top of page
Kopie von logo (1).jpg

NIS-2 in der Praxis: Vom „Compliance-Projekt“ zum Security-Programm

  • Autorenbild: Marcel Küppers
    Marcel Küppers
  • 22. Jan.
  • 3 Min. Lesezeit

NIS-2 ist in vielen Unternehmen gerade dabei, „das nächste Compliance-Projekt“ zu werden: Gap-Analyse, Policies, ein paar Maßnahmen, Audit-Ordner – fertig.

Das Problem: So entsteht keine nachhaltige Cyber-Resilienz. Du bekommst bestenfalls eine Momentaufnahme, schlimmstenfalls Papier-Compliance. Und beides hilft dir nicht, wenn der erste echte Incident kommt oder das Management echte Entscheidungen treffen muss.


Dieser Artikel zeigt, wie du NIS-2 als CISO richtig aufziehst: nicht als Paragrafenprojekt, sondern als steuerbares Security-Programm mit klaren Workstreams, Ownership, Metriken und einem belastbaren Umsetzungsrhythmus.

Hinweis: Das ist keine Rechtsberatung. Nutze es als CISO-Playbook und kläre juristische Detailfragen mit Legal/Compliance.

1) Der häufigste Fehler: NIS-2 als Checkliste behandeln


Wenn NIS-2 als Checkliste umgesetzt wird, passieren typischerweise drei Dinge:

  1. Policy-Übergewicht: Es entstehen Dokumente, aber keine operative Wirksamkeit.

  2. Fehlende Priorisierung: Alles ist „wichtig“ → am Ende wird nichts fertig.

  3. Keine Governance: Risiken werden beschrieben, aber nicht entschieden.


NIS-2 fordert (implizit und explizit) vor allem eines: Führungsfähigkeit über Cyberrisiken. Das ist Governance, Operating Model, Steuerung – nicht nur Controls.


2) Ein CISO-taugliches Zielbild für NIS-2


Wenn du NIS-2 als Programm aufsetzt, sollte dein Zielbild so aussehen:


  • Eine klare Risiko-Priorisierung (Top-Risiken + akzeptierte Restrisiken)

  • Ein Operating Model, das Entscheidungen erzwingt (nicht nur Berichte produziert)

  • Messbare Umsetzung (Maturity/Capability-Aufbau in 12–24 Monaten)

  • Audit-Readiness „by design“ (Evidenzen entstehen im Prozess, nicht in Nachtschichten)


Kurz: NIS-2 ist ein Katalysator, um Security als steuerbares Unternehmensprogramm zu etablieren.


3) Der Programmaufbau: 5 Workstreams, die fast immer funktionieren


Statt „ein NIS-2 Projektteam“ empfehle ich ein Programm mit klaren Workstreams. Das ist skalierbar und passt in jede Organisation.


Workstream A: Governance & Accountability

Ziel: Klarer Entscheidungsrhythmus, Rollen, Verantwortung, Management-Einbindung.


Deliverables:

  • Cyber Security Steering (monatlich) + definierte Agenda

  • RACI für Security-Entscheidungen (wer entscheidet was?)

  • Board/GL Reporting (Risiken, Status, Entscheidungen)

  • Risk Acceptance Prozess (wer unterschreibt Restrisiko?)


Workstream B: Risiko & Control Framework

Ziel: Risiken priorisieren, Controls sinnvoll zuordnen, keine „Control-Bürokratie“.


Deliverables:

  • Top-Risiken (z. B. Ransomware, Identity Compromise, Third Party)

  • Mapping zu Controls (NIST CSF / ISO27001 / CIS) – pragmatisch, nicht akademisch

  • Risk Register, das Entscheidungen erzeugt (nicht nur Text)

  • Optional: FAIR-Light Quantifizierung für 3–5 Top-Risiken


Workstream C: Core Security Capabilities (die „harten“ Fähigkeiten)

Ziel: Wirksamkeit gegen reale Angriffe erhöhen.


Typische Prioritäten (fast immer):

  • Identity (MFA, Admin-Konten, PAM)

  • Logging/Detection (Coverage statt Log-Masse)

  • Incident Response (Rollen, Playbooks, Tabletop)

  • Backup/Recovery (RTO/RPO realistisch, immutable/isoliert)


Deliverables:

  • IAM/PAM Roadmap (12 Monate)

  • Detection Use-Case Backlog (Top-10) + Ownership

  • IR Plan + Tabletop-Plan

  • Backup/Recovery-Readiness-Nachweis


Workstream D: Supply Chain / Third Party Risk

Ziel: Lieferkette steuerbar machen, ohne Procurement zu blockieren.


Deliverables:

  • Supplier Tiering (kritisch/hoch/mittel/niedrig)

  • Minimum Security Requirements + Vertragshebel

  • Onboarding/Review Prozess (pragmatisch)

  • Monitoring kritischer Provider (SaaS/IaaS/MSP/MSSP)


Workstream E: Evidence & Audit Readiness (IKS-Denke)

Ziel: Nachweisfähigkeit als Nebenprodukt guter Prozesse.


Deliverables:

  • Evidence Catalog („Welche Evidenzen entstehen wo?“)

  • Control Owner pro Control-Cluster

  • Rhythmus für Reviews (quarterly)

  • Audit-Pack Template (damit jeder weiß, was erwartet wird)


4) Der CISO-Rhythmus: 30–60–90 Tage Plan (pragmatisch)


0–30 Tage: Struktur & Fokus herstellen

  • Scope klären (wer ist betroffen? welche Einheiten?)

  • Programmstruktur mit Workstreams aufsetzen

  • Top-Risiken definieren (5–10)

  • Steering Committee starten (Entscheidungsformat!)

Ergebnis: Du hast Governance, Owner und Prioritäten – nicht nur eine Gap-Liste.


31–60 Tage: Umsetzungsplan + Quick Wins

  • Maßnahmen auf Roadmap bringen (12–24 Monate)

  • 3–5 Quick Wins wählen, die Risiko sofort senken (z. B. MFA Admin, zentrale Logs, IR Tabletop)

  • Evidence-Mechanik definieren (wer liefert welche Nachweise wann)

Ergebnis: Erste Wirksamkeit + sichtbarer Fortschritt.


61–90 Tage: Execution Engine

  • Operativen Takt etablieren (wöchentliche Workstream Syncs, monatliches Steering)

  • KPI/KRI Set definieren (siehe unten)

  • Erste Readout-Session für GL/Board (Risiko → Plan → Entscheidungen)

Ergebnis: NIS-2 ist jetzt ein Programm mit Steuerung – kein Projektordner.


Die meisten NIS-2-Initiativen scheitern nicht am Wissen, sondern am fehlenden

Umsetzungsrhythmus. Die folgende Infografik zeigt den pragmatischen 30–60–90-Tage-Plan, mit dem du aus Analyse und Maßnahmenliste eine echte Execution Engine machst – inklusive Governance, Quick Wins und messbarer Steuerung.


Der CISO-Rhythmus: 30-60-90 Tage Plan
Der CISO-Rhythmus: 30-60-90 Tage Plan

5) Metriken, die Management wirklich versteht (und die du liefern kannst)

Vermeide Metriken wie „# offene Findings“ oder „# Policies“. Nutze stattdessen:


Steuerungsmetriken (Beispiele):

  • MFA-Abdeckung für privilegierte Konten (%)

  • Patch-SLA-Compliance für kritische Systeme (%)

  • Detection Coverage für Top-10 Use Cases (% implementiert)

  • Mean Time to Detect / Respond (Trend)

  • Tabletop-Frequenz + Lessons Learned umgesetzt (%)

  • Supplier Tier 1: Vertrags- und Security-Anforderungen erfüllt (%)


❗Wichtig: Zeig Trends, nicht Momentaufnahmen.❗


6) Was du dem Management als Entscheidung vorlegen solltest


NIS-2 wird leichter, wenn du das Management früh in echte Entscheidungen holst:

  • Welche 3–5 Risiken sind Top-Priorität?

  • Welche Restrisiken akzeptieren wir (bewusst)?

  • Welche Investitionen sind notwendig (People/Process/Tech)?

  • Welche Timeframes sind realistisch (12–24 Monate)?

Wenn du nur informierst, passiert nichts. Wenn du Optionen + Empfehlung lieferst, wird entschieden.


Fazit: NIS-2 ist dein Hebel – wenn du es wie ein Programm behandelst


Wenn du NIS-2 „nur“ als Compliance behandelst, bekommst du Dokumente. Wenn du es als Security-Programm etablierst, bekommst du:

  • klare Governance

  • messbaren Capability-Aufbau

  • bessere Resilienz

  • und eine Management-Sprache, die Entscheidungen ermöglicht.


Wenn du NIS-2 nicht als Papierprojekt, sondern als steuerbares Security-Programm aufsetzen willst:


  • 👉 CISO Masterclass (inkl. Praxisaufgaben im eigenen Unternehmen + 1:1 Coaching)

  • 📘 CISO-Buch (Kapitel zu Governance/Operating Model & Programmsteuerung)


 
 
 

Kommentare

bottom of page