Cybersicherheit ist Pflicht — nicht Kür
Wer unter NIS2 fällt, muss nachweislich konkrete technische und organisatorische Maßnahmen zur Cybersicherheit einführen. §30 BSIG listet zehn Maßnahmenbereiche, die alle betroffenen Einrichtungen verpflichtend umsetzen müssen.
Kein Unternehmen muss alle Maßnahmen von null aufbauen. Viele haben bereits Teile davon im Einsatz — was meist fehlt, ist die Dokumentation und ein strukturierter Prozess. Genau das prüfen die Behörden.
1. Risikoanalyse und Sicherheitskonzepte
Was das bedeutet: Sie analysieren systematisch, welche Risiken für Ihre IT-Systeme und kritischen Geschäftsprozesse bestehen, und halten das Ergebnis in einem Risikoregister fest.
Typische Dokumente: Risikoregister, ISMS-Leitlinie, Informationssicherheitskonzept
Häufiger Fehler: Einmalige Risikoanalyse, die nie aktualisiert wird. NIS2 erwartet einen kontinuierlichen Prozess — mindestens jährlich oder nach wesentlichen Änderungen.
2. Bewältigung von Sicherheitsvorfällen
Was das bedeutet: Klare Verfahren für den Ernstfall: Wer wird bei einem Cyberangriff wann informiert? Wer entscheidet was? Welche Sofortmaßnahmen greifen?
Typische Dokumente: Incident-Response-Plan, Kommunikationsmatrix, Eskalationsprotokoll, BSI-Meldeformular
Häufiger Fehler: Der Plan existiert auf Papier, wird aber nie geübt. NIS2 erwartet regelmäßige Übungen.
3. Business Continuity und Krisenmanagement
Was das bedeutet: Was passiert, wenn kritische IT-Systeme ausfallen? Dokumentierte Notfallpläne, funktionierende Backup-Konzepte und getestete Wiederherstellungsverfahren sind Pflicht.
Typische Dokumente: Business-Continuity-Plan (BCP), Backup-Konzept, Disaster-Recovery-Plan (DRP)
Häufiger Fehler: Backups werden erstellt, aber nie auf Wiederherstellbarkeit geprüft.
4. Sicherheit der Lieferkette
Was das bedeutet: Lieferanten, Cloud-Anbieter und IT-Dienstleister können ein Einfallstor für Angreifer sein. Sicherheitsanforderungen müssen vertraglich festgeschrieben und regelmäßig überprüft werden.
Typische Dokumente: Lieferantenbewertungsmatrix, Mindestsicherheitsanforderungen in Verträgen
Häufiger Fehler: Eine Zertifizierung des Anbieters ersetzt nicht die eigene Sorgfaltspflicht bei Auswahl und Kontrolle.
5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
Was das bedeutet: Security by Design beim Kauf, der Entwicklung oder Wartung von IT-Systemen — einschließlich eines strukturierten Patch- und Update-Managements.
Typische Dokumente: Patch-Management-Richtlinie, Sicherheitsanforderungen für Softwarebeschaffung
Häufiger Fehler: Updates werden ohne definierte Fristen eingespielt. NIS2 erwartet risikobasierte, zeitgebundene Reaktionen auf bekannte Schwachstellen.
6. Wirksamkeitsbewertung der Sicherheitsmaßnahmen
Was das bedeutet: Regelmäßige Prüfung, ob Sicherheitsmaßnahmen tatsächlich wirksam sind — durch Audits, technische Tests und Kennzahlen.
Typische Dokumente: Auditplan, KPI-Dashboard Informationssicherheit, Penetrationstest-Berichte
Häufiger Fehler: Es wird implementiert, aber nicht gemessen. Ohne Wirksamkeitsprüfung ist ein Nachweis gegenüber Behörden kaum möglich.
7. Grundlegende Cyberhygiene und Schulungen
Was das bedeutet: Alle Mitarbeiter müssen grundlegende Kompetenzen in Cybersicherheit haben — Phishing, sichere Passwortverwaltung, Umgang mit verdächtigen Anhängen.
Typische Dokumente: Schulungsplan, Awareness-Kampagnen, Nachweise absolvierter Trainings
Häufiger Fehler: Einmalige Schulung bei Einstellung — danach nichts mehr. Phishing-Methoden entwickeln sich weiter, Schulungsinhalte müssen aktuell bleiben.
8. Kryptografie und Verschlüsselung
Was das bedeutet: Sensible Daten müssen verschlüsselt gespeichert und übertragen werden. Eine Richtlinie legt fest, welche Daten wie verschlüsselt werden müssen.
Typische Dokumente: Kryptografierichtlinie, Verschlüsselungskonzept, Schlüsselmanagement-Verfahren
Häufiger Fehler: Verschlüsselung als rein technisches Thema ohne Dokumentation — ohne Richtlinie fehlt der Nachweis.
9. Zugriffskontrolle, Personalmanagement und Asset-Management
Was das bedeutet: Asset-Inventar, Berechtigungskonzept nach Least-Privilege-Prinzip, strukturierte Prozesse beim Ein- und Austritt von Mitarbeitern.
Typische Dokumente: Asset-Inventar, Berechtigungskonzept, Onboarding- und Offboarding-Checkliste
Häufiger Fehler: Ausgeschiedene Mitarbeiter haben noch aktive Zugänge. Zu breite Berechtigungen nach dem Motto "hat schon immer funktioniert".
10. Multi-Faktor-Authentifizierung und sichere Kommunikation
Was das bedeutet: Kritische Systeme, Remote-Zugänge und privilegierte Konten müssen durch MFA gesichert sein. Für interne Kommunikation über Vorfälle benötigen Sie sichere, unabhängige Kanäle.
Typische Dokumente: MFA-Richtlinie mit Geltungsbereich, Kommunikationsplan für Notfälle
Häufiger Fehler: MFA nur für E-Mail — nicht für VPN, Admin-Zugänge oder Cloud-Dienste. Vollständige Abdeckung aller privilegierten Zugänge ist Pflicht.
Was kostet die Nichteinhaltung?
Wer die Maßnahmen nicht nachweislich umsetzt, riskiert Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — und persönliche Haftung der Geschäftsführung nach §38 BSIG.