Menü

NIS2 Umsetzung: Sicherheit mit Erfahrung statt Aktionismus

NIS2 Richtlinie
Michael Herse
Geschrieben von Michael Herse 30.01.2026 | Sicherheit

Wie wir IT-Compliance durch Grundschutz++ und Automatisierung effizient gestalten

Wie viele andere Unternehmen stehen auch wir aktuell vor der großen Herausforderung der NIS2 Umsetzung. Seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) ist klar: Cybersicherheit ist keine rein technische Randnotiz mehr, sondern eine zentrale Vorstandsaufgabe mit persönlicher Haftung. Doch für uns ist diese neue regulatorische Anforderung kein plötzlicher Umbruch, sondern die Bestätigung einer langjährigen Sicherheitsstrategie.

Während viele Organisationen das Thema IT-Sicherheit lange aufgeschoben haben und nun unter Zeitdruck bei null beginnen müssen, spielte Sicherheit bei uns von Anfang an eine zentrale Rolle. Wir betrachten die Richtlinie nicht als bürokratische Last, sondern als Chance, unsere bestehenden Strukturen auf das nächste Level zu heben. Dadurch können wir heute auf einen belastbaren Grundstock an Prozessen, Werkzeugen und Erfahrungen zurückgreifen, die wir über Jahre konsequent entwickelt haben.

Vom klassischen Grundschutz zum modernen Grundschutz++

Mit der NIS2-Richtlinie hat sich auch die empfohlene Methodik weiterentwickelt: Statt dem klassischen Grundschutz dient nun der erweiterte BSI Grundschutz++ als modernes Fundament. Das bedeutet nicht, dass bisherige Maßnahmen obsolet wären – vielmehr werden sie in eine neue, strukturiertere Form überführt.

Diese neue Struktur bietet aus unserer Sicht einen entscheidenden Vorteil: Sie schafft einen klaren Rahmen, um die sehr anspruchsvollen Sicherheitsanforderungen konsistenter und vor allem stärker zu automatisieren. Der neue Grundschutz++ zeichnet sich aus durch:

  • Maschinenlesbarkeit: Die gesamte Dokumentation ist vollständig JSON-basiert und nutzt das OSCAL-Format (Open Security Controls Assessment Language). Das erlaubt uns, Sicherheitskontrollen direkt mit unseren technischen Systemen zu verknüpfen.
  • Objektorientierter Ansatz: Weg von starren Kategorien hin zu einem flexiblen Punktesystem für Vertraulichkeit, Integrität und Verfügbarkeit. Dies ermöglicht eine viel präzisere Risikoanalyse jedes einzelnen Assets.
  • Fokus auf Effizienz: Durch die Bereitstellung in der neuen Cyberbibliothek des BSI rückt der „Stand der Technik“ in den Vordergrund, was die reine Dokumentationslast erheblich verringert und die operative Umsetzung beschleunigt.

Für uns bedeutet das: Unsere technische Welt und die regulatorische Welt sprechen endlich dieselbe Sprache. Compliance wird vom jährlichen Audit-Projekt zum kontinuierlichen Datenstrom.

Automatisierung statt grauer Theorie

Bereits in den vergangenen Jahren haben wir auf Basis unseres HITS Inventarmanagers gezielt Automatisierungsmechanismen entwickelt. Unser Anspruch war dabei stets praxisorientiert:

  • Standardisierte Installation: Jede Maschine wird nach identischen Sicherheitsregeln bereitgestellt.
  • Unabhängigkeit: Sicherheit greift für Produktiv-, Test- oder kurzfristige Systeme gleichermaßen.
  • By Design: Sicherheit ist kein optionales Extra, sondern im Setup-Prozess (Infrastructure as Code) verankert.

Dabei ging es uns nie um theoretische Konzepte auf dem Papier, sondern um konkrete, wirksame Maßnahmen. Risiken wurden priorisiert, die größten Schwachstellen zuerst geschlossen und weniger kritische Themen bewusst nachgelagert behandelt. So konnte die Sicherheit schrittweise, aber nachhaltig und ohne den Betrieb zu lähmen, erhöht werden.

Sicherheit als reproduzierbarer und prüfbarer Prozess

Unser Ziel ist es, diesen Weg der „Security by Design“ bis Mitte des Jahres konsequent weiterzuführen. Künftig werden:

  • Maschinen vollständig automatisiert aufgesetzt.
  • Sicherheitsmaßnahmen automatisch abhängig von den installierten Modulen aktiviert.
  • Passende Prüfroutinen und Überwachungsmechanismen automatisch für das Monitoring generiert und integriert.

Damit stellen wir sicher, dass unabhängig von individuellen Installationen oder Systemkonfigurationen stets ein einheitliches Sicherheitsniveau eingehalten wird.

Ein wesentlicher Kern von NIS2 ist die Abkehr vom Stichtagsdenken. Sicherheit soll nicht nur zum Zeitpunkt eines Audits bestehen, sondern dauerhaft gewährleistet sein. Durch die enge Verzahnung von Inventarisierung, Konfigurationsprüfung und Echtzeit-Monitoring entsteht ein Sicherheitsstatus, der den realen Betrieb widerspiegelt – nicht nur eine formale Momentaufnahme.

Transparenz durch OSCAL: Nachvollziehbarkeit auf Knopfdruck

Durch den konsequenten Einsatz von OSCAL sind diese Sicherheitsergebnisse nicht nur im Monitoring sichtbar. Sie fließen auch direkt in unsere Projektdokumentation zur NIS2 Umsetzung ein.

Das bedeutet für uns: Wir müssen keine manuellen Excel-Listen führen, um einem Auditor den Patch-Stand oder die SSH-Konfiguration zu beweisen. Die Technik liefert die Nachweise selbst. Sicherheit wird damit nicht nur technisch umgesetzt, sondern auch nachvollziehbar dokumentiert und jederzeit überprüfbar gemacht. Wir dokumentieren dort, wo die Sicherheit passiert: direkt im System.

NIS2 Umsetzung: HITS Inventarmanager, Ansible Server-Setup und Checkmk Monitoring, BSI Grunschutz++ und Oscal

Unser Vorsprung: Erfahrung ist der beste Schutz

Die NIS2 Umsetzung bedeutet für viele Unternehmen einen enormen Kraftakt und oft auch ein Stück Unsicherheit. Für uns ist es vor allem die Bestätigung unseres bisherigen Weges. Durch jahrelange praktische Umsetzung, kontinuierliche Automatisierung und einen klaren Fokus auf reale Risiken verfügen wir heute über einen entscheidenden Erfahrungsvorsprung.

Wir haben die Werkzeuge, die Prozesse und vor allem die Daten bereits im Einsatz. Statt hektisch aufzuholen, können wir unsere bestehenden Strukturen gezielt weiterentwickeln. Sicherheit ist bei uns kein Projekt mit Enddatum, sondern ein technologischer Reifegrad, den wir jeden Tag leben.