Kontrollen und Schutz (oft spricht man auch generell von Controls – kurz CTRL) bilden die operative Umsetzung der im Risikomanagement getroffenen Entscheidungen. NIS2 verlangt an dieser Stelle keine maximale technische Absicherung, sondern angemessene, wirksame und überprüfbare Maßnahmen, die identifizierte Risiken gezielt adressieren. Ziel ist es, die Sicherheit von Netz- und Informationssystemen systematisch zu erhöhen und gleichzeitig die Verhältnismäßigkeit zu wahren. Wer NIS2 umsetzen will, muss Kontrollen und Schutzmaßnahmen als integralen Bestandteil der Unternehmenssteuerung verstehen, nicht als isoliertes IT-Projekt.
Weitere Artikel der Reihe „NIS2 umsetzen“
Wenn Sie alle Inhalte und Grafiken dieser „NIS2 umsetzen“-Reihe zusammenführen, erhalten Sie am Ende einen Projektplan, der Ihnen dabei hilft, NIS2-konform zu werden.
- NIS2 umsetzen: Ganz konkret – Governance und Kommunikation
- NIS2 umsetzen: Ganz konkret – Risikomanagement
- NIS2 umsetzen: Ganz konkret – Incident und Meldung
- NIS2 umsetzen: Ganz konkret – Business Continuity Management
- NIS2 umsetzen: Ganz konkret – Compliance und Überwachung (Coming soon)
- NIS2 umsetzen: Ganz konkret – Schulung und Awareness (Coming soon)
Kontrollen und Schutz im Kontext der NIS2
NIS2 verknüpft Kontrollen und Schutzmaßnahmen unmittelbar mit dem Risikomanagement. Maßnahmen dürfen nicht losgelöst oder pauschal eingeführt werden, sondern müssen aus identifizierten Risiken abgeleitet sein. Damit wird die Auswahl von Kontrollen zu einer begründbaren Managemententscheidung. Organisationen müssen zeigen können, warum bestimmte Maßnahmen umgesetzt wurden und andere nicht. Das volle Gesetz finden Sie auf der offiziellen Seite des BSI.
Für die Praxis bedeutet das: Kontrollen und Schutzmaßnahmen sind nicht primär eine Frage technischer Möglichkeiten, sondern der Angemessenheit. Entscheidend ist, dass die Maßnahmen geeignet sind, die identifizierten Risiken zu reduzieren, und dass ihre Wirksamkeit überprüfbar ist. Diese Logik ist zentral für eine auditfeste Umsetzung.
Technische und organisatorische Kontrollen gezielt umsetzen
Ein zentraler Baustein der NIS2-Anforderungen ist die Umsetzung technischer und organisatorischer Kontrollen. Diese Kontrollen sollen identifizierte Risiken reduzieren und die Sicherheit der Systeme erhöhen. Dabei ist nicht entscheidend, ob eine Maßnahme technisch oder organisatorisch ist, sondern ob sie wirksam ist.
Technische Kontrollen können beispielsweise Systemhärtung, Protokollierung oder Segmentierung umfassen. Organisatorische Kontrollen betreffen unter anderem Prozesse, Zuständigkeiten oder Richtlinien. Für eine auditfeste Umsetzung ist wichtig, dass beide Arten von Kontrollen gemeinsam betrachtet und dokumentiert werden.
In mittelständischen Organisationen liegt eine realistische Umsetzungsdauer für diesen Schritt bei etwa 42 Werktagen. Dieser Zeitraum berücksichtigt Abstimmungen zwischen Fachbereichen, IT und Geschäftsführung sowie die Dokumentation der Maßnahmen.
Planen Sie für die Schutzmaßnahmen ab Projektstart ca. 42 Werktage ein.
Fähigkeiten zur Erkennung, Verhinderung und Reaktion auf Vorfälle
NIS2 fordert, dass Organisationen in der Lage sind, Sicherheitsvorfälle zu erkennen, zu verhindern und angemessen darauf zu reagieren. Diese Fähigkeit ist Teil der Schutzmaßnahmen und steht in enger Verbindung mit dem Incident Management. Es geht dabei nicht um den Betrieb komplexer Sicherheitszentren, sondern um grundlegende organisatorische und technische Fähigkeiten.
Für die Praxis bedeutet das, geeignete Mechanismen zur Erkennung von Auffälligkeiten zu etablieren und klare Prozesse für den Umgang mit Vorfällen festzulegen. Entscheidend ist, dass diese Fähigkeiten dokumentiert und in die bestehende Organisation integriert sind.
Planen Sie für die Vorfallfähigkeit ab Projektstart ca. 28 Werktage ein.
Zugriffskontrollen und Schutz sensibler Informationen
Ein zentraler Schwerpunkt der NIS2 liegt auf dem Schutz sensibler Informationen und der Kontrolle von Zugriffen auf Systeme. Organisationen müssen sicherstellen, dass nur berechtigte Personen Zugriff auf kritische Systeme und Daten erhalten. Diese Anforderung betrifft sowohl technische Mechanismen als auch organisatorische Regelungen.
In der Praxis bedeutet das, Zugriffskonzepte nachvollziehbar zu definieren, Berechtigungen zu dokumentieren und regelmäßig zu überprüfen. Auch der Einsatz geeigneter Authentifizierungsverfahren ist Teil dieses Schutzkonzepts. Entscheidend ist, dass Zugriffskontrollen nicht nur existieren, sondern aktiv gesteuert werden.
Für die Umsetzung dieses Bausteins ist eine Dauer von etwa 28 Werktagen realistisch, insbesondere wenn bestehende Berechtigungsmodelle überprüft und angepasst werden müssen.
Planen Sie für den Zugriffsschutz ab Projektstart ca. 28 Werktage ein.
Kontinuierliche Bewertung und Verbesserung von Sicherheitsmaßnahmen
NIS2 versteht Schutzmaßnahmen nicht als statischen Zustand. Organisationen müssen ihre Sicherheitsmaßnahmen regelmäßig bewerten und an neue Bedrohungen anpassen. Diese kontinuierliche Verbesserung ist Teil der Wirksamkeitsbewertung und ein zentrales Element der NIS2-Compliance.
Für die Praxis bedeutet das, feste Prozesse zur Überprüfung von Maßnahmen zu etablieren. Diese Überprüfung kann anlassbezogen oder regelmäßig erfolgen und sollte nachvollziehbar dokumentiert werden. Ziel ist es, frühzeitig zu erkennen, ob Maßnahmen noch geeignet sind oder angepasst werden müssen.
Eine Umsetzungsdauer von etwa 22 Werktagen ist für die Etablierung dieser Prozesse realistisch. Die eigentliche Verbesserung erfolgt anschließend fortlaufend.
Planen Sie für die Sicherheitsverbesserungen ab Projektstart ca. 22 Werktage ein.
Angriffserkennung als Sonderfall für kritische Anlagen
Für Betreiber kritischer Anlagen gelten zusätzliche Anforderungen an Systeme zur Angriffserkennung. Diese Anforderungen sind explizit geregelt und betreffen nicht alle Organisationen. Für nicht-kritische Einrichtungen ist dieser Baustein nicht verpflichtend.
Dort, wo Angriffserkennung erforderlich ist, umfasst die Umsetzung insbesondere die Einführung geeigneter Protokollierungs- und Auswertungsmechanismen sowie die Definition von Use-Cases und Triage-Prozessen. Entscheidend ist, dass der Betrieb dieser Systeme dokumentiert und getestet wird.
Für diesen Schritt ist eine Umsetzungsdauer von etwa 21 Werktagen realistisch, sofern bestehende technische Grundlagen genutzt werden können.
Planen Sie für die Angriffserkennung ab Projektstart ca. 21 Werktage ein.
Dokumentation als integraler Bestandteil von Kontrollen
Ein wesentliches Merkmal auditfester Schutzmaßnahmen ist die begleitende Dokumentation. NIS2 verlangt nicht, dass jede technische Konfiguration dokumentiert wird, wohl aber, dass das Vorhandensein, der Zweck und die Steuerung von Kontrollen nachvollziehbar sind.
Für die Praxis bedeutet das, Maßnahmen so zu dokumentieren, dass Dritte deren Ziel, Umfang und Einbindung in das Gesamtkonzept verstehen können. Dokumentation ist dabei kein Selbstzweck, sondern Voraussetzung für Transparenz und Überprüfbarkeit.
Zusammenspiel mit anderen NIS2-Bausteinen
Kontrollen und Schutzmaßnahmen stehen nicht isoliert, sondern wirken mit allen anderen NIS2-Themen zusammen. Sie bauen auf dem Risikomanagement auf, unterstützen Incident Response-Prozesse und sind Grundlage für Business Continuity-Maßnahmen. Gleichzeitig sind sie Gegenstand der laufenden Compliance-Überwachung.
Wer NIS2 umsetzen will, sollte Kontrollen daher nicht punktuell betrachten, sondern als Teil eines zusammenhängenden Systems. Diese Artikel-Reihe hilft dabei, diese Zusammenhänge nachvollziehbar abzubilden und schrittweise umzusetzen.
