Das Gesetz zur nationalen Umsetzung von NIS2 befindet sich noch im parlamentarischen Prozess. Für Unternehmen ist das ein gutes Zeitfenster, um geordnet vorzuarbeiten. Wer heute die Grundlagen legt, senkt sofort sein Sicherheitsrisiko und bringt sich gleichzeitig in eine komfortable Ausgangslage für eine spätere ISO-27001-Zertifizierung. Dieser Leitfaden erklärt, was Sie ohne Detailvorgaben bereits umsetzen können, wie daraus echte Wirkung entsteht und welche Unterlagen in einem Audit wirklich tragen.

Auf einen Blick – das Wichtigste in einer Minute

• NIS2 ist Chefsache. Verantwortung liegt ausdrücklich beim Management. Entscheidungen, Überwachung und Wirksamkeitskontrollen gehören nach oben.

• Doppelter Nutzen. Alles, was Sie jetzt für NIS2 aufbauen, unterstützt später eine ISO-27001-Zertifizierung.

• Meldepflichten kennen. Frühwarnung binnen 24 Stunden, vertiefende Meldung nach 72 Stunden, Abschluss innerhalb von 30 Tagen.

• Lieferkette im Blick. Dienstleister und Cloud-Anbieter sind Teil des eigenen Risikos. Verträge, Nachweise und die tatsächliche Verifikation zählen.

• Pragmatisch vorgehen. Lieber wenige, wirksame Maßnahmen mit nachvollziehbarer Evidenz als lange Wunschlisten ohne Umsetzung.

Warum es sich lohnt, jetzt zu starten

Abwarten bringt selten Vorteile. Wenn nationale Details beschlossen werden, verdichten sich Fristen. Die Grundpfeiler von NIS2 sind jedoch so klar, dass Sie heute schon handeln können. Dazu zählen eine verankerte Governance, eine verständliche Risikomethodik, eine Basis an technischen und organisatorischen Kontrollen sowie geübte Abläufe für Erkennung und Meldung von Sicherheitsvorfällen.

Diese Elemente liefern einen doppelten Effekt. Erstens sinkt das Risiko, denn Backups mit echten Wiederherstellungstests, geordnete Updates und klare Zuständigkeiten verhindern Ausfälle oder verkürzen sie. Zweitens entstehen Nachweise, die Sie später in Audits nutzen können. ISO 27001 verlangt kein theoretisches Papiergebirge, sondern gelebte Prozesse mit Ergebnissen. Genau das lässt sich jetzt schaffen.

Schnellcheck – wo stehen Sie heute?

Beantworten Sie die folgenden Fragen ehrlich. Wo die Antwort „Nein“ lautet, liegt hier Ihr nächster Schritt.

• Gibt es einen schriftlichen Beschluss der Geschäftsführung zu Zielen, Zuständigkeiten und Budgetrahmen für Informationssicherheit?

• Führen Sie ein Verzeichnis kritischer Leistungen und Systeme mit Verantwortlichen und wichtigen Datenflüssen?

• Haben Sie ein Risikoregister mit priorisierten Maßnahmen, Fristen und klaren Verantwortlichen?

• Können Sie erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden einstufen, eskalieren und bei Bedarf melden?

• Fordern und prüfen Sie Sicherheitsnachweise von wichtigen Dienstleistern und Cloud-Anbietern?

• Gibt es ein Evidenzregister, in dem Tickets, Berichte, Protokolle und Log-Auszüge geordnet abgelegt sind?

Merksatz für Führungskräfte: Was nicht belegt ist, gilt im Audit als nicht passiert. Evidenz schlägt Behauptung.

Der pragmatische 90-Tage-Plan

Tage 1–30: Governance und Scope

Starten Sie mit einem sichtbaren Management-Commitment. Ein kurzer Beschluss mit Zielen, Rollen und Grundsätzen setzt den Rahmen. Benennen Sie die Steuerungsrollen: Geschäftsführung, Verantwortliche für Informationssicherheit, IT-Leitung, bei Bedarf OT-Leitung, Einkauf und Recht. Legen Sie eine RACI-Übersicht an, damit die Zuständigkeiten klar sind.

Schneiden Sie anschließend den Scope. Welche Dienstleistungen, Standorte und Produktionsbereiche sind kritisch. Welche Abhängigkeiten bestehen zu Dritten. Legen Sie ein Verzeichnis der Assets und Services an. Wichtig sind Verantwortliche, Kritikalität, Schnittstellen und die wichtigsten Datenflüsse.

Definieren Sie eine Risikomethodik, die in den Alltag passt. Eine einfache Skala aus Eintrittswahrscheinlichkeit, Auswirkung und Exponierung reicht. Legen Sie Schwellenwerte fest, ab wann gehandelt wird. So entstehen Entscheidungen, die nachvollziehbar sind.

Zertifizierungsnutzen: Sie schaffen den ISMS-Kontext, dokumentierte Informationen, Rollen und erste Nachweise. Diese Unterlagen bilden später das Rückgrat eines Audits.

Tage 31–60: Mindestkontrollen und Meldefähigkeit

Stellen Sie Kontrollen auf, die sofort wirken:

• Richten Sie Sicherheitskopien nach dem 3-2-1-Prinzip ein und testen Sie die Wiederherstellung realistisch.
• Etablieren Sie ein geordnetes Schwachstellen- und Update-Management mit fester Taktung und Priorisierung.
• Führen Sie Mehrfaktor-Authentifizierung für Administratorzugriffe ein.
• Dokumentieren Sie eine Notfall-Freigabe für den Ausnahmefall, oft als „Break-glass“ bezeichnet.

Legen Sie eine Logging-Grundlage fest. Definieren Sie, welche Ereignisse immer aufgezeichnet werden, zum Beispiel An- und Abmeldungen, Änderungen von Rechten, sicherheitsrelevante Konfigurationsänderungen, Malware-Funde und ausgewählte Ereignisse aus der Produktion. In industriellen Umgebungen regeln Sie Fernwartung über einen Jump-Host mit Sitzungsaufzeichnung und einer Not-Abschaltung für Remote-Verbindungen.

Parallel entsteht Ihr Ablauf für Sicherheitsvorfälle. Er enthält klare Rollen, Schweregrade, Eskalationswege, Kontaktlisten und Textbausteine. Wichtig sind die Zeitachsen für Meldungen: Frühwarnung binnen 24 Stunden, vertiefende Meldung nach 72 Stunden und ein Abschlussbericht innerhalb von 30 Tagen. Diese Zeiten gehören direkt in das Ablaufdiagramm.

Zertifizierungsnutzen: Sie decken zentrale Inhalte von Annex-A der ISO 27001 ab. Zugangskontrolle, Betriebsprozesse, Schwachstellen-Management, Backup und Wiederanlauf, Protokollierung und Überwachung sowie Lieferantenbeziehungen. Die geübte Reaktion auf Vorfälle zahlt auf die Wirksamkeitsprüfung ein.

Tage 61–90: Evidenz und Wirksamkeit

Führen Sie ein Evidenzregister, in dem alle Nachweise zentral zusammenlaufen. Tickets mit Zeitstempel und Status. Berichte über Wiederherstellungstests. Auszüge aus Protokollen mit den definierten Ereignissen. Protokolle von Beschlüssen. Halten Sie fest, wer die Evidenz liefert, wo sie liegt und wie sie aufbewahrt wird.

Starten Sie ein überschaubares Set an Kennzahlen (KPIs). Geeignet sind die Erfüllung der Update-SLOs, die mittlere Zeit bis zur Entdeckung eines Vorfalls und bis zur Behebung, die Erfolgsquote von Wiederherstellungen, der Status offener Hochrisiko-Themen und der Reifegrad wichtiger Dienstleister. Berichten Sie diese Kennzahlen monatlich an die Geschäftsführung.

Planen Sie eine Tabletop-Übung von 60 bis 90 Minuten. Dabei geht es nicht um Technikshows, sondern um das Zusammenspiel von Rollen, Entscheidungen und Kommunikation. Die wichtigsten Ergebnisse sind Verbesserungsmaßnahmen mit Verantwortlichen und Terminen. Genau das will die ISO 27001 sehen: Wirksamkeitsprüfung und kontinuierliche Verbesserung.

NIS2 und ISO 27001 – so greift es zusammen

NIS2 macht deutlich, dass Sicherheit eine Führungsaufgabe ist. Geschäftsführungen genehmigen Maßnahmen, überwachen die Umsetzung und lassen sich Ergebnisse berichten. ISO 27001 denkt genauso, jedoch im Rahmen eines Managementsystems mit Zyklus aus Planen, Umsetzen, Prüfen und Verbessern. Diese Logik hilft, von der Einzelmaßnahme zum steuerbaren Programm zu kommen.

Das Risikomanagement ist die Brücke in den Alltag. Identifizieren Sie Risiken, bewerten Sie sie und legen Sie Gegenmaßnahmen fest. Wichtiger als exakte Zahlen ist eine klare Priorisierung und die Umsetzung der wichtigsten Punkte.

Mindestkontrollen bilden die Basis. Ohne funktionsfähige Wiederherstellungen ist jedes Backup wertlos. Ohne geordnete Updates bleiben Lücken offen. Ohne sauberes Berechtigungs- und Protokollierungskonzept fehlt die Grundlage, um Vorfälle zu erkennen und aufzuklären. In industriellen Umgebungen sind kompensierende Maßnahmen oft unverzichtbar, wenn Updates nicht sofort möglich sind. Dazu zählen Segmentierung, strikte Fernwartungswege und harte Trennungen zwischen Büro- und Produktionsnetz.

Das Meldewesen braucht keine großen Reden, sondern geübte Praxis. Die Fristen sind machbar, wenn Zuständigkeiten und Textbausteine feststehen. Eine jährliche, kurze Übung reicht oft, um Abläufe zu festigen und Unsicherheiten abzubauen.

Die Lieferkette ist einer der größten Hebel. Ein Fragebogen allein genügt nicht. Legen Sie pro Kritikalitätsstufe Mindestanforderungen fest, etwa Reaktionszeiten bei kritischen Schwachstellen, Nachweise über Updates, Export von Protokolldaten oder Prüfberichte. Verankern Sie diese Anforderungen in Verträgen und prüfen Sie regelmäßig, ob sie eingehalten werden.

Artefakte, die Audits wirklich tragen

Ziel ist kein Papierfriedhof, sondern ein schlankes, belastbares Set an Unterlagen.

• Informationssicherheitsleitlinie mit Unterschrift der Geschäftsführung.

• Asset- und Service-Verzeichnis mit Verantwortlichen, Kritikalität, Schnittstellen.

• Risikoregister mit Maßnahmenplan, Priorität, Fristen und Zuständigkeiten.

• Ablauf für Sicherheitsvorfälle mit Zeitachsen, Rollen und Textbausteinen.

• Evidenzregister mit Tickets, Berichten, Protokollen, Log-Auszügen.

• Awareness-Plan mit kurz gehaltenen Trainings für Schlüsselfunktionen.

Diese Dokumente sind nicht nur für NIS2 sinnvoll. Sie sind die Grundpfeiler eines wirksamen Managementsystems und werden in Audits regelmäßig abgefragt.

Häufige Stolpersteine – und wie Sie diese vermeiden

Evidenzlücken. Ohne belastbare Nachweise bleibt Wirkung Behauptung. Legen Sie von Anfang an fest, wo Evidenz entsteht und wie sie abgelegt wird.

Unklarer Scope. Wenn alles betroffen ist, fühlt sich niemand verantwortlich. Schneiden Sie den Umfang klar und lassen Sie ihn vom Management freigeben.

Lieferkette unterschätzt. Nur Fragebögen einsammeln reicht nicht. Definieren Sie Mindestanforderungen, verankern Sie sie vertragsseitig und prüfen Sie stichprobenartig nach.

OT-Realität ignoriert. Wo Updates nicht möglich sind, planen Sie Kompensationen wie Segmentierung oder streng geregelte Fernwartung.

Keine Übungen. Meldefähigkeit und Zusammenarbeit entstehen durch Praxis. Kurze, wiederkehrende Proben sind der schnellste Reife-Booster.

Meldepflichten kurz erklärt

Für erhebliche Sicherheitsvorfälle sieht NIS2 eine gestufte Meldung vor. Zuerst eine Frühwarnung binnen 24 Stunden. Dann eine vertiefende Meldung nach 72 Stunden, in der Lagebild und erste Bewertungen präzisiert werden. Abschließend ein Bericht innerhalb von 30 Tagen, der Ursachen, getroffene Maßnahmen und Lehren beschreibt. Diese Zeitachsen haben sich bewährt, wenn sie im Alltag trainiert werden. Wichtig ist, dass Zuständigkeiten, Kommunikationswege und Textbausteine vorliegen und die Erreichbarkeit gesichert ist. Dann lässt sich unter Druck handeln, ohne Zeit zu verlieren.

FAQ – kurze Antworten auf häufige Fragen

Fazit – heute starten, morgen profitieren

NIS2 ist kein Grund zur Nervosität, sondern zur Struktur. Wer in drei Monaten Governance, Risikosteuerung, Mindestkontrollen, Meldefähigkeit und belastbare Evidenzen aufbaut, erzielt doppelte Wirkung. Risiken sinken spürbar und der Weg zu ISO 27001 wird deutlich kürzer. Wichtig ist die Haltung. Entscheidungen nach oben holen, Zuständigkeiten klar benennen, Maßnahmen realistisch planen und Ergebnisse belegen. So entsteht ein Programm, das in der Praxis trägt und in Audits überzeugt.

Hinweis: Dieser Beitrag bietet Orientierung und praktische Vorgehensweisen. Er stellt keine Rechtsberatung dar. Bitte prüfen Sie sektorspezifische Vorgaben und die endgültige nationale Ausgestaltung.

Weiterführende Referenzen

1. Richtlinie (EU) 2022/2555 (NIS2), insbesondere die Artikel zu Governance und Meldungen.

2. Bundesamt für Sicherheit in der Informationstechnik (BSI), Informationen zu NIS2, Meldepflichten und betroffenen Unternehmen.

3. Informationen der Bundesregierung und des Bundesministeriums des Innern zur nationalen Umsetzung von NIS2.

4. ISO/IEC 27001:2022, Informationssicherheits-Managementsysteme – Anforderungen.

5. BSI-Lagebericht IT-Sicherheit in Deutschland 2024, Einordnung der Bedrohungslage und Relevanz für Unternehmen.