NIS2-Richtlinie: Die Rolle des IT-Leiters in der NIS2-Umsetzung

Die NIS2-Richtlinie der Europäischen Union (EU) markiert eine neue Ära in der europäischen Cyber Security. Ziel ist insbesondere in kritischen und wichtigen Sektoren ein einheitliches und hohes Schutzniveau für Netz- und Informationssysteme.

Für IT-Leitungen bedeutet das: Die Anforderungen an technische Sicherheitsmaßnahmen steigen erheblich – und zwar in Breite, Tiefe und Geschwindigkeit.

Was bedeutet die NIS2-Richtlinie für Ihre IT-Abteilung?

Als IT-Leiter stehen Sie in der operativen Verantwortung, viele der Anforderungen aus der NIS2-Richtlinie in funktionierende IT-Sicherheitskonzepte zu übersetzen. Während die Geschäftsführung haftet, setzt die IT um. Dabei stehen IT-Leiter oft vor zwei Herausforderungen: knappe Ressourcen auf der einen Seite und komplexe Altsysteme auf der anderen.

Um die NIS2 erfolgreich umzusetzen, ist es daher wichtig, dass Sie sich im Vorfeld einen detaillierten Überblick über bereits umgesetzte Maßnahmen – zum Beispiel im Sinne anderer Compliance-Anforderungen – sowie noch offene Maßnahmen zu verschaffen. Anhand einer solchen Checkliste lassen sich anschließend konkrete Handlungsmaßnahmen und Verantwortlichkeiten leichter priorisieren.

Einen solchen Überblick können Sie ganz einfach über eine GAP-Analyse oder ein internes Audit abbilden. Denken Sie dabei unternehmensweit. Dadurch vermeiden Sie am Ende doppelte Arbeit.

Welche technischen NIS2-Maßnahmen müssen IT-Abteilungen umsetzen?

Die NIS2 schreibt keine konkreten Zertifizierungen oder Tools vor, aber funktionale Maßnahmen, die IT-Leitungen kennen und priorisieren sollten:

• Zugriffsmanagement und Multi-Faktor-Authentifizierung (MFA):
  Absicherung privilegierter Konten, Identity und Access Management

• Netzwerksegmentierung:
  Trennung sensibler Bereiche gemäß IT-Sicherheitsrichtlinie des BSI

• Patch-Management und Schwachstellenanalysen:
  automatisiert, dokumentiert, regelmäßig

• Monitoring und Logging:
  zentrales „Security Information and Event Management“-System (SIEM-System), Protokollierung gemäß BSI-Mindeststandards*

• Datensicherung:
  BSI-konformes Backup- und Wiederherstellungskonzept*

• Virenschutz und Firewall:
  aktuelle Schutzmechanismen für Unternehmensnetzwerke

• Awareness-Schulungen:
  regelmäßige Fortbildungen zur Security Awareness im Unternehmen

Anmerkung: Die NIS2-Richtlinie der EU verweist nicht wörtlich auf die Standards und Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dies ist eine Empfehlung von Admijalo.

Viele dieser Punkte werden durch ein ISMS (Informationssicherheitsmanagementsystem) abgedeckt – idealerweise nach ISO 27001 zertifiziert. Jedoch ist die Zertifizierung keine Garantie für vollständige NIS2-Compliance, sondern eine tragende Säule.

Welche Rolle spielt die IT-Leitung – und wo liegen die Grenzen?

Die IT-Abteilung ist unverzichtbar für die Umsetzung der NIS2 – aber sie kann nicht alles allein leisten. Folgende zentrale Aufgaben liegen bei der NIS2-Umsetzung außerhalb der IT:

• Management und Geschäftsführung: Budgetfreigabe, Priorisierung, rechtliche Verantwortung
• Datenschutz und Compliance: Schnittstellen zur DSGVO und IT-Dokumentation
• Recht und Einkauf: Prüfung und Anpassung von Verträgen mit Dritten
• Fachbereiche: Mitarbeiterschulungen, sichere Nutzung von IT-Systemen

Die IT ist das Rückgrat, aber ohne Rückendeckung und unternehmensweite Zusammenarbeit bleibt die NIS2 ein Papiertiger.

Müssen meine externen IT-Dienstleister NIS2-konform sein?

Auch externe Anbieter – z.B. Systemhäuser, Hosting-Partner oder SaaS-Provider – müssen NIS2-konform arbeiten, wenn sie kritische Prozesse betreiben. Für IT-Leitungen heißt das konkret:

• Verträge prüfen und anpassen: Sicherheitspflichten vertraglich regeln
• Audits und Zertifikate: regelmäßig Nachweise einfordern (z.B. ISO 27001, TISAX, ISAE 3402)
• Incident-Response einbeziehen: externe Partner in interne Prozesse einbinden
• Verantwortlichkeiten klären: bei Vorfällen müssen Zuständigkeiten im Vorfeld eindeutig definiert sein

Die Lieferkette wird zum Risikofaktor – und zur Pflichtaufgabe für IT-Leitungen, wenn es um IT-Prozesse und IT-Infrastruktur geht.

Unsere Empfehlung an Geschäftsleitungen bei ausgelagerter IT: Behandeln Sie Ihre IT-Dienstleister wie interne Abteilungen bzw. Mitarbeiter. Anforderungen, die für die interne IT gelten, müssen folglich auch für den externen Partner gelten. Mehr zu NIS2-Anforderungen an Geschäftsleitung, Vorstände und Management finden Sie hier.

Was sollten IT-Leiter jetzt konkret tun?

Die NIS2 ist kein Projekt „für später“, nur weil das Umsetzungsgesetz in Deutschland noch nicht verabschiedet ist. Zahlreiche Maßnahmen lassen sich aus der EU-Richtlinie bereits ableiten und die Umsetzung starten. IT-Leiter sollten daher jetzt aktiv werden:

1. Gap-Analyse durchführen: Welche Anforderungen erfüllt Ihr Unternehmen bereits – welche nicht?
2. IT-Sicherheitskonzept erstellen oder aktualisieren: am besten orientiert am BSI-Grundschutz
3. ISMS aufbauen oder erweitern: idealerweise mit Blick auf ISO 27001
4. Mitarbeitende schulen: auch technische Teams brauchen Awareness
5. Meldestrukturen aufsetzen: inkl. Tooling, Abläufen und Dokumentation
6. Technische Maßnahmen umsetzen: segmentieren, härten, sichern
7. Externe Unterstützung nutzen: z.B. durch einen Audit, Penetrationstests oder externe Beratung

Wie Admijalo IT-Leitern bei der NIS2-Umsetzung hilft

Die Umsetzung der NIS2 gelingt am besten mit einem strukturierten Fahrplan. Als Anbieter für Cyber Security und IT-Security-Lösungen mit zertifizierten Pentestern und Lead-Auditor für die ISO 27001 im Team stehen wir Ihnen gerne zur Verfügung.

Damit Sie mit der NIS2-Umsetzung IT-seitig starten können, bieten wir folgende Leistungen beratend und in der Umsetzung an:

• Penetrationstests und Schwachstellenanalysen nach aktuellen Standards
• Aufbau und Prüfung von IT-Sicherheitsstrategien
• Awareness-Schulungen für Fachabteilungen und IT-Teams
• Gap-Analysen und interne Audits zur NIS2-Vorbereitung
• Beratung und Einführung eines ISMS und ISO-Zertifizierungen

Fazit: Die IT spielt die Schlüsselrolle bei der NIS2 – aber nicht allein

Mit der NIS2-Richtlinie rückt die IT in den Mittelpunkt regulatorischer Aufmerksamkeit.

Doch klar ist: Ohne das Zusammenspiel mit Geschäftsführung, Datenschutz, Einkauf und Fachabteilungen bleibt die NIS2 ein Papiertiger.

Sie möchten wissen, wie NIS2-fit Ihre Systeme wirklich sind?
Lassen Sie uns gemeinsam prüfen, wie robust Ihre IT-Security-Infrastruktur ist, bevor es jemand anderes tut. Vereinbaren Sie einfach online einen unverbindlichen Gesprächstermin mit uns.