NIS-2 Blogreihe – Teil 7: Technische und organisatorische Maßnahmen umsetzen: Ein Leitfaden für Geschäftsführer

Willkommen zum siebten Teil unserer Blogreihe über die NIS-2-Richtlinie! Nachdem wir bereits die Grundlagen, den zeitlichen Ablauf und die politischen Entwicklungen, die notwendigen Nachweise für Compliance, die Registrierungs- und Meldepflichten, Aufsicht und Sanktionen und das Risikomanagement behandelt haben, widmen wir uns heute den konkreten technischen und organisatorischen Maßnahmen, die für eine erfolgreiche NIS-2-Umsetzung entscheidend sind.

NIS-2: Mehr Sicherheit, weniger Risiko

Die NIS-2-Richtlinie bietet deinem Unternehmen die Chance, die Cyberabwehr auf ein neues Level zu heben. Im letzten Blogpost haben wir bereits die Grundlagen des Risikomanagements erläutert. Hier nun ein paar konkrete Maßnahmen, die du für dein Unternehmen umsetzen kannst. Besonders effektiv ist dabei ein zweigleisiger Ansatz: Technische und organisatorische Maßnahmen ergänzen sich, um ein ganzheitliches Sicherheitskonzept zu schaffen. In diesem Beitrag geben wir dir einen Überblick über bewährte Maßnahmen.

Technische Maßnahmen bilden das Rückgrat der IT-Sicherheit. Sie basieren auf Systemkonfigurationen, Softwarelösungen und Hardwarekomponenten, die Risiken minimieren und Angriffsflächen reduzieren.

1. Netzwerksicherheit

Durch den Einsatz von Firewalls und Netzsegmentierung wird das interne Netzwerk in Sicherheitszonen unterteilt. Ein kompromittierter Rechner im Gäste-WLAN hat so keinen Zugriff auf interne Datenbanken.

2. Zugriffskontrolle und Authentifizierung

Mitarbeiter müssen sich mit Zwei-Faktor-Authentifizierung (z. B. Passwort + Authenticator-App) anmelden. Rollenbasierte Zugriffsrechte verhindern, dass jeder auf alle Daten zugreifen kann.

3. Verschlüsselung sensibler Daten

Kunden- und Projektdaten werden auf dem Server verschlüsselt gespeichert und bei Übertragung über TLS geschützt. Selbst bei einem Datenleck bleiben die Inhalte unlesbar.

4. Updates & Schwachstellenmanagement

Ein automatisiertes Patch-Management sorgt dafür, dass sicherheitsrelevante Updates innerhalb von 24 Stunden nach Verfügbarkeit eingespielt werden – besonders wichtig bei kritischen Schwachstellen wie Log4Shell.

5. Sicherheitsüberwachung

Ein SIEM-System sammelt und analysiert Protokolle aller Systeme zentral. Auffällige Aktivitäten – etwa ein Login-Versuch aus einem anderen Land – werden sofort gemeldet.

6. Backup und Wiederherstellung

Tägliche verschlüsselte Backups werden automatisiert in eine vom Hauptsystem getrennte Cloud gespeichert. Monatlich findet ein Restore-Test statt, um die Wiederherstellung im Notfall zu gewährleisten.

Technik allein reicht nicht – die besten Systeme nützen wenig, wenn Menschen ungeschult sind oder es an klaren Abläufen fehlt. Organisatorische Maßnahmen sorgen dafür, dass Sicherheitsprozesse im Unternehmen gelebt werden.

1. Einführung eines Informationssicherheitsmanagements (ISMS)

Das Unternehmen führt ein ISMS nach ISO 27001 ein, um Sicherheitsrichtlinien systematisch zu dokumentieren, Risiken zu analysieren und Maßnahmen regelmäßig zu evaluieren. Dies kann auch für kleine Unternehmen in abgespeckter Form gut umgesetzt werden, als Mini-ISMS.

2. Mitarbeiterschulungen und Awareness

Neue Mitarbeitende absolvieren verpflichtende IT-Sicherheitstrainings. Quartalsweise finden Awareness-Kampagnen statt, z. B. zum Erkennen von Phishing-E-Mails.

3. Notfallmanagement und Krisenplanung

Für den Fall eines Cyberangriffs existiert ein Notfallplan mit definierten Rollen (IT, Kommunikation, Management), Wiederherstellungsprozessen und externem Ansprechpartner für PR.

4. IT- und Datenschutzrichtlinien

Eine Passwort-Richtlinie gibt Mindeststandards vor (z. B. 12 Zeichen, keine Wiederverwendung). Eine BYOD-Richtlinie regelt die Nutzung privater Geräte für Unternehmenszwecke.

5. Lieferanten- und Dienstleisterkontrolle

Jeder neue Cloud-Dienstleister wird vor Vertragsabschluss auf Sicherheitszertifikate geprüft (z. B. ISO 27001, SOC 2). Zudem wird ein Vertrag zur Auftragsverarbeitung gemäß DSGVO geschlossen.

6. Physische Sicherheitsmaßnahmen

Serverräume sind nur mit personalisierten Zugangskarten und biometrischen Daten betretbar. Zutritte werden protokolliert und regelmäßig überprüft.

Standards wie ISO/IEC 27001 oder BSI IT-Grundschutz decken bereits viele der von NIS-2 geforderten Sicherheitsmaßnahmen ab. Die Implementierung eines ISMS auf Basis dieser Standards ermöglicht eine strukturierte, einfache und schnelle Umsetzung der Anforderungen. Weitergehende Standards wie die ISO/IEC 27002 stellen eine sehr gute Grundlage dar, die neuen Anforderungen aus der NIS-2 umzusetzen.

Beispiele für die Nutzung von Standards:

• ISO/IEC 27001: Implementiere ein ISMS auf Basis von ISO/IEC 27001, um die Informationssicherheit in deinem Unternehmen zu verbessern.
• BSI IT-Grundschutz: Nutze den BSI IT-Grundschutz, um die IT-Sicherheit in deinem Unternehmen zu erhöhen und die Anforderungen der NIS-2 zu erfüllen.

Relevante Normen und Zertifizierungen

• ISO/IEC 27001: Internationaler Standard für ISMS (zertifizierungsfähig).
• ISO/IEC 27002: Internationaler Standard – aufbauend auf der ISO/IEC 27001 – mit Best Practices für Sicherheitsmaßnahmen und -Richtlinien – anwendbar für die Maßnahmen aus Art. 21 der NIS-2 Richtlinie.
• ISO/IEC 27005: Internationaler Standard für Risikomanagement & Integration in die ISO/IEC 27001 – anwendbar auf das Risikomanagement der NIS-2 Richtlinie.
• BSI IT-Grundschutz: Deutscher Standard für Informationssicherheit mit ISMS und praxisnahen Empfehlungen (Risikomanagement, ISMS und Maßnahmen NIS).
• NIST Cybersecurity Framework (CSF): Rahmenwerk des National Institute of Standards and Technology zur Verbesserung der Cybersicherheit.

Zur Umsetzung dieser Standards kann es hilfreich sein, sich fachliche Expertise dazu zu holen. Gerne unterstützen wir euch dabei!

In Zeiten zunehmender digitaler Bedrohungen ist Cybersicherheit kein Nice-to-have mehr – sie ist ein Muss. Unternehmen jeder Größe müssen geeignete Maßnahmen ergreifen, um sich vor Datenverlust, Angriffen und wirtschaftlichem Schaden zu schützen.

Unser Team von Cybersicherheitsexperten unterstützt Dich gerne bei der Umsetzung der NIS-2-Anforderungen im Bereich Risikomanagement. Wir bieten:

• Durchführung einer umfassenden Risikoanalyse
• Entwicklung einer individuellen Risikomanagementstrategie
• Implementierung von Sicherheitslösungen
• Schulungen für deine Mitarbeiter
• Unterstützung bei der Vorbereitung auf Audits

Kontaktiere uns für ein unverbindliches Beratungsgespräch!

Haftungsausschluss:

Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.