News und Infos zur Praxis Datenschutz und IT-Sicherheit

NIS-2 in der Praxis: Die EU liefert die „Bauanleitung“ – so setzt Du sie um

Mit der Durchführungsverordnung zur NIS-2-Richtlinie (EU) 2022/2555 hat die EU im Oktober 2024 ein lange erwartetes Detail geliefert: Einen konkreten Annex mit technischen und methodischen Anforderungen.

Das Dokument ist hier abrufbar: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=PI_COM:C(2024)7151

Und das Beste: Dieser Annex ist nicht nur Regulierung – er ist faktisch eine Schritt-für-Schritt-Anleitung für Informationssicherheit.

Wir zeigen Dir hier, wie Du daraus eine praxisnahe Umsetzungsstrategie machst.

Der wichtigste Gedanke vorweg

Der Annex ist kein „ISO 27001 Ersatz“, sondern eher eine Mindestanforderung mit operativem Fokus.

Er deckt nahezu alle klassischen ISMS-Bausteine ab:

  • Governance
  • Risikomanagement
  • Incident Handling
  • Business Continuity
  • Lieferkette
  • Technikmaßnahmen

Das bedeutet: Wenn du den Annex sauber umsetzt, bist du fachlich sehr nah an ISO 27001.

Schritt 1: Sicherheitskonzept festlegen (Top-Down!)

Der Annex beginnt nicht technisch, sondern strategisch:

  • Sicherheitsziele definieren
  • Bezug zur Unternehmensstrategie herstellen
  • Verantwortlichkeiten festlegen
  • Ressourcen sicherstellen
  • regelmäßige Überprüfung durch die Geschäftsleitung

Wichtig: Die Geschäftsleitung ist ausdrücklich verantwortlich.

Das ist kein IT-Thema mehr.

Praxis-Tipp:

  • Erstelle ein kompaktes „ISMS-Leitdokument“
  • max. 5–10 Seiten, verständlich für die Geschäftsführung

Schritt 2: Risikomanagement – der Kern von NIS-2

Ohne Risikoanalyse geht nichts.

Du brauchst:

  • systematische Risikoidentifikation
  • Bewertung (Wahrscheinlichkeit + Auswirkung)
  • Risikobehandlung (Maßnahmen)
  • Dokumentation + Management-Freigabe

Wichtig: Auch Restrisiken müssen bewusst akzeptiert werden.

Praxis-Tipp:

  • Excel reicht am Anfang völlig
  • Fokus: „Was kann unseren Betrieb stoppen?“

Schritt 3: Sicherheitsvorfälle managen (Incident Response)

Hier wird der Annex sehr konkret:

Du brauchst:

  • klare Meldewege
  • Klassifizierung von Vorfällen
  • Reaktionspläne
  • Dokumentation
  • Lessons Learned

Zusätzlich:

  • Monitoring & Logging verpflichtend
  • automatische Alarmierung empfohlen

Praxis-Tipp:

  • Definiere 3 Eskalationsstufen:
    • gering
    • kritisch
    • meldepflichtig

Schritt 4: Business Continuity & Backups

Hier geht es ums Überleben im Ernstfall:

  • Notfallplan (Disaster Recovery)
  • Wiederanlaufzeiten definieren
  • Backups (inkl. Offline!)
  • regelmäßige Tests

Wichtig: Backups müssen getrennt und geschützt gespeichert werden.

Praxis-Tipp:

  • Teste deine Backups mindestens 1× jährlich
  • „Restore-Test“ ist Pflicht, nicht optional

Schritt 5: Lieferkette absichern

Ein oft unterschätztes Thema:

Du musst:

  • Anbieter bewerten
  • Sicherheitsanforderungen definieren
  • vertraglich absichern
  • Vorfälle melden lassen

Das ist de facto: NIS-2 zwingt dich zu Vendor Risk Management.

Praxis-Tipp:

  • Ergänze deine Verträge um:
    • Sicherheitsanforderungen
    • Audit-Rechte
    • Meldepflichten

Schritt 6: Technik sauber aufsetzen

Der Annex ist technisch erstaunlich konkret:

Du brauchst u. a.:

  • Patch-Management
  • sichere Konfigurationen
  • Netzsegmentierung
  • Malware-Schutz
  • Schwachstellenmanagement

Besonders wichtig:

  • „Zero Trust“ wird implizit gefordert
  • unnötige Dienste deaktivieren

Praxis-Tipp:

  • Beginne mit:
    • Patch-Prozess
    • Admin-Accounts absichern
    • Netzwerk trennen

Schritt 7: Mitarbeiter mitnehmen (der größte Risikofaktor)

Ohne Awareness funktioniert nichts:

  • Schulungen regelmäßig
  • Cyberhygiene vermitteln
  • klare Regeln für Verhalten

Wichtig: Auch die Geschäftsleitung muss geschult werden!

Praxis-Tipp:

  • 1x jährlich Pflichtschulung
  • kurze, praxisnahe Inhalte (kein Theorie-Overload)

Schritt 8: Zugriffskontrolle & Identitäten

Ein Klassiker – aber oft schlecht umgesetzt:

  • „Need-to-know“-Prinzip
  • Rollenbasierte Rechte
  • MFA für kritische Systeme
  • Logging von Zugriffen

Praxis-Tipp:

  • Admin-Zugänge strikt trennen
  • keine Shared Accounts

Schritt 9: Assets kennen (sonst keine Sicherheit)

Du musst wissen:

  • welche Systeme existieren
  • welche Daten kritisch sind
  • wie sie klassifiziert sind

Ohne Asset-Inventar: kein Risikomanagement möglich.

Praxis-Tipp:

  • einfache Liste reicht:
    • System
    • Verantwortlicher
    • Kritikalität

Schritt 10: Physische Sicherheit nicht vergessen

Auch das gehört dazu:

  • Zutrittskontrollen
  • Schutz vor Stromausfall
  • Umweltbedingungen (Temperatur etc.)

Gerade bei KMU oft vernachlässigt.

Fazit: Der Annex ist Deine Umsetzungs-Roadmap

Der EU-Annex ist mehr als Regulierung – er ist eine vollständige Blaupause für ein funktionierendes Sicherheitskonzept.

Wenn du strukturiert vorgehst:

  1. Strategie festlegen
  2. Risiken bewerten
  3. Maßnahmen umsetzen
  4. regelmäßig überprüfen

… bist du nicht nur NIS-2-konform, sondern auch:

  • deutlich resilienter
    auditfähig
    nahe an ISO 27001

Bonus – wie Du das pragmatisch angehst

Wenn Du nicht bei null starten willst:

  • Beginne mit Risikoanalyse
  • baue darauf dein Sicherheitskonzept auf
  • priorisiere Maßnahmen nach Risiko

80/20-Regel gilt auch hier – mit 20 % Aufwand erreichst Du voraussichtlich schon 80 % des erforderlichen Sicherheitsniveaus.

Die „kritischen 20 %“

  1. Risikomanagement etablieren
  2. Patch-Management
  3. Backup + Restore testen
  4. Admin-Zugänge absichern (MFA!)
  5. Logging + Monitoring
  6. Incident-Prozess definieren
  7. Mitarbeiterschulung

Das sind die Dinge, die der Annex ebenfalls fordert, aber:

  • sehr granular sind
  • oft erst später sauber umgesetzt werden

z. B.:

  • vollständiges Key-Management (Kryptografie)
  • detaillierte Netzsegmentierung
  • vollständige Lieferkettenbewertung
  • physische Redundanzen auf hohem Niveau

Viel Erfolg bei der Umsetzung!

EU NIS-2 Durchführungsverordnung – Document C(2024)7151