Richtlinien, Prozesse und Dokumentation für NIS2-Compliance

Inhalt

Technische Schutzmaßnahmen allein reichen für NIS2-Compliance nicht aus. Die NIS2-Richtlinie und das BSI-Gesetz (BSIG) verlangen von betroffenen Unternehmen auch ein organisatorisches Fundament: Richtlinien, klar definierte Prozesse und eine lückenlose Dokumentation. Wir zeigen, welche Richtlinien zwingend erforderlich sind, wie Sie diese in gelebte Prozesse umwandeln und was die Dokumentationspflicht konkret bedeutet.

In aller Kürze

  • NIS2-Compliance verlangt neben technischen Sicherheitsmaßnahmen auch klare Richtlinien, Prozesse und Nachweise.
  • 30 Abs. 2 BSIG definiert verbindliche Maßnahmen zu Risikomanagement, Incident Response, Zugriffskontrollen, Lieferkettensicherheit und Schulungen.
  • NIS2-Prozesse müssen Richtlinien im Betrieb verankern, Zuständigkeiten klären und die Einhaltung überprüfbar machen.
  • NIS2-Dokumentation muss Pflichten, Maßnahmen, Verantwortlichkeiten, Nachweise und Umsetzungsstände strukturiert und nachvollziehbar miteinander verbinden.

Warum reichen technische Maßnahmen für NIS2 nicht aus?

Firewalls, Verschlüsselung und Intrusion-Detection-Systeme sind für NIS2-Compliance notwendig, aber nicht hinreichend. § 30 BSIG macht deutlich, dass ein wirksames Informationssicherheits-Managementsystem (ISMS) immer auch organisatorische Maßnahmen umfassen muss: Richtlinien, klare Zuständigkeiten, nachvollziehbare Prozesse und eine belastbare Dokumentation.

Der Grund ist einfach: Selbst die beste Technologie nützt wenig, wenn Mitarbeitende nicht wissen, wie sie im Ernstfall reagieren sollen, Verantwortlichkeiten unklar sind oder keine Aufzeichnungen existieren, die im Prüffall vorgelegt werden können. Die Anforderungen an Risikomanagement, Melde- und Nachweispflichten lassen sich ohne ein dokumentiertes organisatorisches Fundament schlicht nicht erfüllen.

Hinweis: Deshalb ist NIS2-Compliance auch kein Thema, das sich einfach an die IT-Abteilung delegieren lässt. Stattdessen bedarf es eines NIS2-Projektplans, der die Geschäftsführung sowie alle Verantwortlichen auf Managementebene involviert.

Welche Richtlinien müssen Sie unter NIS2 vorhalten?

§ 30 Abs. 2 BSIG definiert einen verbindlichen Katalog an Maßnahmen, den betroffene Unternehmen umsetzen und dokumentieren müssen. Dazu gehören unter anderem folgende Richtlinien:

  • Informationssicherheitsrichtlinie (IS Policy): Das übergeordnete Dokument, welches Ziele, Grundsätze und Geltungsbereich der Informationssicherheit im Unternehmen definiert. Die Informationssicherheitsrichtlinie oder -leitlinie bildet die Basis für alle nachgelagerten Einzelrichtlinien.
  • Risikomanagement-Richtlinie: Legt fest, wie Risiken identifiziert, bewertet und priorisiert werden sowie welche Maßnahmen bei welchem Risikolevel zu ergreifen sind.
  • Incident-Response-Richtlinie: Regelt Eskalationswege, Meldepflichten gegenüber dem BSI sowie interne Kommunikationsketten bei Sicherheitsvorfällen.
  • Business-Continuity-Richtlinie: Verankert Backup-Management, Krisenmanagement und Notfallwiederherstellung prozessual.
  • Lieferkettensicherheits-Richtlinie: Definiert, welche Dienstleister und Zulieferer Zugang zu Ihren Systemen haben und welche vertraglichen sowie technischen Anforderungen für sie gelten.
  • Zugriffskontroll- und Identitätsmanagement-Richtlinie: Regelt Berechtigungskonzepte, Multi-Faktor-Authentifizierung und den Umgang mit privilegierten Konten.
  • Schulungs- und Sensibilisierungsrichtlinie: § 38 BSIG verpflichtet Geschäftsleitungen zur regelmäßigen Teilnahme an Cybersicherheitsschulungen, § 30 Abs. 2 Nr. 7 BSIG erstreckt die Schulungspflicht auf alle Mitarbeitenden. Die Richtlinie definiert Frequenz, Inhalte und Nachweispflichten.

Wichtig: Diese Richtlinien sollten nicht nur existieren, sondern auch aktuell sein. Richtlinien, die seit drei Jahren nicht angefasst wurden, werden im Prüffall zum Problem. Genau diese Dokumente fordern Aufsichtsbehörden im Prüffall als erstes an.

Legen Sie deshalb gleich bei Erstellung der jeweiligen Richtlinie den Aktualisierungsturnus fest, bestimmen die Verantwortlichkeit dafür und legen eine terminierte Aufgabe an.

Welche Prozesse müssen Sie für NIS2 etablieren?

Für NIS2 müssen Unternehmen Prozesse etablieren, die Richtlinien verbindlich im Betrieb verankern und ihre Einhaltung überprüfbar machen. Richtlinien müssen im Alltag wirksam werden. Eine Richtlinie, die niemand kennt, nützt nichts.

Der entscheidende Schritt nach der Erstellung ist deshalb die Verankerung im Betrieb: Wer ist für welchen Prozess verantwortlich? Wer prüft, ob Vorgaben eingehalten werden? Und was passiert, wenn das nicht der Fall ist?

NIS2 verlangt nicht nur, dass Prozesse existieren, sondern auch, dass sie funktionieren. Drei Bereiche sind dabei besonders praxisrelevant:

Warum müssen NIS2-Zuständigkeiten klar benannt werden?

Jede Richtlinie braucht einen Verantwortlichen, der sie pflegt, kommuniziert und bei Bedarf aktualisiert. Ohne namentliche Zuordnung bleibt sie ein Dokument ohne Wirkung.

Warum müssen NIS2-Prozesse regelmäßig überprüft werden?

Prozesse veralten. Was vor zwei Jahren festgelegt wurde, passt möglicherweise nicht mehr zur aktuellen IT-Landschaft oder Bedrohungslage. Feste Review-Zyklen sind kein bürokratischer Aufwand, sondern eine Grundvoraussetzung für wirksame Compliance.

Warum sind NIS2-Schulung, -Dokumentation und -Kommunikation wichtig?

Mitarbeitende müssen wissen, welche Prozesse für sie gelten und warum. Eine Incident-Response-Richtlinie – also eine verbindliche Vorgabe, die festlegt, wie Sicherheitsvorfälle erkannt, bewertet, gemeldet, bearbeitet und dokumentiert werden – die nur in der IT-Abteilung bekannt ist, greift im Ernstfall zu kurz.

Praxiserfahrung: In der Beratungspraxis zeigt sich leider, dass genau hierbei viele Unternehmen scheitern. Richtlinien werden erstellt, vielleicht sogar in ausreichendem Umfang. Weil aber keine klaren Verantwortlichkeiten für jede (!) Richtlinie definiert wurden, können im Prüffall zwar Dokumente vorgelegt werden, Unternehmen können aber nicht erklären, wer sie umsetzt, wer ihre Aktualität sicherstellt und wann der Inhalt zuletzt geschult wurde. Genau das ist es aber, was Aufsichtsbehörden interessiert.

Wie setzen Sie die NIS2-Dokumentation richtig auf?

Eine NIS2-Dokumentation ist richtig aufgesetzt, wenn sie Pflichten, Maßnahmen, Verantwortlichkeiten, Nachweise und Umsetzungsstände strukturiert und nachvollziehbar miteinander verbindet. Dokumentation ist in NIS2 keine Kann-Bestimmung. Wer im Ernstfall nicht belegen kann, was er getan hat, riskiert nicht nur Nachfragen der Aufsichtsbehörde, sondern auch empfindliche Bußgelder.

Was gehört zur NIS2-konformen Dokumentation?

Zur NIS2-konformen Dokumentation gehören unter anderem:

  • Risikoanalysen und deren Ergebnisse,
  • umgesetzte Sicherheitsmaßnahmen mit Datum und Verantwortlichkeit,
  • Nachweise über durchgeführte Schulungen,
  • Protokolle zu Sicherheitsvorfällen sowie
  • Berichte aus internen Audits.

Kurz: Alles, was zeigt, dass das Unternehmen seine Pflichten nicht nur kennt, sondern auch erfüllt.

Wie muss die NIS2-Dokumentation abgelegt werden?

Es reicht nicht, Dokumente unstrukturiert abzulegen. Die NIS2-Dokumentation muss strukturiert und nachvollziehbar sein. Eine Ansammlung von E-Mails und isolierten Dateien genügt den Anforderungen nicht. Gefragt ist ein System, das Zusammenhänge sichtbar macht, etwa zwischen einer identifizierten Schwachstelle, der daraus abgeleiteten Maßnahme und deren Umsetzungsstatus.

Tipp: Lesen Sie unseren Ratgeber, wie Sie am besten Nachweise für Ihre Umsetzung der NIS2-Vorgaben erbringen.

Wie hilft Software bei Richtlinien, Prozessen und Dokumentation?

Software hilft, Richtlinien, Prozesse, Verantwortlichkeiten und Nachweise zentral zu steuern und nachvollziehbar miteinander zu verknüpfen. Der schiere Umfang der NIS2-Anforderungen sowie die Komplexität des Zusammenspiels von Richtlinien, Prozessen und Dokumentation macht deutlich, dass E-Mails und verteilte Ordner nicht wirklich zielführend sind.

Mittlerweile gibt es jedoch auf NIS2 spezialisierte Software, meist als Software as a Service (SaaS). Mit dieser profitieren Unternehmen vor allem von drei Vorteilen:

  • Vereinheitlichung von Prozessen: Statt unterschiedlicher Vorgehensweisen in verschiedenen Abteilungen sorgt eine zentrale Plattform für einheitliche Standards. Das ist besonders relevant, wenn NIS2-Anforderungen konzernweit oder über mehrere Einrichtungen hinweg umgesetzt werden müssen.
  • Automatisierung von Nachweisen: Systeme, die automatisch Protokolle erzeugen, Dokumente versionieren, Fristen überwachen und Nachweise konsolidieren, reduzieren den manuellen Aufwand erheblich und erhöhen gleichzeitig die Nachvollziehbarkeit.
  • Bessere interne Abstimmung: Compliance betrifft IT, Recht, Management und Fachbereiche gleichermaßen. Softwaregestützte Workflows stellen sicher, dass Aufgaben zugewiesen, verfolgt und freigegeben werden, ohne dass etwas im E-Mail-Postfach versandet.

Unser Tipp: ISMS-Software wie die von activeMind.cloud kann neben NIS2 mehrere Normen (etwa auch ISO 27001 oder DORA) und Compliance-Bereiche (etwa auch Datenschutz oder Hinweisgeberschutz) abbilden. So lassen sich Prozesse zusätzlich vereinfachen und Doppelaufwände vermeiden.

Wie unterstützt activeMind Unternehmen bei der Implementierung von Richtlinien, Prozessen und Dokumentationen nach NIS2?

Um Richtlinien, Prozesse und Dokumentationen NIS2-konform aufzusetzen, kombinieren wir drei Bausteine, die direkt ineinandergreifen:

  • Mit unserer NIS2-Gap-Analyse stellen wir fest, welche Richtlinien bei Ihnen bereits existieren, wo Dokumentationslücken bestehen und welche Prozesse noch formalisiert werden müssen.
  • Bei der Erstellung der nach § 30 Abs. 2 BSIG vorgeschriebenen Richtlinien legen wir mit Ihnen für jedes Dokument Verantwortlichkeit und Aktualisierungsturnus fest.
  • Schulung, Dokumentation und Kommunikation: Mit der Verankerung der Richtlinien im Betrieb sorgen wir dafür, dass Zuständigkeiten benannt, Abläufe regelmäßig überprüft und Abweichungen nachvollziehbar dokumentiert werden.

Ihre Vorteile:

  • Aus zahlreichen Beratungsmandaten kennen wir das Muster genau: Richtlinien werden erstellt. Doch ohne klar benannte Verantwortlichkeit Dokument bleiben sie im Prüffall wirkungslos. Genau diese Lücke schließen wir mit verbindlich zugewiesenen Zuständigkeiten und unserer auf NIS2 spezialisierten Software, die Nachweise automatisiert und Prozesse abteilungsübergreifend vereinheitlicht.
  • Sie erhalten ein System, das Pflichten, Maßnahmen, Verantwortlichkeiten, Nachweise und Umsetzungsstände strukturiert und nachvollziehbar miteinander verbindet. Dadurch können Sie im Prüffall nicht nur Dokumente vorlegen, sondern auch lückenlos erklären, wer sie umsetzt und pflegt.

Eine Richtlinie, die niemand kennt, nützt nichts. Und eine Dokumentation, die aus verstreuten E-Mails und Ordnern besteht, hält keiner Prüfung stand. Wir sorgen dafür, dass Richtlinien, Prozesse und Nachweise bei Ihnen strukturiert zusammenspielen.

Kontaktieren Sie uns jetzt für ein kostenfreies Erstgespräch!

Fazit: Strukturiert vorgehen, nachweisbar handeln

NIS2-Compliance ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Richtlinien müssen gelebt, Prozesse eingehalten und Dokumentationen aktuell gehalten werden. Der organisatorische Rahmen aus Richtlinien, klaren Zuständigkeiten und einem belastbaren Dokumentationssystem ist die Voraussetzung dafür, dass technische Maßnahmen überhaupt ihre Wirkung entfalten können.

Ein sinnvoller Einstieg ist die NIS2-Gap-Analyse: Welche Richtlinien existieren bereits? Wo bestehen Dokumentationslücken? Welche Prozesse müssen noch formalisiert werden? Auf Basis dieser Bestandsaufnahme lässt sich ein realistischer Umsetzungsplan entwickeln.

Sollte Ihr ISMS bereits nach einer Norm zertifiziert sein, gilt es zu verstehen, wie sich NIS2 von anderen Normen wie ISO 27001 oder BSI-Grundschutz unterscheidet und was Sie tun müssen, um ein bestehendes ISMS für NIS2-Compliance zu erweitern.

Weiterlesen

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

NIS2-Compliance: Darauf kommt es wirklich an!

Unsere Experten haben ihre Erfahrungen aus zahlreichen NIS2-Projekten für Sie gesammelt. 

Diese senden wir Ihnen kostenfrei und unverbindlich zu. Melden Sie sich jetzt an und erhalten alle Tipps zu NIS2 und BSIG! 

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.