Risikomanagementmaßnahmen sind eine tragende Säule in der NIS2 Regulierung.
Risikomanagement als strategischer Ansatz soll dabei die technische, operative sowie organisatorische Maßnahmen beinhalten. Die Maßnahmen sollen geeignet sein, die Risiken zu mindern und dabei verhältnismäßig im Bezug auf die Kosten und Nutzen. Bei der Bewertung der Maßnahmen ist die Risikoexposition, die Größe und die Wahrscheinlichkeit zu berücksichtigen.
Die strategische Ausrichtung des Risikomanagements wirkt sich positiv auf die Bewältigung von Cyberbedrohungen aus und sollte daher einen festen Platz in der Cybersicherheitsstrategie einnehmen. Darüber hinaus sollte eine Risikomanagementkultur gefördert und entwickelt werden, die unter anderem die Risikobewertung und die Anwendung von Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die den jeweiligen Risiken angemessen sind, umfassen sollte. Iteratives Vorgehen, d.h. kontinuierliche Revision des Managementsystems, ist ebenfalls ein fördernder Parameter.

Als Teil des Risikomanagements sollen Sicherheitsziele definiert werden. Dabei spielt das Kennen der eigenen Risiken sowie ihre Bewertung eine wichtige Rolle. Darüber hinaus ist – wie in jedem Managementprozess auch – die Bereitstellung von notwendigen und ausreichenden Ressourcen im Bereich Personal und IT (Betriebs- und IT-Sicherheit) wünschenswert. Klare Rollenaufteilung, Definition von Verantwortlichkeiten und Kompetenzen sowie die Klarheit in den Aufgabenbereichen sorgen zusätzlich für die Effektivität des Risikomanagements und kommen später bei der Bewältigung von Sicherheitsprozessen der Organisation zugute (z.B. IT-Leiter und IT-Sicherheitsbeauftragter (CISO), Ansprechpersonen bei IT Sicherheitsvorfällen). Als Instrument kann dabei die RACI Matrix zum Einsatz kommen.

Eine weitere Komponente des strategischen Risikomanagements ist die IT-Sicherheitsrichtlinie. Diese gilt es auszuformulieren und zu verabschieden. Dabei wird zunächst die Analyse der Aufbau- und Ablauforganisation (Organigramm und Geschäftsprozesse) vorgenommen und der Geltungsbereich der IT-Sicherheitsrichtlinie festgelegt. Bitte beachten Sie, dass sich Sicherheitsmaßnahmen zunächst auf besonders kritische Bereiche Ihrer Organisation konzentrieren können.

Ein funktionierendes Risikomanagementsystem geht damit einher, dass Risiken für eine Organisation analysiert und bewertet werden können. Bevor eine solche Analyse vorgenommen werden kann, sollte eine detaillierte Übersicht darüber vorhanden sein, wie die Organisation aufgebaut ist.

Zu diesem Zweck wird die Strukturanalyse durchgeführt. Die Strukturanalyse soll verdeutlichen, welche Objekte das Unternehmen besitzt, die geschützt werden müssen. Darunter fallen auch Gebäude, Räume, Geschäftsprozesse, Geräte, Anlagen, Anwendungen sowie IT-Systeme. Ein Netzplan, der die Abläufe und die damit zusammenhängenden Abhängigkeiten von Anwendungen zum IT-System erfasst, verdeutlicht den Umfang und den Maßstab, in dem das Unternehmen seine Infrastrukturen betrachten und auf Risiken prüfen soll.

Machen Sie es sich zum Ziel eine Liste aller Zielobjekte zu haben, die geschützt werden sollen. Kennen Sie Ihre IT, Ihre Anwendungen, aber auch wie die Systeme, Anwendungen und Arbeitsprozesse miteinander verflochten sind. Darüber hinaus sollten Sie auch Ihre Kommunikationswege kennen, sowie Kenntnis darüber haben, wo Ihre Daten und Informationen sind, die geschützt werden sollen.

Die Umsetzung von NIS2 erfordert, dass eine umfassende Risikoanalyse durchgeführt wird. Damit gehen das systematische Erfassen, Verwalten und Absichern aller physischen und digitalen Vermögenswerte (Assets) einher, die in einem Unternehmen zum Einsatz kommen. Es ist daher von großer Bedeutung alle Assets der Informationstechnologien sowie der operationalen Technologien zu kennen, strukturiert zu erfassen und zu inventarisieren. Darüber hinaus dient Asset Inventarisierung der Aktualisierung und Instandsetzung der Assets, um sie so technisch auf aktuellem Stand zu halten. Gehen Sie dabei die gesamte Hard- und Software durch, beachten Sie dabei auch die Anwendungen, die für den Betrieb Ihrer besonderen Anlagen oder physischen Infrastrukturen im Einsatz sind. Gehen Sie auch der Frage nach, welche Informationen, Daten, Systeme und Prozesse besonders kritisch für Ihr Unternehmen sind und daher in besonderer Weise geschützt werden sollten. Besonders schützenswerte Assets bedürfen einer besonderen Bezeichnung. Ihre Handhabung unterscheidet sich ebenfalls von Daten, Informationen, Systemen und Prozessen, die weniger kritisch sind.

Nachdem Sie eine strukturierte Übersicht und einen Überblick über alle Ihre Assets erlangt haben, sollten diese auch mit besonderer Sorgfalt verwaltet werden. Zur Verwaltung von Assets gehören neben ihrer Kategorisierung gemäß Kritikalität auch das Erteilen und Dokumentieren von Nutzungsrichtlinien und Verantwortlichkeiten zur Handhabung der Assets. Dies geschieht zum Beispiel im Onboarding Prozess oder als Teil von Schulungen. Beachten Sie, dass beim Ausscheiden eines Mitarbeiters aus dem Unternehmen ein Offboarding-Prozess inklusive der Rückgabe aller Assets erfolgen muss. Damit geht auch die Löschung aller Konten und Zugänge einher.
Das Asset Management bildet die Grundlage für weitere technische und organisatorische Maßnahmen, die Compliance und Cybersicherheitsgrundlagen bilden wie z.B. Patchmanagement, Risikobewertung, Zugriffsmanagement sowie Notfallpläne. Kenntnis über die eigenen Assets sorgt schließlich für das Bewusstsein und für den Schutz dieser.

Die NIS2-Richtlinie nennt eine Reihe von Maßnahmen, die als Mindeststandard eingeführt werden sollten. Ein zentrales Element dieser Anforderungen ist das Risikomanagement, zu dem insbesondere die Risikoanalyse und Risikobewertung zählen. Ziel ist es, potenzielle Gefährdungen systematisch zu identifizieren, deren Eintrittswahrscheinlichkeit und mögliche Schadenshöhe einzuschätzen und daraus geeignete Schutzmaßnahmen abzuleiten.

Bei der Risikoanalyse sollten sowohl qualitative als auch quantitative Methoden angewendet werden. Eine bewährte Herangehensweise besteht darin, die Wahrscheinlichkeit eines Vorfalls mit dem potenziellen Schadensausmaß zu multiplizieren – so ergibt sich das Risiko für das Unternehmen. Zu berücksichtigen sind dabei nicht nur Cyberangriffe, sondern auch physische und umweltbedingte Gefahren wie Brände, Naturkatastrophen, Verlust oder Diebstahl von Geräten sowie Sabotage. Eine hilfreiche Auflistung möglicher Risiken stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung.

Sobald Sie die relevanten Risiken identifiziert und bewertet haben, ist es entscheidend, Ihre Risikoexposition zu bestimmen und abzuschätzen, welche Schäden im Ernstfall eintreten könnten. Auf dieser Grundlage sollten Sie die Informationen und Geschäftsprozesse ermitteln, die besonders schützenswert sind. Diese sind anschließend entsprechend ihres Schutzbedarfs – etwa hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit – zu klassifizieren. Im Anschluss erfolgt eine genauere Bewertung der möglichen Folgen, wobei auch die Größe Ihrer Organisation sowie die Wahrscheinlichkeit eines Risikoeintritts zu berücksichtigen sind. Verschaffen Sie sich einen Überblick über bestehende Bedrohungen, identifizieren Sie mögliche Schwachstellen in Ihren Systemen und analysieren Sie, wie sich diese auf Ihre Geschäftsprozesse auswirken könnten. Der zentrale Maßstab für alle weiteren Maßnahmen sollte stets der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen und Systeme sein.

Die Umsetzung von NIS2 legt Maßnahmen zugrunde, die Risiken minimieren sollen. Ein effektives Identitäts- und Berechtigungsmanagement geht damit unmittelbar einher. Unternehmen sollen daher klare Richtlinien und Verfahren etablieren, die Risiken durch unbefugte Zugriffe minimieren. Mit solchen Regeln soll gewährleistet werden, dass nur befugte bzw. autorisierte Personen Zugang zu IT- und OT-Systemen, Anwendungen, Informationen und Daten erhalten.

Eine klare Definition der Rollen und Rechteverteilung ist dabei hilfreich. Weitere Mechanismen zur Identitätsprüfung und Authentifizierung sollen eingesetzt werden. Zentrale Prinzipien und Praktiken können dabei sein, die Zugangsrechte zu Assets auf das Nötigste zu reduzieren und sich zu fragen, wer tatsächlich Zugang zu bestimmten Informationen und Prozessen/Anlagen benötigt oder auch mit Zero-Trust als Grundsatzprinzip, bei dem jeder Zugriff grundsätzlich verifiziert wird. Mit Mehrfach Authentifizierung (MFA) auf allen Anwendungen und mit Single-Sign-on wird die Sicherheit der Zugriffe technisch ermöglicht. Die definierten Regelwerte sollen in regelmäßigen Abständen revidiert und ggf. angepasst werden.

Die Netzwerksicherheit zu gestalten ist ein wichtiges Konzept der Cybersicherheit. Denn damit besteht die Möglichkeit, Risiken gezielter zu identifizieren sowie Daten und Systeme innerhalb und über das Netzwerk vor Angriffen, Ausfällen und Datenverlust zu schützen.

Sie sollten daher in Ihrem Unternehmen Parametersicherheit, die die Grenzen Ihres Netzwerkes zwischen internen sicheren Netzwerken und den externen potenziell unsicheren Netzwerken einrichten. Firewalls sind das geeignete Werkzeug dafür. Außerdem ist es hilfreich, eine Radius Einschränkung vorzunehmen sowie Endgeräte, die nicht im Netzwerk registriert sind, nicht zuzulassen. Bei der Nutzung von Netzzugängen sollte unbedingt eine Authentifizierung vorgenommen werden. Schützen Sie Ihre Daten mithilfe von Verschlüsselung bereits bei der Datenübertragung, indem Sie Verfahren wie TLS für die Sicherheit Ihrer Websites und E-Mails einsetzen oder auch VPN-Technologien, welche Ihre Verbindungen zwischen Geräten und dem Unternehmensnetzwerk verschlüsseln. Auch ist es ratsam, Ihre Netzwerke regelmäßig auf Schwachstellen zu untersuchen und regelmäßige Updates für Software und Geräte durchzuführen. Gehen Sie dabei systematisch und gesteuert vor. Mit der Segmentierung wird das Netzwerk in isolierte Bereiche aufgeteilt und ist so leichter zu managen.

Gestalten Sie Ihre Netzwerke in jedem Fall so, dass sie vor Unbefugten geschützt sind.

Die NIS2 benennt eine Reihe von Maßnahmen, die als Mindeststandard eingeführt werden sollten.
Darunter fällt das Monitoring von Risiken durch Beobachtung von potenziellen Cyberangriffen, denn es ist nicht ausreichend eine einmalige Analyse der Risiken durchzuführen.

Beobachten Sie daher potenzielle Schwachstellen, leiten Sie Schutzmaßnahmen ab und definieren Sie Richtlinien zur Folgeabschätzung. Es ist ratsam, auch im Hinblick auf die Netzwerksicherheit, den Netzverkehr kontinuierlich zu überwachen. Dafür eigenen sich sog. Intrusion-Detection- und Instrusion-Prevention-Systeme, Security Information and Event Management Lösungen (SIEM) und SOC zur Erkennung von Angriffen und zwecks schneller Erkennung und Reaktion.

Allein Informationen über die Erkennung von Bedrohungen reichen häufig nicht aus. Die Informationenn aus der Überwachung müssen ausgewertet und in weitere Maßnahmen umgesetzt werden. Ab wann Handlungsbedarf besteht, kann durch Alarme im Hinblick auf identifizierte Bedrohungen festgelegt werden. Definieren Sie daher Prozesse und Abläufe zum Umgang mit Alarmen und halten Sie Ausschau nach Anomalien, Datenabflüssen und ungewöhnlichen Anmeldeversuchen.

Cybersicherheit erfordert an vielen Stellen schnelle Reaktionszeiten, Transparenz der Arbeitsabläufe sowie im Fall von Rückfragen und Kooperationsanforderungen detailliertes Wissen über Systeme und Prozesse einer Organisation. Daher ist es notwendig eine technische und prozessuale Dokumentation einzuführen. Diese Dokumentation soll bei Störungen und Sicherheitsvorfällen eine Grundlage zur schnellen Wiederherstellung der IT und der Wiederaufnahme von Geschäftsprozessen sein. Technische Einzelheiten und Arbeitsabläufe sind daher so zu dokumentieren, dass dies innerhalb kurzer Zeit möglich ist.

Zu einer effektiven Dokumentation gehören ebenfalls Leitlinien und Strategien zur Risikominimierung, ein Maßnahmenkatalog für die Risikoanalyse sowie zum Umgang mit Risiken. Auch Schwachstellenmanagement sollte Inhalt einer Dokumentation sein. Es ist weiterhin zu dokumentieren, welche operativen Sicherheitsmaßnahmen vorgenommen werden wie z.B. Zugriffsrechte und Identitätsmanagement, Backups, Notfallmanagement. Dokumentieren Sie auch, wie Sie auf Vorfälle in der Regel reagieren oder vor haben zu reagieren. Vergessen Sie auch nicht zwecks Verpflichtung zur Schulungen der Leitiungsebene auch diese in die Dokumentation mitaufzunehmen.

Beispiele hierfür sind Anleitungen zur Installation von IT-Anwendungen, zur Durchführung von Datensicherungen, zum Rückspielen einer Datensicherung, zur Konfiguration der TK-Anlage, zum Wiederanlauf eines Anwendungsservers nach einem Stromausfall und ebenso die Dokumentation von Test- und Freigabeverfahren und Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen.
Arbeitsabläufe, organisatorische Vorgaben und technische Sicherheitsmaßnahmen müssen so dokumentiert werden, dass Sicherheitsvorfälle durch Unkenntnis oder Fehlhandlungen vermieden werden. Beispiele hierfür sind Sicherheitsrichtlinien für die Nutzung von E-Mails und Internet, Hinweise zur Verhinderung von Virenvorfällen oder zum Erkennen von Social Engineering sowie Verhaltensregeln für Mitarbeitende beim Verdacht eines Sicherheitsvorfalls.

Im Grunde geht es darum, eine Dokumentation aller Maßnahmen und Praktiken zu dokumentieren, die das Unternehmen unternimmt, um die Systeme zu schützen. Dies sollte ein fortwährender Prozess in Ihrer Organisation werden und einem regelmäßigen Review unterliegen.

Die Umsetzung von NIS2 erfordert, dass ein umfassendes IT-Sicherheitskonzept vorliegt, das sowohl die Informationssicherheit als auch die Datensicherheit berücksichtigt. Das Sicherheitskonzept bildet die Grundlage für alle weiteren Maßnahmen in der Cybersicherheit – von der Risikobewertung über die Zugriffskontrolle bis hin zur Reaktion auf Sicherheitsvorfälle. Nur ein ganzheitliches, dokumentiertes und gelebtes Sicherheitskonzept schafft ein belastbares Fundament für die Umsetzung der NIS2-Anforderungen.

Dabei steht die ganzheitliche Betrachtung von organisatorischen, technischen und personellen Maßnahmen im Vordergrund, um die Sicherheit von IT-Systemen und Daten nachhaltig zu gewährleisten.
Ziel ist es, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen zu gewährleisten und diese mithilfe einer Richtlinie zum Risikomanagement abzusichern.

Ein IT-Sicherheitskonzept beginnt mit der Definition des Schutzbedarfs für Informationen, Systeme und Prozesse und umfasst Konzepte zu Identitäts- und Zugriffskontrollen, zur Netzwerksicherheit, zur Bedrohungserkennung und Reaktion darauf sowie zur Zugriffskontrolle auf schützenswerte Infrastrukturen und Anlagen. Dazu gehören auch Notfallkonzepte und Maßnahmen zur Wiederherstellung nach Sicherheitsvorfällen.

Berücksichtigen Sie im Rahmen des Konzepts sowohl die physische als auch die digitale Sicherheit. Definieren Sie klare Sicherheitsanforderungen, dokumentieren Sie technische Schutzmaßnahmen und legen Sie verbindliche Vorgaben für Mitarbeitende fest. Das Sicherheitskonzept sollte regelmäßig überprüft und weiterentwickelt werden – insbesondere bei technologischen Änderungen oder neuen Bedrohungslagen. Dabei müssen die Leitungsorgane immer Kenntnis vom Sicherheitskonzept haben sowie dieses regelmäßig monitoren.

Die Umsetzung von NIS2 erfordert die Etablierung eines umfassenden Incident Management Systems, das auf die frühzeitige Erkennung, Analyse, Bewertung und Behandlung von IT-Sicherheitsvorfällen ausgerichtet ist. Ziel ist es, Angriffe, Anomalien und Sicherheitsverletzungen frühzeitig zu erkennen, um eine schnelle Reaktion und eine wirksame Eindämmung zu ermöglichen.

Ein wirksames Incident Management System beginnt mit der technischen Ausstattung: Setzen Sie Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) ein, um verdächtige Aktivitäten und bekannte Angriffsmuster zu erkennen und automatisiert zu blockieren. Ergänzen Sie diese durch Systeme zur Angriffserkennung, die mit geeigneten Parametern und Schwellenwerten arbeiten, die sich aus dem laufenden Betrieb ergeben.

Insbesondere der Einsatz von Anomalieerkennungstools wie EDR (Endpoint Detection & Response) und XDR (Extended Detection & Response) trägt wesentlich dazu bei, unbekannte Angriffsversuche auf Endpunkte, Netzwerke und Cloud-Umgebungen zu identifizieren. Diese Systeme analysieren kontinuierlich das Verhalten von Anwendungen, Datenflüssen und Nutzer, um ungewöhnliche Aktivitäten zu identifizieren, die auf potenzielle Sicherheitsvorfälle hindeuten.

Das Incident Management umfasst nicht nur die technische Erkennung, sondern auch die organisatorischen Reaktionsprozesse. Definieren Sie klare Abläufe für die Eskalation, Benachrichtigung, Analyse und Nachbereitung von Vorfällen. Rollen, Verantwortlichkeiten und Kommunikationswege müssen festgelegt und regelmäßig geübt werden. Schließen Sie in regelmäßigen Abständen Ihre Schwachstellen, indem Sie diese regelmäßig überprüfen und patchen, d.h. updaten und die Sicherheitslücken schließen.

Dokumentieren Sie alle Vorfälle systematisch, um daraus Maßnahmen zur Prävention und Optimierung abzuleiten.

Sollte es zu einem Sicherheitsvorfall kommen, zählt jede Minute. Eine schnelle Reaktion und eine verlässliche Kommunikation sind entscheidend, um Schäden zu begrenzen und handlungsfähig zu bleiben. Da bei schwerwiegenden Vorfällen IT-Systeme vollständig oder teilweise ausfallen können, müssen alternative und sichere Kommunikationswege bereits im Vorfeld definiert und verfügbar sein.

Ein zentrales Instrument zur Vorbereitung auf diesen Ernstfall ist die Notfallkarte. Diese sollte allen relevanten Personen des Sicherheitsmanagements sowohl analog als auch digital zur Verfügung stehen. Sie dient dazu, im Fall eines Systemausfalls schnell und gezielt die richtigen Kontakte zu erreichen.

Die Notfallkarte sollte die Kontaktdaten des Incident Response Teams enthalten, einschließlich Namen, Rollen, Mobiltelefonnummern, alternativer E-Mail-Adressen sowie – falls notwendig – privater Kontaktmöglichkeiten für den Fall eines Totalausfalls der Systeme. Ebenso gehören Ansprechpartner für Eskalationsfälle wie Mitglieder der Geschäftsleitung, der IT-Leitung oder externe Dienstleister auf die Karte. Damit die Kommunikation auch außerhalb der IT-Infrastruktur funktioniert, sollten vorab definierte Kommunikationskanäle enthalten sein, wie etwa Notfalltelefone, sichere Messenger-Dienste mit Verschlüsselung oder analoge Alternativen.

Darüber hinaus sollte die Karte Informationen zu Verantwortlichkeiten und Vertretungsregelungen enthalten, also wer im Ernstfall welche Rolle übernimmt, wer weisungsbefugt ist und wer für die Dokumentation des Vorfalls verantwortlich ist. Auch Hinweise auf die Standorte kritischer Infrastrukturen oder Systeme, auf die im Notfall physisch zugegriffen werden muss, sind hilfreich. Wenn vorhanden, sollte auf weiterführende Notfallpläne verwiesen werden – etwa Wiederanlaufpläne, Evakuierungspläne oder Regelungen zur Backup-Verwaltung – und sichergestellt sein, dass diese offline verfügbar sind.

Es ist wichtig, dass jede betroffene Person stets Zugriff auf eine aktuelle Version der Notfallkarte hat – sei es in physischer Form oder auf einem verschlüsselten, offlinefähigen Medium wie einem USB-Stick. Die Karte muss regelmäßig überprüft und aktualisiert werden, insbesondere nach personellen oder organisatorischen Änderungen.

Die Durchführung von Backups ist eine zentrale Maßnahme zur Absicherung und schnellen Wiederherstellung von
Systemen und somit von Organisationsprozessen.

Basierend auf Ihren vorhandenen Systemen (Asessment findet im Rahmen von Asset Management statt) sollen Backups, d.h. Sicherungskopien in regelmäßigen Abständen ausgeführt werden. Auch Backups der Daten sollten in regelmäßigen Abständen erstellt werden. Dabei sollte die Frage geklärt sein, wo diese aufbewahrt werden, um im Notfall schnell auffindbar zu sein und Systeme daraus wiederherzustellen. Es empfiehlt sich, Wiederherstellungstests durchzuführen, um sicherzustellen, dass die Backups zwecks Wiederherstellung genutzt werden können. Je segmentierter Ihre Netzwerke sind, desto segmentierter sind auch Ihre Backups. Achten Sie darauf die Backups in einem abgetrennten Storage aufzubewahren.

Ein Incident Response Playbook ist ein detaillierter Leitfaden und beinhaltet in der Regel eine Reihe von Praktiken und Abläufen, um angemessen auf die Sicherheitsvorfälle reagieren zu können.
Dabei werden je nach Kategorie der Information, des Systems und der Daten eigenständige Eskallationsregeln formuliert. In Abhängigkeit von der Art des Sicherheitsvorfalls werden Reaktionsmaßnahmen definiert. Dafür ist es wichtig die Spezifika von einzelnen Arten der Cyberangriffe zu kennen.

Das Incident Response Playbook, also der Leitfaden, beschreibt genau und detailliert, wie die Systeme nach einem Notfall wiederhergestellt werden sollen. Das Ziel ist dabei, die Systeme schnell hochzufahren und die Anlagen wieder anzuschalten.

Krisenmanagement ist ein wichtiges Element, um Ausfälle zu minimieren und kritische Systeme schnell wiederherzustellen. Wie das Wort bereits besagt, geht es darum die eintretende Krise zu steuern.
Erstellen Sie Krisen- und Notfallpläne, d. h. spielen Sie durch, welche Schritte notwendig wären, um in einem plötzlich auftretenden Krisenfall Ihre IT-Systeme und Anlagen zu schützen und funktionsfähig zu halten. Überlassen Sie dabei nichts dem Zufall. Da die Situation im Angriffsfall mit extremer Belastung und Stress einhergeht, ist es essentiell die Abwehr detailliert zu Planen und auch zu üben. Fragen Sie sich, ob Sie in der Lage wären, die Systeme wiederherzustellen. Was würden Sie dafür benötigen?Auch die Versorgung des Rechenzentrums, sofern vorhanden, sollte Bestandteil des Krisenplans sein. Gehen Sie in ihrem Plan darauf ein, wie Sie mit Unterbrechungen durch Stromausfälle umgehen würden. Ihre Krisenpläne sollten auch Sicherheitsrichtlinien für die Erkennung von sicherheitsrelevanten Ereignissen beinhalten, sodass diese in der Anwendung zum tragen kommen können. Nicht zuletzt gehört auch ein Plan zur Wiederherstellung nach einem Notfall zum effektiven Krisenmanagement.

Krisenpläne allein reichen nicht aus, denn sie müssen auch praktikabel sein. Tritt ein Sicherheitsvorfall ein, dann nutzen Sie Ihre Krisenpläne und stellen Sie die Systeme wieder her, versorgen Sie Ihre Rechenzentren im Notfall und schützen Sie Ihre Systeme dabei davor, dass Stromausfälle Ihre Prozesse unterbrechen.

Als von der NIS2 betroffenes Unternehmen sind Sie auch dafür verantwortlich, dass Ihre Lieferkette bzw. Ihre Dienstleister ebenfalls Sicherheitsmaßstäbe einhalten.

Verschaffen Sie sich zunächst einen Überblick darüber, wer Ihre Lieferketten und Dienstleister sind, indem Sie ein Verzeichnis erstellen. Führen Sie eine Liste aller IKT-Produkte, Dienste und Prozesse, die durch diese Dienstleister bereitgestellt werden.

Ähnich der Analyse Ihrer eigenen Lieferkette, analysieren Sie, wie Ihre Lieferketten im Fall betroffen sein könnten. Bewerten Sie die Risiken.

indem Sie die Dienste danach analysieren, wie stark sie für die Sicherheit Ihres eigenen Unternehmens relevant sind. Als betroffenes Unternehmen sollen Sie Ihre Dienstleister auf ihre Cybersicherheit hinweisen und dabei z.B. ein Fragenkatalog (Self Assessment) zur Prüfung und Überprüfung der von NIS2 erwarteten Sicherheitsstandards. Verbindliche Sicherheitsklauseln für die Einhaltung von Mindeststandards und Melden von Sicherheitsvorfällen sollen bei der Vertragsausgestaltung sichergestellt werden.

Die Sicherheit der Lieferkette ist ein kritischer Faktor für die Sicherheit Ihres Unternehmens. Daher ist es geboten, auch hier klare Richtlinien für den Umgang mit Dienstleistern sowie konkrete Sicherheitsanforderungen an sie festzulegen.

Dazu gehört die Kontrolle der Leistungserbringung und der Sicherheitsanforderungen an Dienstleister und Lieferanten des KRITIS-Betreibers. Auch die Fähigkeit Ihrer Lieferketten auf Vorfälle angemessen zu reagieren spielt dabei eine Rolle. Wählen Sie Ihre Lieferkette und Dienstleister daher entsprechend sorgfältig unter Berücksichtigung von Sicherheitskriterien aus. Auch gelten besondere Anforderungen an Verträge mit Ihren Anbietern und Dienstleistern, die die Prüfung von Cybersicherheitsmaßnahmen, Awareness und Qualifizierungsmaßnahmen sowie weitere Kriterien aus NIS2 beinhalten sollten.

Die Verträge mit Anbietern und Dienstleistern sollen, soweit angemessen, folgendes enthalten:
a) Cybersicherheitsmaßnahmen iSv Art. 21 Abs. 2 e), b) Sensibilisierungs-, Qualifikations- und Ausbildungsanforderungen und ggf. Zertifizierungen von Mitarbeitenden der Dienstleister, c) Anforderungen an die Zuverlässigkeitsprüfung der Mitarbeitenden, d) die Verpflichtung, Sicherheitsvorfälle mit Risiko für die Sicherheit der Netz- und Informationssysteme dieser Einrichtungen, unverzüglich zu melden, e) Recht auf Prüfungen oder alternativ das Recht auf Erhalt von (externen und internen) Prüfberichten, f) die Verpflichtung zur Behebung von relevanten Schwachstellen, g) Anforderungen an die Untervergabe, sofern zulässig, h) Verpflichtung zur Entsorgung bzw. zum Abruf von bestimmten Informationen nach Kündigung des Vertrags.

Für die Auswahl und Beschaffung von Informationssystemen – als besonders sensibler Bestandteil Ihrer Prozesse – sollten Sie klare Richtlinien und Abläufe festlegen, um Sicherheitsrisiken gegebenenfalls zu verringern.

Sind Systeme ausgewählt worden und war die Sicherheit ein zentrales Element der Beschaffung, sollten weitere Maßnahmen zur Risikominimierung in der Lieferkette vorgenommen werden.

Da sich Informationssysteme intern weiterentwickeln müssen, benötigen Sie Vorschriften für einen sicheren internen Entwicklungszyklus, Verfahren für die Sicherheit im Änderungsmanagement, Verfahren zum Patchmanagement und darüber hinaus Maßnahmen und Regeln zum Schutz gegen Schadsoftware und nicht genehmigte Software in Ihren Lieferketten. Darüber hinaus ist sicheres Konfigurationsmanagement ebenfalls ein wichtiges Element für die Sicherheit Ihrer beschaffener Informationssysteme. Außerdem sollen betroffene Unternehmen Verfahren und Richtlinien zur Netzwerksicherheit der IKT Dienste und Produkte definieren und ausführen.

a) Sicherheitsanforderungen an die IKT-Dienste oder Produkte
b) Anforderungen an die Sicherheitsaktualisierungen während der gesamten Lebensdauer bzw. deren Ersatz nach Ablauf des Unterstützungszeitraums,
c) Beschreibungen der Hard- und Softwarekomponenten,
d) Informationen zur Beschreibung der umgesetzten Cybersicherheitsfunktionen und der benötigten Konfigurationen für einen sicheren Betrieb.

Cybersicherheitsprozesse sind laufende Prozesse, die einer Überprüfung bedürfen. Demnach sollten regelmäßige Audits zur Überprüfung des ISMS stattfinden, die die Informationssicherheitsstrategie und das Managementsystem erneut auf Gültigkeit und Validität überprüfen. Die Überprüfung sollte auch in diesem Fall durch die Leitungsebene vorgenommen werden.

Um ein möglichst realistisches Lagenbild zu erhalten und rationale Anpassungen vorzunehmen sollten die Audits unabhängig sein, d.h. dass nicht die für das ISMS zuständige Personen das Audit durchführen, sondern Unabhängig von diesen Prozessen gewehrleistet wird.
Sofern die Erfolgskontrolle stattgefunden hat und ihre Eignung überprüft wurde, sollten falls notwendig Anpassungen vorgenommen werden

Eine weitere Komponente des Monitorings bilden Log Auswertungen.
Dazu gehören eine Reihe von Praktiken und Systemen, um die Logs systematisch auszuwerten.

Werten Sie Ihre Defender Systeme systematisch aus. Werten Sie auch die Logs kritischer Assets aus. Denken Sie außerdem daran die Logs von Storage (Server, Cloud, Datenbanken) auszuwerten. Planen Sie die Protokollierung auf System- und Netzebene und stellen Sie eine Infrastruktur zur Auswertung von Protokoll- und Protokollierungsdaten auf, um die sicherheitsrelevanten Ereignisse zu prüfen.
Konfigurieren Sie das Logmanagement und sorgen Sie dafür, dass dieses kontinuierlich verfügbar ist.

Invasive Testung ist ein hilfreiches Instrument, um Ihre Systeme auf Schwachstellen zu testen sowie Einfallsvektoren auszuschließen und ist eine Mögtlchkeit die eigenen Systeme extern auf Wirksamkeit der Schuzmechanismen zu schützen.

Es empfiehlt sich vulnerability Scans und Penetrationstests durchzuführen. Beachten Sie dabei, dass Sie die Tests auf allen IT- und OT Systemen laufen lassen.

Die Auswertung von Informationen aus externen Quellen ist eine effektive Methode, um die Wirksamkeit der eigenen Sicherheissysteme zu überprüfen.

Beobachten Sie Ereignismeldungen und richten Sie sich Alerts zur zentralen Detektion und Echtzeitüberprüfung von Ereignismeldungen ein. Bewerten Sie sicherheitsrelevante Ereignisse. Gehen Sie vorausschauend vor, indem Sie die Auswirkungen möglicher Ereignisse im Vorfeld eindämmen und Ihre Organisation daraufhin ausrichten.

Die sichere Verwaltung von IT- und OT-Systemen ist ein zentraler Bestandteil der Cyberhygiene. Ziel ist es, bekannte Schwachstellen systematisch zu erkennen und zu schließen, bevor sie ausgenutzt werden können.

Sorgen Sie dafür, dass Ihre Systeme regelmäßig überprüft, aktualisiert und dokumentiert werden. Dies umfasst sowohl klassische IT-Infrastrukturen als auch industrielle Steuerungssysteme (OT), die zunehmend miteinander vernetzt sind.

Ein wichtiger Bestandteil des Sicherheitskonzepts ist die Mikrosegmentierung: Durch die gezielte Trennung von Netzwerken und Systemen wird die potenzielle Angriffsfläche deutlich reduziert. So können Angriffe auf einzelne Bereiche isoliert und deren Ausbreitung verhindert werden.

Nutzen Sie in Ihrer Organisation ausschließlich sichere Infrastrukturen – das betrifft Netzwerke, Hardware, Software sowie Telekommunikationslösungen. Die Auswahl und Konfiguration technischer Systeme sollte sich stets an etablierten Sicherheitsstandards orientieren.

Stellen Sie sicher, dass alle Systeme regelmäßig Updates und Sicherheits-Patches erhalten, um bekannte Schwachstellen zeitnah zu schließen. Ein konsequentes Patch-Management gehört zu den grundlegenden Maßnahmen technischer Sicherheit.

Schaffen Sie wirksame Schutzmechanismen gegen Schadsoftware, indem Sie Antivirus-, Anti-Malware- und Mail-Defender-Systeme einsetzen. Diese erkennen und blockieren potenziell gefährliche Inhalte, bevor sie Schaden anrichten können.

Auch Endgeräte sollten durch moderne Endpoint-Protection-Lösungen abgesichert werden – insbesondere bei mobilem Arbeiten. EDR- (Endpoint Detection and Response) und XDR-Systeme (Extended Detection and Response) bieten zusätzliche Schutzebenen und ermöglichen eine schnelle Erkennung und Reaktion auf sicherheitsrelevante Vorfälle.

Zugriffskontrollen und Rechtevergaben sind essenzielle Sicherheitsmaßnahmen für eine Organisation.

Als Organisation sollten Sie über ein Rechtekonzept verfügen und Ihre Nutzer authentifizieren. Personelle Informationssicherheitsrichtlinien und – vorgaben sind dabei eine wichtige Maßnahme. Als Organisation sollten Sie klare Sicherheitsrichtlinien für die Nutzung von IT (Hard- und Software) haben.
Ebenso gehören Passwortrichtlinien für sichere Passwörter dazu. Auch die Nutzung von Passkeys kann für mehr Sicherheit der Passwörter sorgen. Haben Sie allgemeine Regeln für die Nutzung von Arbeitsgeräten und Arbeitsanwendungen und entscheiden Sie darüber, welche Geräte die Mitarbeitenden nutzen sollen. Fragen Sie sich, ob Mitarbeitende private Geräte nutzen, um ihre Arbeit auch remote zu verrichten und ob Ihre Systeme und Infrastrukturen geeignete Sicherheitslösungen dafür bereitstellen. Betriebsvereinbarung und Compliance zu Nutzung von Arbeitsgeräten sollten Teil jedes Arbeitsvertrags sein.

Cybersicherheit ist keine Aufgabe einzelner Funktionen, sondern betrifft die gesamte Organisation. Schulen Sie Ihre Mitarbeitenden regelmäßig im Bereich der Cybersicherheit – unabhängig von ihrer Rolle.

Neben der Schulungspflicht für die Leitungsebene sollten auch alle weiteren Mitarbeitenden in die Sicherheitsstrategie einbezogen werden. Verankern Sie Informationssicherheit fest im Onboarding-Prozess neuer Mitarbeitenden, damit Sicherheitsbewusstsein von Anfang an gelebt wird.

Achten Sie bei der Planung Ihres Schulungsportfolios darauf, dass gezielt auch Fachbereiche wie das Informationssicherheits-Management und der Service Desk berücksichtigt werden. Diese Funktionen tragen in besonderem Maße zur operativen Sicherheit bei und benötigen daher regelmäßige, vertiefende Schulungsangebote.

Sichere Datenaufbewahrung und sicherer Datentransfer bieten Schutz sensibler Daten und sind ein zentrales Konzept, um Vertraulichkeit und Integrität von Informationen zu gewährleisten. Der Einsatz von Verschlüsselungsverfahren ist sowohl bei der Speicherung als auch bei der Übertragung von Daten notwendig. Verwenden Sie für die Datenaufbewahrung und Backups einen speziellen User/Account.

Stellen Sie sicher, dass in Ihrer Organisation eine verbindliche Richtlinie zur Nutzung von Verschlüsselung existiert. Diese sollte klar regeln, welche Verfahren zugelassen sind, wie stark die Verschlüsselung sein muss, und wie mit Schlüsseln umgegangen wird. Greifen Sie dabei auf international anerkannte Standards wie RSA und AES zurück.

Sämtliche Datenübertragungen – z. B. über E-Mails, Webportale oder mobile Endgeräte – sollten durch Transportverschlüsselung abgesichert werden. Technologien wie VPN sorgen dafür, dass Informationen während der Übermittlung nicht mitgelesen oder manipuliert werden können.

Auch gespeicherte Daten müssen geschützt werden. Insbesondere bei vertraulichen oder personenbezogenen Informationen ist eine sichere Verschlüsselung im Ruhezustand ratsam – etwa auf Servern, Laptops oder in der Cloud. Dies gilt gleichermaßen für lokale Systeme wie für ausgelagerte IT-Dienste.

Zentraler Bestandteil jeder Verschlüsselungsstrategie ist eine sichere Schlüsselverwaltung. Nur wenn digitale Schlüssel geschützt, nachvollziehbar verwaltet und regelmäßig erneuert werden, bleibt die gesamte Schutzmaßnahme wirksam. Verwenden Sie hierfür idealerweise dedizierte Schlüsselmanagementsysteme, die eine klare Zugriffskontrolle und Protokollierung ermöglichen.

Durch die konsequente Umsetzung dieser Maßnahmen stellen Sie sicher, dass Daten auch dann geschützt bleiben, wenn sie gestohlen, abgefangen oder verloren gehen – denn ohne den richtigen Schlüssel bleibt ihr Inhalt unzugänglich.

Multi-Faktor-Authentifizierung ist eine weitere notwendige Maßnahme, die Ihre Systeme vor unbefugten Zugriffen schützt.
Es ist an dieser Stelle wichtig, dass eine kontinuierliche Authentifizierung stattfindet.

Die Nutzung sicherer Kommunikationskanäle ist ein zentraler Baustein der Informationssicherheit. Sie gewährleistet nicht nur den geschützten Austausch sensibler Informationen im regulären Betrieb, sondern bildet auch im Notfall die Grundlage für eine verlässliche und koordinierte Kommunikation. Nur wenn Kommunikationswege vor unbefugtem Zugriff geschützt sind, können Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen sichergestellt werden.

Daher ist bei der internen und externen Kommunikation auf die Nutzung entsprechend abgesicherter Kanäle zu achten – etwa durch Ende-zu-Ende-Verschlüsselung, gesicherte E-Mail-Kommunikation oder durch Nutzung spezieller Kollaborationstools mit hohen Sicherheitsstandards. Dies gilt besonders für den Umgang mit schutzwürdigen oder vertraulichen Daten.

Für den Krisenfall sollten im Vorfeld spezielle, sichere Kommunikationswege definiert werden, über die die interne Koordination erfolgen kann. Diese sogenannten Notfallkanäle müssen unabhängig vom regulären IT-Betrieb nutzbar sein und allen relevanten Stellen bekannt sein.

Dazu gehören wie auch in der Notfallkarte beschrieben die klare Festlegung interner Meldewege bei Sicherheitsvorfällen, die namentliche Benennung und Erreichbarkeit betroffener Stellen wie der Institutionsleitung, des IT-Betriebs, der oder des Datenschutzbeauftragten sowie der Notfallbeauftragten und die Definition verbindlicher Eskalationsstufen sowie der Kommunikationsverantwortlichen je nach Szenario.

Nur durch frühzeitige Planung, regelmäßige Überprüfung und konsequente Nutzung sicherer Kommunikationskanäle kann im Ernstfall schnell, zielgerichtet und sicher reagiert werden.

Die Sicherheit von Informationen und Systemen hängt neben Technik auch von Mitarbeitenden ab, die Zugang zu diesen haben. Daher ist es unerlässlich, bereits bei der Einstellung neuer Mitarbeitender geeignete Maßnahmen zur Überprüfung der persönlichen Eignung zu treffen. Die Sicherheit des Personals stellt somit einen elementaren Pfeiler im Rahmen einer umfassenden Cybersicherheitsstrategie dar.

Bereits im Bewerbungsprozess sollte eine strukturierte Sicherheitsprüfung erfolgen. Dazu zählt die eindeutige Identitätsverifikation, etwa durch Vorlage eines gültigen Personalausweises. Ebenso ist die Verifikation des Lebenslaufs wichtig – insbesondere durch die Überprüfung vorgelegter Zeugnisse, akademischer Abschlüsse und beruflicher Qualifikationen. Bei sicherheitsrelevanten Funktionen empfiehlt es sich, zusätzlich ein aktuelles polizeiliches Führungszeugnis einzufordern. Die Einholung von Referenzen früherer Arbeitgeber sowie gegebenenfalls schriftliche Eignungsprüfungen können weitere Sicherheit bieten, um die Vertrauenswürdigkeit und fachliche Qualifikation der Bewerbenden zu bewerten.

Auch nach der Einstellung sollte die sicherheitsbezogene Bewertung nicht enden. In regelmäßigen Abständen ist zu prüfen, ob die Rollenzuweisung der Mitarbeitenden noch angemessen ist und ob Zugänge zu Systemen und Informationen weiterhin erforderlich und berechtigt sind. So wird sichergestellt, dass nur befugte Personen Zugriff auf sensible Daten erhalten. Dabei sollten Veränderungen von Aufgaben, Zuständigkeiten oder Beschäftigungsverhältnissen umgehend im Sicherheitsprozess abgebildet werden.

Mit diesen Maßnahmen stellen Sie sicher, dass Sicherheit auch auf der personellen Ebene gestärkt wird.

Ein klar strukturiertes Identitäts- und Rechtemanagement stärkt nicht nur die Sicherheit der Systeme, sondern unterstützt auch die Nachvollziehbarkeit und Transparenz innerhalb der Organisation.
Die zuverlässige Identifikation und Authentifizierung von Mitarbeitenden sowie die konsequente Autorisierung von Zugriffen auf Systeme und Daten gehören zu den zentralen Säulen der Informationssicherheit. Nur wenn zweifelsfrei sichergestellt ist, wer auf welche Ressourcen zugreifen darf, lassen sich Risiken wie unbefugter Datenzugriff, Rechteausweitung oder Manipulation wirksam eindämmen.

Ein ganzheitliches Konzept beginnt mit der eindeutigen Identifikation jeder nutzenden Person im System. Besonders Benutzerkonten mit weitreichenden Rechten – etwa für administrative Aufgaben – müssen durch starke Authentifizierungsverfahren wie Zwei-Faktor-Authentifizierung abgesichert sein. Auch für Mitglieder der Leitungsorgane, die Zugriff auf besonders sensible Informationen haben, sind zusätzliche Schutzmaßnahmen erforderlich.

Die systemseitige Zugriffskontrolle stellt sicher, dass nur autorisierte Personen auf bestimmte Daten, Funktionen oder Quellcode zugreifen können. Passwortanforderungen – etwa zur Länge, Komplexität und Gültigkeitsdauer – sowie automatisierte Prüfmechanismen sind essenziell, um Missbrauch vorzubeugen. Ebenso muss der Zugriff auf administrative Software und sicherheitskritische Bereiche des Systems gezielt eingeschränkt, dokumentiert und regelmäßig überprüft werden.

Eine wichtige Komponente des Sicherheitsmanagements sind auch die Anlagen.
Der Zutritt sollte auch zu diesen unter Sicherheitsaspekten gemäß Identität und Rechtemanagement geregelt werden. Ausschließlich befugte Personen sollen Zutritt erhalten. Die Zutrittsrechte sollen in regelmäßigen Abständen überprüft werden.

Als betroffenes Unternehmen unterliegen Sie einer Meldepflicht. Stellen Sie sicher, dass Sie in der Lage sind, dieser zentralen NIS2 Pflicht nachzukommen. Es empfiehtl sich stets eine technische und prozessuale Dokumentation aller Prozesse zu führen, auch wenn Sie von einer ex ante Prüfung nicht betroffen werden.
Sobald ein erheblicher Vorfall eintritt, melden Sie diesen und informieren Sie Ihre Dienstnehmer. Um dies tun zu können, richten Sie ein Meldewesen nach außen ein. Dabei hilft Ihnen Ihre Notfallkarten, die Krisennotfallpläne sowie die Dokumentation.

Als betroffenes Untenehmen müssen Sie sich an vorgegebene Meldefristen halten. Meldungen müssen innerhalb vordefinierter Meldefristen geschehen.

Als betroffenes Unternehmen sind Sie verpflichtet, unverzüglich eine Meldung und Frühwarnung nach 24h bei der zuständigen Behörde (BSI) abzugeben. Eine Aktualisierung und Bewertung des Vorfalls muss spätestens nach 72h erfolgen. Ein Zwischenbericht wird nach einem Monat erwartet, darauf folgt ein Abschluss oder Fortschrittsbericht, wenn der Vorfall weiterhin andauern sollte.

Im Rahmen von NIS2 ist eine Registrierungspflicht vorgegeben. DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke müssen sich beim BSI registrieren lassen. Dabei ist anzugeben:

a) Name der Einrichtung,
b) gegebenenfalls, einschlägiger Sektor, Teilsektor und Art der Einrichtung
c) Anschrift der Hauptniederlassung der Einrichtung und ihrer sonstigen Niederlassungen in der Union oder, falls sie nicht in der Union
niedergelassen ist, Anschrift ihres nach Artikel 26 Absatz 3 benannten Vertreters
d) aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Einrichtung und gegebenenfalls ihres gemäß Artikel 26 Absatz 3 benannten Vertreters,
e) die Mitgliedstaaten, in denen die Einrichtung Dienste erbringt, und
f) die IP-Adressbereiche der Einrichtung.

Für DNS Dienstanbieter besteht unter NIS2 eine weitere Pflicht und zwar die genauen und vollständige Domänennamen-Registrierungsdaten in einer Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen.

Folgende Daten müssen dabei erfasst werden:
a) Domänenname
b) Datum der Registrierung
c) Name des Domäneninhabers, Emailadresse und Telefonnummer
d) Kontaktmailadresse, Telefonnummer der Anlaufstelle, die den Domänennamen verwaltet, sofern Abweichung von Domänennameninhaber