Die NIS2-Compliance-Checkliste | CRYPTAS

Zehn Schritte, um Ihre Organisation NIS2-konform aufzustellen — und wo digitales Vertrauen die Hauptarbeit leistet.

NIS2 ist die bislang weitreichendste Cybersicherheitsrichtlinie der EU — und längst keine Theorie mehr. In Deutschland bringt die nationale Umsetzung, das NIS2-Umsetzungsgesetz (NIS2UmsuCG), Zehntausende Organisationen in den Anwendungsbereich, von denen sich viele nie als „kritisch“ verstanden haben. Bei 18 erfassten Sektoren und geschätzten 29.000 zusätzlich betroffenen Unternehmen in Deutschland lautet die praktische Frage für die meisten Sicherheitsverantwortlichen schlicht: Wo fangen wir an?

Gilt NIS2 für Sie?

NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen in Sektoren wie Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Wasser und verarbeitendes Gewerbe. Viele mittelständische Unternehmen fallen erstmals in den Anwendungsbereich. Wenn Ihre Organisation in einem regulierten Sektor tätig ist und die Größenschwellen überschreitet, sollten Sie von der Anwendbarkeit ausgehen und die Details prüfen, statt abzuwarten.

Die Checkliste mit zehn Punkten

• Anwendungsbereich klären und registrieren. Stellen Sie fest, ob Sie eine besonders wichtige oder wichtige Einrichtung sind, und nehmen Sie die erforderliche Registrierung bei der zuständigen Behörde vor.
• Geschäftsleitung in die Pflicht nehmen. NIS2 weist die Verantwortung der Leitungsebene zu. Die Geschäftsleitung muss Risikomaßnahmen genehmigen und kann haftbar gemacht werden — Governance und Aufsicht müssen daher dokumentiert sein.
• Asset- und Risiko-Inventar aufbauen. Führen Sie ein aktuelles Inventar von Servern, Clients, Cloud- und SaaS-Ressourcen, Netzwerkkomponenten, privilegierten Konten und kritischen Datenflüssen. Das ist das Fundament für alles Weitere.
• Risikobasierte Sicherheitsmaßnahmen umsetzen. Setzen Sie technische und organisatorische Maßnahmen nach dem Stand der Technik um, angemessen zum Risiko — für Netze, Systeme und die Lieferkette.
• Meldewesen etablieren. Richten Sie Prozesse ein, um die strengen NIS2-Fristen einzuhalten — eine Frühwarnung binnen 24 Stunden und eine ausführlichere Meldung binnen 72 Stunden nach einem erheblichen Vorfall.
• Lieferkette absichern. Bewerten und regeln Sie die Sicherheit von Lieferanten und Dienstleistern vertraglich; deren Schwachstellen werden zu Ihren.
• Starke Authentifizierung durchsetzen. Führen Sie phishing-resistente Multi-Faktor-Authentifizierung ein und sichern Sie den Zugang zu privilegierten Konten — unter NIS2 ausdrücklich erwartet.
• Richtig verschlüsseln und Schlüssel verwalten. Verschlüsseln Sie Daten bei der Übertragung und im Ruhezustand, gestützt auf ein solides Schlüsselmanagement; Kryptografie gehört zu den Basismaßnahmen.
• Kontinuität planen. Halten Sie Backup-, Notfallwiederherstellungs- und Krisenmanagementpläne vor, damit wesentliche Dienste einen Vorfall überstehen.
• Dokumentieren und nachweisen. Jede Maßnahme muss belegbar sein. Halten Sie Nachweise, Richtlinien und Audit-Trails bereit — „wir machen das“ reicht ohne Beleg nicht.

Wo Kryptografie und Identität die Hauptarbeit leisten

Mehrere Punkte der Checkliste — starke Authentifizierung, Verschlüsselung, Schlüsselmanagement und nachweisbares Vertrauen — gehören unmittelbar in den Bereich des digitalen Vertrauens. Public-Key-Infrastruktur bildet die Grundlage für sichere Maschinen- und Nutzeridentitäten; phishing-resistente MFA schützt den Zugang; Verschlüsselung und diszipliniertes Schlüsselmanagement schützen die Daten selbst. Wer diese Grundlagen richtig legt, schließt einen erheblichen Teil der NIS2-Lücke in einem Zug.

Wie wir helfen

Wir vereinen starke Authentifizierung, Enterprise-PKI, Certificate Lifecycle Management sowie Verschlüsselung mit Schlüsselmanagement — genau die Maßnahmen, die NIS2 erwartet. Wir helfen Ihnen, aus der Checkliste ein operatives, prüffestes Programm zu machen: phishing-resistente Authentifizierung für Nutzer und Administratoren, vertrauenswürdige Identitäten für Maschinen und Dienste sowie Verschlüsselung, die Sie gegenüber Prüfern belegen können.

Wo stehen Sie bei NIS2? Sprechen Sie mit unserem Team über das Schließen der technischen Lücken — beginnend mit Authentifizierung, PKI und Verschlüsselung.