Technische Schutzmaßnahmen allein reichen für NIS2-Compliance nicht aus. Die NIS2-Richtlinie und das BSI-Gesetz (BSIG) verlangen von betroffenen Unternehmen auch ein organisatorisches Fundament: Richtlinien, klar definierte Prozesse und eine lückenlose Dokumentation. Wir zeigen, welche Richtlinien zwingend erforderlich sind, wie Sie diese in gelebte Prozesse umwandeln und was die Dokumentationspflicht konkret bedeutet.
Warum reichen technische Maßnahmen für NIS2 nicht aus?
Firewalls, Verschlüsselung und Intrusion-Detection-Systeme sind für NIS2-Compliance notwendig, aber nicht hinreichend. § 30 BSIG macht deutlich, dass ein wirksames Informationssicherheits-Managementsystem (ISMS) immer auch organisatorische Maßnahmen umfassen muss: Richtlinien, klare Zuständigkeiten, nachvollziehbare Prozesse und eine belastbare Dokumentation.
Der Grund ist einfach: Selbst die beste Technologie nützt wenig, wenn Mitarbeitende nicht wissen, wie sie im Ernstfall reagieren sollen, Verantwortlichkeiten unklar sind oder keine Aufzeichnungen existieren, die im Prüffall vorgelegt werden können. Die Anforderungen an Risikomanagement, Melde- und Nachweispflichten lassen sich ohne ein dokumentiertes organisatorisches Fundament schlicht nicht erfüllen.
Hinweis: Deshalb ist NIS2-Compliance auch kein Thema, das sich einfach an die IT-Abteilung delegieren lässt. Stattdessen bedarf es eines NIS2-Projektplans, der die Geschäftsführung sowie alle Verantwortlichen auf Managementebene involviert.
Welche Richtlinien müssen Sie unter NIS2 vorhalten?
§ 30 Abs. 2 BSIG definiert einen verbindlichen Katalog an Maßnahmen, den betroffene Unternehmen umsetzen und dokumentieren müssen. Dazu gehören unter anderem folgende Richtlinien:
- Informationssicherheitsrichtlinie (IS Policy): Das übergeordnete Dokument, welches Ziele, Grundsätze und Geltungsbereich der Informationssicherheit im Unternehmen definiert. Die Informationssicherheitsrichtlinie oder -leitlinie bildet die Basis für alle nachgelagerten Einzelrichtlinien.
- Risikomanagement-Richtlinie: Legt fest, wie Risiken identifiziert, bewertet und priorisiert werden sowie welche Maßnahmen bei welchem Risikolevel zu ergreifen sind.
- Incident-Response-Richtlinie: Regelt Eskalationswege, Meldepflichten gegenüber dem BSI sowie interne Kommunikationsketten bei Sicherheitsvorfällen.
- Business-Continuity-Richtlinie: Verankert Backup-Management, Krisenmanagement und Notfallwiederherstellung prozessual.
- Lieferkettensicherheits-Richtlinie: Definiert, welche Dienstleister und Zulieferer Zugang zu Ihren Systemen haben und welche vertraglichen sowie technischen Anforderungen für sie gelten.
- Zugriffskontroll- und Identitätsmanagement-Richtlinie: Regelt Berechtigungskonzepte, Multi-Faktor-Authentifizierung und den Umgang mit privilegierten Konten.
- Schulungs- und Sensibilisierungsrichtlinie: § 38 BSIG verpflichtet Geschäftsleitungen zur regelmäßigen Teilnahme an Cybersicherheitsschulungen, § 30 Abs. 2 Nr. 7 BSIG erstreckt die Schulungspflicht auf alle Mitarbeitenden. Die Richtlinie definiert Frequenz, Inhalte und Nachweispflichten.
Wichtig: Diese Richtlinien sollten nicht nur existieren, sondern auch aktuell sein. Richtlinien, die seit drei Jahren nicht angefasst wurden, werden im Prüffall zum Problem. Genau diese Dokumente fordern Aufsichtsbehörden im Prüffall als erstes an.
Legen Sie deshalb gleich bei Erstellung der jeweiligen Richtlinie den Aktualisierungsturnus fest, bestimmen die Verantwortlichkeit dafür und legen eine terminierte Aufgabe an.
Welche Prozesse müssen Sie für NIS2 etablieren?
Richtlinien müssen im Alltag wirksam werden. Eine Richtlinie, die niemand kennt, nützt nichts. Der entscheidende Schritt nach der Erstellung ist deshalb die Verankerung im Betrieb: Wer ist für welchen Prozess verantwortlich? Wer prüft, ob Vorgaben eingehalten werden? Und was passiert, wenn das nicht der Fall ist?
NIS2 verlangt nicht nur, dass Prozesse existieren, sondern auch, dass sie funktionieren. Das bedeutet konkret: Zuständigkeiten müssen klar benannt sein, Abläufe müssen regelmäßig überprüft werden und Abweichungen müssen nachvollziehbar dokumentiert sein.
Drei Bereiche sind dabei besonders praxisrelevant:
Zuständigkeiten
Jede Richtlinie braucht einen Verantwortlichen, der sie pflegt, kommuniziert und bei Bedarf aktualisiert. Ohne namentliche Zuordnung bleibt sie ein Dokument ohne Wirkung.
Regelmäßige Überprüfung
Prozesse veralten. Was vor zwei Jahren festgelegt wurde, passt möglicherweise nicht mehr zur aktuellen IT-Landschaft oder Bedrohungslage. Feste Review-Zyklen sind kein bürokratischer Aufwand, sondern eine Grundvoraussetzung für wirksame Compliance.
Schulung und Kommunikation
Mitarbeitende müssen wissen, welche Prozesse für sie gelten und warum. Eine Incident-Response-Richtlinie, die nur in der IT-Abteilung bekannt ist, greift im Ernstfall zu kurz.
Praxiserfahrung: In der Beratungspraxis zeigt sich leider, dass genau hierbei viele Unternehmen scheitern. Richtlinien werden erstellt, vielleicht sogar in ausreichendem Umfang. Weil aber keine klaren Verantwortlichkeiten für jede (!) Richtlinie definiert wurden, können im Prüffall zwar Dokumente vorgelegt werden, Unternehmen können aber nicht erklären, wer sie umsetzt, wer ihre Aktualität sicherstellt und wann der Inhalt zuletzt geschult wurde. Genau das ist es aber, was Aufsichtsbehörden interessiert.
Wie setzen Sie die NIS2-Dokumentation richtig auf?
Dokumentation ist in NIS2 keine Kann-Bestimmung. Wer im Ernstfall nicht belegen kann, was er getan hat, riskiert nicht nur Nachfragen der Aufsichtsbehörde, sondern auch empfindliche Bußgelder.
Konkret gehören zur NIS2-konformen Dokumentation unter anderem:
- Risikoanalysen und deren Ergebnisse,
- umgesetzte Sicherheitsmaßnahmen mit Datum und Verantwortlichkeit,
- Nachweise über durchgeführte Schulungen,
- Protokolle zu Sicherheitsvorfällen sowie
- Berichte aus internen Audits.
Kurz: Alles, was zeigt, dass das Unternehmen seine Pflichten nicht nur kennt, sondern auch erfüllt.
Dabei reicht es nicht, Dokumente unstrukturiert abzulegen. Die Dokumentation muss strukturiert und nachvollziehbar sein. Eine Ansammlung von E-Mails und isolierten Dateien genügt den Anforderungen nicht. Gefragt ist ein System, das Zusammenhänge sichtbar macht, etwa zwischen einer identifizierten Schwachstelle, der daraus abgeleiteten Maßnahme und deren Umsetzungsstatus.
Tipp: Lesen Sie unseren Ratgeber, wie Sie am besten Nachweise für Ihre Umsetzung der NIS2-Vorgaben erbringen.
Wie hilft Software bei Richtlinien, Prozessen und Dokumentation?
Der schiere Umfang der NIS2-Anforderungen sowie die Komplexität des Zusammenspiels von Richtlinien, Prozessen und Dokumentation macht deutlich, dass E-Mails und verteilte Ordner nicht wirklich zielführend sind.
Mittlerweile gibt es jedoch auf NIS2 spezialisierte Software, meist als Software as a Service (SaaS). Mit dieser profitieren Unternehmen vor allem von drei Vorteilen:
- Vereinheitlichung von Prozessen: Statt unterschiedlicher Vorgehensweisen in verschiedenen Abteilungen sorgt eine zentrale Plattform für einheitliche Standards. Das ist besonders relevant, wenn NIS2-Anforderungen konzernweit oder über mehrere Einrichtungen hinweg umgesetzt werden müssen.
- Automatisierung von Nachweisen: Systeme, die automatisch Protokolle erzeugen, Dokumente versionieren, Fristen überwachen und Nachweise konsolidieren, reduzieren den manuellen Aufwand erheblich und erhöhen gleichzeitig die Nachvollziehbarkeit.
- Bessere interne Abstimmung: Compliance betrifft IT, Recht, Management und Fachbereiche gleichermaßen. Softwaregestützte Workflows stellen sicher, dass Aufgaben zugewiesen, verfolgt und freigegeben werden, ohne dass etwas im E-Mail-Postfach versandet.
Unser Tipp: ISMS-Software wie die von activeMind.cloud kann neben NIS2 mehrere Normen (etwa auch ISO 27001 oder DORA) und Compliance-Bereiche (etwa auch Datenschutz oder Hinweisgeberschutz) abbilden. So lassen sich Prozesse zusätzlich vereinfachen und Doppelaufwände vermeiden.
Fazit: Strukturiert vorgehen, nachweisbar handeln
NIS2-Compliance ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Richtlinien müssen gelebt, Prozesse eingehalten und Dokumentationen aktuell gehalten werden. Der organisatorische Rahmen aus Richtlinien, klaren Zuständigkeiten und einem belastbaren Dokumentationssystem ist dabei nicht nur eine bürokratische Last. Er ist die Voraussetzung dafür, dass technische Maßnahmen überhaupt ihre Wirkung entfalten können.
Ein sinnvoller Einstieg ist die NIS2-Gap-Analyse: Welche Richtlinien existieren bereits? Wo bestehen Dokumentationslücken? Welche Prozesse müssen noch formalisiert werden? Auf Basis dieser Bestandsaufnahme lässt sich ein realistischer Umsetzungsplan entwickeln.
Sollte Ihr ISMS bereits nach einer Norm zertifiziert sein, gilt es zu verstehen, wie sich NIS2 von anderen Normen wie ISO 27001 oder BSI-Grundschutz unterscheidet und was Sie tun müssen, um ein bestehendes ISMS für NIS2-Compliance zu erweitern.
