Bewältigung von Sicherheitsvorfällen gemäß NIS-2 zu stärken:

• Konzepte in Bezug auf die Risikoanalyse müssen auf die Sicherheit in der Informationstechnik abgestimmt sein
• Fähigkeiten zur Bewältigung von Sicherheitsvorfällen müssen vorliegen
• Vorliegen von Notfallplänen zur Aufrechterhaltung des Betriebs – wie Backup-Management und Wiederherstellung nach einem Vorfall und vor allem Krisenmanagement
• Beachtung der Sicherheit in Lieferketten einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern
• Vorliegen von Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
• Umsetzung grundlegender Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik
• Konzepte und Prozesse für den Einsatz von kryptografischen Verfahren
• Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen
• Verwendung von Lösungen zur Multi-Faktor- (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
• Aufbau eines Meldewesens, das in der Lage ist, im Rahmen der Fristen die nötigen Meldungen durchzuführen
• Schulung der Geschäftsleitung, um in die Lage versetzt zu werden, die Umsetzung der Maßnahmen zu überwachen

Eine Überprüfung dieser Anforderungen wird üblicherweise innerhalb einer Reifegrad-Analyse durchgeführt und mit Werten zwischen 0 und 5 gemessen (vgl. [6]). Dabei ist der Wert 0 am weitesten weg von der geforderten Security-Reife, die „3“ wäre in der Regel der Zielwert für ein Zertifizierungsaudit und der Wert 5 das Optimum.

Aus der Erfahrung vieler Projekte lässt sich feststellen, dass die meisten Unternehmen und Behörden bei Beginn des Prozesses einen Reifegrad von 0,8 haben, also längst nicht den Zielwert 3 erreichen. Das liegt vor allem daran, dass viele der aufgeführten Anforderungen nicht umgesetzt wurden – aus welchen Gründen auch immer. Vielfach fehlt es an Zeit und Budget oder es gibt konzeptionelle Wissenslücken zu einem ISMS. An technischer Unwissenheit scheitert es selten, denn beispielsweise der IT ist durchaus bewusst, dass korrupte oder fehlende Backups ein großes Risiko darstellen.

Risiken erkennen und managen

Die von den genannten Anforderungen abgeleiteten Maßnahmen zielen darauf ab, die Cybersicherheit der Organisation mit den drei Stellschrauben „People, Process and Technology (PPT)“ zu verbessern. Obwohl Unternehmen mehrere Jahre Zeit hatten, um diese bekannten Anforderungen auf den Prüfstand zu stellen, findet man immer noch häufig Lucken: Beispiele reichen von auf Dienstreisen verlorenen Laptops ohne Hardware-Verschlüsselung bis hin zu USB-Sticks mit klassischen Trojanern, die von naiven Anwendern einfach in den PC gesteckt werden können, weil dies nicht technisch unterbunden wird. An solchen Stellen haben sowohl Anwender als auch Prävention versagt.

Weitere Herausforderungen stellen die dank künstlicher Intelligenz (KI) immer besser werdenden Phishing-E‑Mails dar – aktuelle Öffnungsraten scheinen den Cyberkriminellen Recht zu geben. Doch es ist nicht nur heikel, dass Phishing noch immer sehr gut funktioniert: Abgefischte Daten – zumeist Benutzername und Passwort – reichen häufig aufgrund fehlender Multi-Faktor-Authentifizierung

auch für eine weitere Kompromittierung aus. Die menschliche Neugier siegt allzu oft über die Vorsicht und eine gute Sicherheitskultur ist daher das A und O! Diese lässt sich nicht zuletzt daran messen, was Mitarbeiter* tun, wenn niemand hinschaut, und mit welcher Motivation sowie Intention sie Cybersicherheit in die Tat umsetzen.

Nicht zuletzt aus diesem Grund bedarf es nicht nur rein technischer Lösungen, sondern auch Schulungen im Bereich der Security-Awareness für die gesamte Belegschaft. Auch Auditoren fragen regelmäßig die Prozentsatze der zu Awareness geschulten Mitarbeiter ab. Solche Trainings müssen abwechslungsreich gestaltet werden (siehe auch S. 75) und ebenfalls die bereits beschriebenen Risiken fokussieren, um den menschlichen Part dabei zu reduzieren – Datenschutz muss ebenfalls verstanden und angewendet werden.

Geschulte Mitarbeiter nutzen technische Möglichkeiten, die ihnen zur Verfügung stehen und vertrauen darauf – sie nutzen auch keine Web-Applikationen zur Übertragung von Dateien, die ihnen von den Administratoren untersagt wurden. Sie nutzen keine Schatten-KI oder suchen andere Workarounds, um KI oder ähnliche Arbeitshilfen entgegen organisatorischer Richtlinien nutzen zu können.

Doch nicht nur diese im Grunde genommen altbekannten Risiken hindern Organisationen an der erfolgreichen Umsetzung der NIS-2-Anforderungen: Viel häufiger liegt es an mangelnder Dokumentation oder deren Aktualität. Eine durchgängige Dokumentation aller Prozesse, Verfahren sowie Technik ist jedoch notwendig, um nicht nur mögliche Audits zu bestehen, sondern auch neue Kollegen einzuweisen oder im Notfall handlungsfähig zu bleiben. Nachlässigkeiten sollten an dieser Stelle mit der Einführung von NIS-2 endgültig der Vergangenheit angehören!

An all diesen Beispielen zeigt sich, dass der Mix aus Prozessen, Technik und Menschen stimmen muss, und man besser mehrere Hilfsmittel zur Verfügung hat, um Prävention zu betreiben, Probleme zu erkennen und zu beheben oder möglichst schnell wieder „back on track“ zu sein. Produktionsausfall und Downtime kosten schließlich Geld und können sogar zur Insolvenz führen.

Diese Grundlagen sind es, die für die Erfüllung von NIS-2 zentral sind. Ein Risikomanagement muss „gelebt“ werden. Es reicht bei Weitem nicht, nur technische Maßnahmen oder Prozesse abzuhaken – auch der Mensch gehört zu Risiken geschult und regelmäßig im Umgang mit ihnen trainiert.

Fazit

Das (noch dazu verspätete) NIS-2 Umsetzungsgesetz kam alles andere als überraschend – genauso wenig seine Anforderungen an das Risikomanagement. Neben einer Betroffenheitsprüfung ist dennoch auch heute eine Gap-Analyse äußerst wichtig. Organisationen – ganz gleich ob privatwirtschaftlich oder behördlich organisiert – sollten sich dabei an bewährte Rahmenwerke halten, die einen Gesamtblick auf einschlägige Risiken ermöglichen. Die Anforderungen der NIS-2-Richtlinie mögen auf den ersten Blick zwar anspruchsvoll sein, sind jedoch im Rahmen der ISO/IEC-27000-Normen mithilfe eines ISMS gemäß ISO/IEC  27001 branchenunabhängig, flexibel und für alle 18 von NIS-2 erfassten Branchen umsetzbar.

Eine Cybersicherheit, die nicht nur auf dem Papier schützt, bedarf sicherlich weiterer Investition, damit Maßnahmen für den Schutz der Organisationen auch wirklich umgesetzt werden. Die NIS-2-Richtlinie der EU begegnet zunehmender Digitalisierung, wachsenden Abhängigkeiten von Technologie sowie einer unsicheren und oft undurchsichtigen Bedrohungslage – vor allem im Cyberraum. Hier sind sowohl Vorbereitung als auch Optionen zur Reaktion gefragt.

Organisationen und ihre Lieferketten müssen sich angesichts stark zunehmender Digitalisierung vor den stetig wachsenden Bedrohungen schützen! Ansonsten drohen hohe, unkalkulierbare Risiken, die wie sich in Einzelfällen schon gezeigt hat, bis hin zur Insolvenz führen können. Leider trifft dies dann nicht nur eine Organisation selbst, sondern hat auch Folgen für ein ganzes Öko-System bis hin zum Verbraucher. Cybersicherheit entsteht in derart komplexen Systemen nicht aus Zufall und aus sich heraus, sondern nur aus Maßnahmen!

Klaus Kilvinger, Co-Gründer und Managing Director bei Opexa Advisory & Dr. Martin J. Krämer, CISO-Advisor bei KnowBe4

Literatur

_{[1] Bundesministerium der Justiz und für Verbraucherschutz, Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, in: Bundesgesetzblatt Teil I, Nr. 301, Dezember 2025, www.recht.bund.de/eli/bund/bgbl1/2025/301}  

_{[2] Dennis-Kenji Kipker, Julian Zaudig, Sanktionen nach NIS-2, Bußgelder und Prozessorientierung im neuen IT-Sicherheitsrecht, 2024# 6, S. 35, www.kes-informationssicherheit.de/print/titelthema-festplatten-dietriche-zur-extraktion-verschluesselter-daten/sanktionen-nach-nis-2/ (<kes>+)}

_{[3] Fabian M. Teichmann, Schulungspflicht für Top-Manager, Inhalte, Standards und Prüfmaßstäbe nach NIS-2 für die obligatorische Cyberkompetenz von Geschäftsleitungen, 2025# 6, S.  62, www.kes-informationssicherheit.de/print/titelthema-security-schulungen-wie-nachhaltiges-training-gelingt/schulungspflicht-fuer-top-manager/ (<kes>+)}

_{[4] Aleksandra Sowa, Komplexe Aufgaben – (un)klare Ansagen?!, Absehbare Meldepflichten nach NIS-2- Umsetzungsgesetz, KRITIS-Dachgesetz und DORA, 2024# 4, S. 18, www.kes-informationssicherheit.de/print/titelthema-die-zeitschrift-fuer-informations-sicherheit/komplexe-aufgaben-unklare-ansagen/ (<kes>+)}

_{[5] Aleksandra Sowa, Gehackt, gecheckt, gemeldet, Eine Einordnung der Meldepflichten für IKTVorfälle gemäß DORA, 2025# 1, S. 52, www.kes-informationssicherheit.de/print/titelthema-eu-regularien-updates-fuer-die-cybersicherheit/gehackt-gecheckt-gemeldet/ (<kes>+)}

_{[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), Reifegradmodelle, Online-Kurs ITGrundschutz, Lerneinheit 9.4, undatiert, www.bsi.bund.de/dok/10990312}