NIS2

Sie haben sich registriert. Was passiert jetzt?

Die Registrierung beim BSI war der einfache Schritt. Jetzt beginnt die Implementierung — hier scheitern die meisten Organisationen.

K
Kim Borg
5 Min. Lesezeit
  1. 17.
    Oktober 2024 war die Deadline für die NIS2-Umsetzung
    NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
  2. Mindestens
    Mindestens 10 Sicherheitsmaßnahmen gemäß Artikel 21 erforderlich
    NIS2-Richtlinie
  3. Die
    Die Geschäftsführung ist persönlich für die Compliance verantwortlich
    NIS-2-Umsetzungsgesetz
Business leader planning next steps in NIS2 implementation

Die Registrierung war der einfache Schritt

Die Deadline ist verstrichen. Die meisten Organisationen, die unter das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz fallen, haben sich beim BSI registriert. Das Formular auszufüllen dauerte vielleicht 20 Minuten. Gut — aber die Registrierung war der administrative Startschuss, nicht die Ziellinie.

Jetzt beginnt die Phase, die darüber entscheidet, ob Ihre Sicherheitsarbeit real wird oder nur Papier in einem Ordner bleibt. Und hier sehe ich, dass die meisten Organisationen scheitern.

Die Realität: Die Registrierung dauerte 20 Minuten. Die Implementierung dauert 12–24 Monate. Aber das bedeutet nicht, dass Sie warten können — Aufsichtsbehörden können jederzeit Kontrollen einleiten.

Drei Fehler, die ich immer wieder sehe

1. "Wir haben uns registriert — wir sind fertig"

Die Registrierung ist ein administrativer Akt, kein Nachweis für Compliance. Es ist wie ein Unternehmen anzumelden und zu glauben, dass damit der Betrieb läuft. Das Gesetz verlangt, dass Sie tatsächlich Sicherheitsmaßnahmen implementieren, nicht nur mitteilen, dass Sie betroffen sind.

2. "Wir beginnen mit dem Kauf eines Tools"

Die Tool-Falle ist real. Ich sehe Organisationen, die in GRC-Plattformen, SIEM-Lösungen und Vulnerability-Scanner investieren, bevor sie überhaupt ihre Informationsassets kartiert haben. Tools ohne Prozesse sind wie ein Kassensystem ohne Geschäftsidee — es sieht professionell aus, bringt aber keinen Wert.

3. "Die IT-Abteilung kümmert sich darum"

Das NIS-2-Umsetzungsgesetz ist eindeutig: Die Geschäftsführung ist verantwortlich. Nicht der IT-Leiter, nicht der CISO — die Geschäftsführung. Die Verantwortung zu delegieren ist nicht nur eine schlechte Strategie, es widerspricht der Intention des Gesetzes. Der Vorstand muss Richtlinien genehmigen, Ressourcen sicherstellen und selbst Schulungen durchlaufen.

Was Aufsichtsbehörden tatsächlich suchen

Es ist leicht zu glauben, dass Aufsicht bedeutet, die richtigen Dokumente zu haben. Das tut sie nicht. Aufsichtsbehörden suchen nach drei Dingen:

Systematik — Gibt es einen roten Faden? Haben Sie identifiziert, welche Informationsassets kritisch sind, die Risiken gegen sie bewertet und Maßnahmen basierend auf dieser Bewertung gewählt? Oder haben Sie nur Kontrollen von einer Liste gepflückt?

Nachvollziehbarkeit — Können Sie zeigen, warum Sie genau die Maßnahmen gewählt haben, die Sie gewählt haben? Können Sie zeigen, wer entschieden hat, wann und auf welchen Grundlagen? Nachvollziehbarkeit bedeutet, dass jede Entscheidung eine dokumentierte Verbindung zurück zu einem identifizierten Risiko hat.

Führungsengagement — Haben Vorstand und Geschäftsführung aktiv an der Sicherheitsarbeit teilgenommen? Gibt es Protokolle, die zeigen, dass Sicherheitsfragen auf Führungsebene behandelt wurden? Hat die Führung die vom Gesetz geforderte Schulung durchlaufen?

Dokumentation ohne zugrundeliegenden Prozess ist Theater.

Eine Informationssicherheitsrichtlinie, der niemand folgt, eine Risikoanalyse, die nie aktualisiert wird, ein Incident-Response-Plan, der nie getestet wurde — das ist keine Compliance. Das ist Papier. Und Aufsichtsbehörden sind darauf trainiert, den Unterschied zu erkennen.

Pragmatische Prioritätsliste

Sie können nicht alles gleichzeitig machen. Aber Sie können richtig beginnen. Hier ist die Reihenfolge, die ich empfehle:

  1. Risikoanalyse Kartieren Sie Ihre Informationsassets, identifizieren Sie Bedrohungen und Schwachstellen und bewerten Sie die Risiken. Ohne Risikoanalyse wissen Sie nicht, wo Sie Ressourcen einsetzen sollen. Alles andere baut auf diesem Schritt auf.
  2. Sicherheitsmaßnahmen Implementieren Sie Maßnahmen basierend auf der Risikoanalyse — nicht basierend darauf, was der Anbieter verkauft. Fokussieren Sie sich auf die Bereiche, die NIS2 Artikel 21 spezifiziert: Zugriffskontrolle, Verschlüsselung, Netzwerksicherheit, Schulungen.
  3. Incident Response Bauen Sie einen Incident-Response-Plan auf, der tatsächlich funktioniert. Definieren Sie Rollen, Eskalationswege und Berichtsvorlagen. Und testen Sie ihn — ein Plan, der nie geübt wurde, ist nur eine Wunschliste.
  4. Lieferantenkontrolle Identifizieren Sie, welche Lieferanten Zugang zu Ihren kritischen Informationsassets haben. Stellen Sie Sicherheitsanforderungen und verfolgen Sie diese nach. Sie können Ihre Verantwortung nicht outsourcen.

Von Checkliste zu Systematik

Es gibt einen grundlegenden Unterschied zwischen Organisationen, die Anforderungen abhaken, und Organisationen, die echte Sicherheit aufbauen. Erstere haben Dokumente. Letztere haben Prozesse.

Checklisten-DenkenSystematische Sicherheitsarbeit
”Wir haben eine Richtlinie""Wir haben eine Richtlinie, die befolgt, überprüft und aktualisiert wird"
"Wir haben eine Risikoanalyse gemacht""Wir führen laufend Risikoanalysen durch und aktualisieren bei Änderungen"
"Wir haben einen Incident-Plan""Wir üben Incident Response vierteljährlich"
"Wir stellen Anforderungen an Lieferanten""Wir verfolgen die Compliance der Lieferanten kontinuierlich nach”

Das NIS-2-Umsetzungsgesetz geht nicht darum, ein Endziel zu erreichen. Es geht darum zu zeigen, dass Sie eine lebendige, systematische Sicherheitsarbeit haben, die sich im Einklang mit dem Geschäft und der Bedrohungslandschaft entwickelt.

Nächste Schritte

Beginnen Sie damit, ehrlich über Ihren aktuellen Stand zu sein. Eine GAP-Analyse, die Ihren Ist-Zustand gegen die Anforderungen des NIS-2-Umsetzungsgesetzes kartiert, ist der effektivste erste Schritt. Sie gibt Ihnen ein klares Bild davon, was fehlt — und was bereits funktioniert.

Securapilots GAP-Analyse-Modul hilft Ihnen dabei, genau zu kartieren, wo Sie in Bezug auf die Anforderungen des NIS-2-Umsetzungsgesetzes stehen — ohne bei null zu beginnen. Gehen Sie von Ihren bestehenden Prozessen aus und bauen Sie auf dem auf, was bereits vorhanden ist.

Häufig gestellte Fragen

Was passiert nach der Registrierung beim BSI?

Die Registrierung ist nur der erste Schritt. Organisationen müssen nun die Sicherheitsmaßnahmen implementieren, die das NIS-2-Umsetzungsgesetz fordert — Risikomanagement, Incident Response, Lieferantensicherheit und Führungsengagement. Aufsichtsbehörden können jederzeit Kontrollen einleiten.

Was sind die häufigsten Fehler nach der NIS2-Registrierung?

Die drei häufigsten Fehler sind: zu glauben, dass die Registrierung bedeutet, man sei fertig, mit dem Kauf von Tools zu beginnen, anstatt die eigenen Prozesse zu verstehen, und die gesamte Verantwortung an die IT-Abteilung zu delegieren.

Woher weiß ich, ob meine Organisation die Anforderungen des NIS-2-Umsetzungsgesetzes erfüllt?

Führen Sie eine GAP-Analyse durch, die den Ist-Zustand gegen die Anforderungsbereiche des Gesetzes kartiert. Das gibt ein klares Bild davon, was fehlt, und hilft bei der Priorisierung der kritischsten Maßnahmen.

Kann das BSI uns bereits jetzt kontrollieren?

Ja. Das NIS-2-Umsetzungsgesetz ist in Kraft und das BSI sowie die zuständigen Landesbehörden haben das Recht, Kontrollen durchzuführen. Es gibt keine formelle Schonfrist für die Implementierung.

#NIS-2-Umsetzungsgesetz#NIS2#BSI#Registrierung#Implementierung#Compliance

Weitere Artikel

Wir verwenden anonyme Statistiken ohne Cookies, um die Website zu verbessern. Mehr erfahren