michael-hettwer.de

Direct Connect

← Zurück zum Blog
·12 min Lesezeit

NIS2 für Techniker: Was die Richtlinie konkret bedeutet

NIS2SecurityCompliance

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die Nachfolgerin

der NIS-Richtlinie von 2016 und wurde im Januar 2023 in Kraft gesetzt. Unternehmen in

bestimmten Sektoren müssen bis Oktober 2024 entsprechende Maßnahmen implementiert haben.

Konkret betroffen sind unter anderem: Energie, Transport, Gesundheit, digitale Infrastruktur,

öffentliche Verwaltung, Lebensmittel, Abfallwirtschaft – und jede Organisation mit mehr als

50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in diesen Sektoren.

Was verlangt NIS2 technisch konkret?

Viele Artikel bleiben vage. Ich versuche, es konkreter zu machen:

1. Risikomanagement

NIS2 verlangt einen dokumentierten Prozess zur Identifikation und Bewertung von Risiken.

Für IT-Teams bedeutet das:

  • Inventar aller kritischen Systeme
  • Risikoklassifizierung (Was passiert, wenn System X ausfällt?)
  • Dokumentiertes Vorgehen bei Risikoentscheidungen

2. Incident Response

Unternehmen müssen Sicherheitsvorfälle innerhalb von 24 Stunden der Behörde melden,

innerhalb von 72 Stunden einen vorläufigen Bericht vorlegen.

Technisch bedeutet das:

  • Monitoring und Alerting für sicherheitsrelevante Ereignisse
  • Definierter Eskalationspfad
  • Dokumentierter Incident-Response-Plan
  • Log-Aggregation (syslog, SIEM) für die Nachvollziehbarkeit

3. Patch-Management

Sicherheitsrelevante Updates müssen zeitnah eingespielt werden. Kein exaktes Zeitfenster

ist definiert, aber "zeitnah" wird in Audits bewertet. Ein strukturiertes Patch-Management

mit Ansible oder ähnlichen Werkzeugen ist hier die Grundlage.

4. Zugriffskontrolle und Authentifizierung

  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Minimale Rechtevergabe (Principle of Least Privilege)
  • Multi-Faktor-Authentifizierung für kritische Systeme
  • Dokumentierte Benutzer- und Rechteverwaltung

5. Netzwerksicherheit

  • Netzwerk-Segmentierung: Produktivumgebungen getrennt von Entwicklung/Test
  • Firewall-Regeln dokumentiert und regelmäßig überprüft
  • Verschlüsselung sensibler Kommunikation (TLS, VPN)

6. Supply Chain Security

NIS2 geht auch auf Lieferanten ein: Wer hat Zugriff auf Ihre Systeme? Sind Drittanbieter

ausreichend geprüft? Das ist ein oft unterschätzter Punkt.

Praktische Empfehlungen

Beginnen Sie mit einer Gap-Analyse. Bevor Sie in Maßnahmen investieren, verstehen Sie,

wo Sie stehen. Eine strukturierte Analyse gegen einen Benchmark (z.B. CIS Controls) hilft,

den Aufwand realistisch einzuschätzen.

Priorisieren Sie nach Risiko. Nicht alles muss sofort perfekt sein. Kritische Systeme

zuerst härten, dokumentieren, überwachen.

Automatisieren Sie, was automatisierbar ist. Patch-Management, Konfigurationsmanagement,

Compliance-Checks – das lässt sich alles automatisieren und damit wiederholbar und

auditierbar machen.

Dokumentieren Sie Ihren Fortschritt. Für Audits ist nicht nur der Zustand wichtig,

sondern auch der nachweisbare Prozess.

Fazit

NIS2 ist keine rein juristische Angelegenheit – es sind konkrete technische Anforderungen,

die in der Infrastruktur umgesetzt werden müssen. Viele Punkte sind gute Hygiene, die man

ohnehin haben sollte. Der Unterschied ist die Pflicht zur Dokumentation und der definierte

Meldeprozess bei Vorfällen.

Bei Fragen zu NIS2-Compliance in Ihrer Infrastruktur – schreiben Sie mir.

Fragen oder Feedback zu diesem Artikel?

Nachricht schreiben