NIS-2 Anforderungen meistern:
Kapitel 1 – Das lebendige Fundament Ihrer IT-Sicherheitsstrategie

Die NIS2-Richtlinie ist mehr als nur eine weitere Regulierung – sie ist der verbindliche Standard für die Cyber-Resilienz kritischer Sektoren.

Der NIS2 Technical Implementation Guidance der ENISA (Version 1.0, vom Juni 2025) liefert dabei das zentrale Nachschlagewerk für die praktische Umsetzung. Doch wo beginnen? Die Antwort liegt in Kapitel 1: Eine solide IT-Sicherheitsleitlinie sowie klar definierte Rollen und Verantwortlichkeiten.

Wichtig: Kapitel 1 ist kein "Abhak-Punkt", den Sie einmal abarbeiten und dann vergessen. Es ist das lebendige Fundament, das sich kontinuierlich mit Ihren Sicherheitsmaßnahmen weiterentwickelt. Erst durch die praktische Umsetzung der anderen NIS2-Kapitel entstehen neue Erkenntnisse, die wiederum Ihre Leitlinien, KPIs und Ziele präzisieren und erweitern.

Eigene Mindmap Kapitel 1 Policy on Security of Network and Information Systems. Inhalte basierend auf: ENISA Technical Implementation Guidance (Juni 2025 Version 1.0 CC BY 4.0)

1. Leitlinie für die Sicherheit von Netz- und Informationssystemen

1.1 Leitlinie zur Sicherheit von Netz- und Informationssystemen

Eigene Mindmap zu Kapitel 1.1 POLICY ON THE SECURITY OF NETWORK AND INFORMATION SYSTEMS. Inhalte basierend auf: ENISA Technical Implementation Guidance (Juni 2025 Version 1.0 CC BY 4.0)

Die ENISA fordert eine zentrale, vom Management getragene IT-Sicherheitsleitlinie. Diese ist kein statisches Dokument für das Audit, sondern das strategische Herzstück, das sich mit Ihren Sicherheitsmaßnahmen kontinuierlich weiterentwickelt.


1.1.1 Grundlegende Anforderungen nach ENISA


Die IT-Sicherheitsleitlinie für Netz- und Informationssysteme MUSS:


  • (a) Den Ansatz der betroffenen Einrichtungen zum Management der Sicherheit ihrer Netz- und Informationssysteme darlegen
  • (b) Angemessen und ergänzend zur Geschäftsstrategie und den Zielen der betroffenen Einrichtungen sein
  • (c) Netz- und Informationssicherheitsziele festlegen
  • (d) Eine Verpflichtung zur kontinuierlichen Verbesserung der Sicherheit von Netz- und Informationssystemen enthalten
  • (e) Eine Verpflichtung zur Bereitstellung angemessener Ressourcen für die Umsetzung enthalten, einschließlich notwendiger Mitarbeiter, finanzieller Ressourcen, Prozesse, Tools und Technologien
  • (f) An relevante Mitarbeiter und relevante externe Interessengruppen kommuniziert und von diesen anerkannt werden
  • (g) Rollen und Verantwortlichkeiten gemäß Punkt 1.2 festlegen
  • (h) Die zu führende Dokumentation und die Aufbewahrungsdauer der Dokumentation auflisten
  • (i) Die themenspezifischen Richtlinien auflisten
  • (j) Indikatoren und Maßnahmen zur Überwachung der Umsetzung und des aktuellen Status des Reifegrads der Netz- und Informationssicherheit festlegen
  • (k) Das Datum der formalen Genehmigung durch die Leitungsorgane der betroffenen Einrichtungen angeben


1.1.2 Schutz und Management der Leitlinie


Die Leitlinie SOLLTE geschützt werden in Bezug auf:



  • Vertraulichkeit (Need-to-Know Basis)
  • Integrität (Schutz vor unbefugten Änderungen)
  • Verfügbarkeit (jederzeit abrufbar für Berechtigte)
  • Authentizität (Echtheit und Herkunft nachweisbar)


Zusätzlich SOLLTE die Leitlinie ordnungsgemäß verwaltet werden, damit die Informationen vollständig, korrekt, verständlich, eindeutig identifizierbar und abrufbar sind.


Praxis-Realität:

Beginnen Sie mit grundlegenden KPIs, die Sie sofort messen können. Beispiel: "Verfügbarkeit von 99.9% von Assets der Kritikalitätsstufe 4 (very high)" oder "Kritische Patches binnen 72 Stunden implementiert". Erst wenn Sie Monitoring-Tools (Kapitel 3.2) implementieren, entstehen präzisere Metriken wie "Mean Time to Detection unter 4 Stunden" oder "Mean Time to Recovery unter 2 Stunden". Diese neuen KPIs fließen dann zurück in Kapitel 1.


Die Leitlinie MUSS mindestens jährlich überprüft werden – in der Praxis geschieht dies jedoch kontinuierlich durch neue Erkenntnisse aus anderen Kapiteln.

1.2 Rollen, Verantwortlichkeiten und Befugnisse

Eigene Mindmap zu Kapitel 1.2 ROLES, RESPONSIBILITIES AND AUTHORITIES. Inhalte basierend auf: ENISA Technical Implementation Guidance (Juni 2025 Version 1.0 CC BY 4.0)

1.2.1 Festlegung von Verantwortlichkeiten und Befugnissen


Als Teil ihrer Leitlinie für die Sicherheit von Netz- und Informationssystemen gemäß Punkt 1.1 müssen die betroffenen Einrichtungen Verantwortlichkeiten und Befugnisse für die Netz- und Informationssystemsicherheit festlegen, sie Rollen zuweisen, entsprechend den Bedürfnissen der Einrichtungen zuteilen und sie den Leitungsorganen kommunizieren.


1.2.2 Verpflichtung für alle Beteiligten


Die betroffenen Einrichtungen müssen von allem Personal und Dritten verlangen, dass sie die Netz- und Informationssystemsicherheit in Übereinstimmung mit der etablierten Netz- und Informationssicherheitsleitlinie, den themenspezifischen Richtlinien und Verfahren der betroffenen Einrichtungen einhalten.


1.2.3 Direkte Berichterstattung an die Geschäftsführung


Mindestens eine Person muss direkt an die Leitungsorgane über Angelegenheiten der Netz- und Informationssystemsicherheit berichten.


1.2.4 Dedizierte Rollen oder zusätzliche Aufgaben


Je nach Größe der betroffenen Einrichtungen muss die Netz- und Informationssystemsicherheit durch dedizierte Rollen oder als zusätzliche Aufgaben zu bestehenden Rollen abgedeckt werden.


1.2.5 Funktionstrennung


Widersprüchliche Aufgaben und widersprüchliche Verantwortungsbereiche müssen getrennt werden, soweit anwendbar.


1.2.6 Regelmäßige Überprüfung


Rollen, Verantwortlichkeiten und Befugnisse müssen regelmäßig von den Leitungsorganen überprüft und bei Bedarf aktualisiert werden - sowohl planmäßig als auch nach bedeutenden Vorfällen oder wesentlichen Änderungen.


Praxis-Tipp zur Funktionstrennung:

Der kritischste Punkt ist die echte organisatorische Trennung (1.2.5). In vielen Unternehmen konfiguriert der Administrator die Systeme und prüft sich danach selbst. Das ist nach NIS-2 nicht mehr zulässig.


Echte Funktionstrennung erfordert:

  • Administrator: Verwaltet und konfiguriert die Systeme
  • Senior Security Engineer: Überwacht und prüft die Konfigurationen mit fachlicher Kompetenz (nicht nur ein "Auditor" mit Checkliste)
  • Separate Zugriffsrechte: Der Security Engineer hat unabhängigen, read-only Zugriff auf Monitoring-Systeme
  • Fachliche Qualifikation: Die überwachende Person muss tiefe technische Kenntnisse besitzen, um echte Risiken von False Positives unterscheiden zu können


Tools wie Wazuh können dabei unterstützen, wenn die Überwachung durch eine fachlich kompetente Person erfolgt, die organisatorisch unabhängig vom Administrator agiert.

Phase 1: Grundlagen (Monate 1-3) Phase 2: Erkenntnisse (Monate 4-12) Phase 3: Reife (Jahr 2+)
    Basis-Leitlinie mit den ENISA-Mindestanforderungen
  • Monitoring & Logging (Kapitel 3.2):
  • SIEM-Implementierung mit praktischen Messwerten
  • Neue KPIs durch echte Log-Daten (MTTR, False-Positive-Rate)
    Ausgefeilte Metriken durch vollständige Tool-Integration
    Grundlegende Rollen und erste KPIs
  • Schwachstellenmanagement (Kapitel 6.10):
  • Vulnerability-Scans liefern konkrete Schwachstellendaten
  • Patch-Management-KPIs (Zeit bis zur Behebung kritischer Schwachstellen)
  • Koordinierte Schwachstellenoffenlegung - neue Prozesse und Rollen
  • Risikobewertung von Schwachstellen basierend auf praktischen Erfahrungen
    Präzise Ressourcenplanung durch Erfahrungswerte
    Erste Ressourcenschätzungen
  • System-Härtung (Kapitel 6.3):
  • Configuration Management durch praktische Baseline-Erfahrungen
  • Secure Configuration KPIs (Anzahl gehärteter Systeme, Compliance-Rate)
  • Neue Härtungsrichtlinien basierend auf gefundenen Schwachstellen
  • Automatisierte Compliance-Checks durch Tools wie Wazuh SCA
    Dynamische Leitlinien-Updates durch kontinuierliches Learning
  • Penetrationstests (Kapitel 7.1):
  • Regelmäßige Pentests zur Effektivitätsmessung der Sicherheitsmaßnahmen
  • Neue Erkenntnisse über tatsächliche Angriffsvektoren
  • Anpassung der Sicherheitsleitlinien basierend auf Monitoring- und Pentest-Ergebnissen
  • Risk Management (Kapitel 2.1):
  • Präzisierte Risikobewertungen durch praktische Erfahrungen, bessere Aussagekraft bei der Wahrscheinlichkeit (Hinweis: Risiko bestimmt sich durch Auswirkung (einfach zu ermitteln) und Wahrscheinlichkeit (tiefe Kenntnisse erforderlich))
  • Neue Risiko-KPIs basierend auf echten Bedrohungsdaten
  • Anpassung des Risikoappetits durch Managementerfahrungen

Zusammenfassend erläutert

Kapitel 1 ist kein "Einmal-und-fertig"-Dokument, sondern das lebendige Nervensystem Ihrer Sicherheitsorganisation. Es wächst, lernt und entwickelt sich mit jeder Maßnahme, die Sie implementieren. Planen Sie diese Evolution von Anfang an mit ein – das spart Zeit, Ressourcen und Frustration.

Quellenangabe

Dieser Artikel basiert inhaltlich auf dem ENISA Technical Implementation Guidance (Version 1.0, Juni 2025) , veröffentlicht unter Creative Commons CC BY 4.0 Lizenz, ergänzt durch eigene Interpretationen, Übersetzungen und Grafiken.    


© European Union Agency for Cybersecurity (ENISA), 2025 🌐 enisa.europa.eu/publications/nis2-technical-implementation-guidance