NIS2-Umsetzungs-Roadmap für den CISO
Kernaussage
NIS2 scheitert in der Praxis selten am Wissen, sondern an der Reihenfolge. Die Richtlinie (EU) 2022/2555 (NIS2) verlangt Governance durch die Leitung (Art. 20), gefahrenübergreifende Risikomanagementmaßnahmen in mindestens zehn Bereichen (Art. 21) und ein dreistufiges Meldeverfahren bei erheblichen Vorfällen (Art. 23). Eine Roadmap ordnet diese Pflichten zu einer betreibbaren Abfolge: Betroffenheit klären, Lücken erkennen und priorisiert schließen, den Meldeprozess scharf stellen, die Leitung anbinden und durchgängig Nachweise erzeugen.
NIS2 ist eine Führungsaufgabe: Die Leitungsorgane müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. Verbindlich wird NIS2 erst durch die nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz; deren Stand ist vor jeder Planung zu prüfen.
Problem in der Praxis
Viele Organisationen starten bei den Maßnahmen, bevor Betroffenheit, Kategorie und Scope geklärt sind. Tools werden beschafft und Policies geschrieben, doch ob das Unternehmen eine wesentliche oder wichtige Einrichtung ist und welche Einheiten in den Anwendungsbereich fallen, bleibt offen. Damit fehlt die Grundlage für jede Priorisierung.
Ein zweites Muster ist Maßnahmen-Aktivismus ohne Gap-Befund: Es wird viel getan, aber niemand kann sagen, welche der zehn Bereiche aus Art. 21 wie weit abgedeckt sind. Drittens wird der Meldeprozess oft erst nach einem Vorfall vermisst. Die NIS2-Fristen sind eng: 24 Stunden bis zur Frühwarnung, 72 Stunden bis zur Vorfallmeldung, ein Monat bis zum Abschlussbericht. Wer den Ablauf nicht vorab geübt hat, verliert im Ernstfall die Stunden, die zählen. Viertens entstehen Nachweise erst kurz vor einer Aufsichtsmaßnahme statt aus dem Regelbetrieb.
CISO-Einordnung
Eine NIS2-Roadmap führt sechs Bausteine in eine sinnvolle Abfolge: Betroffenheitsanalyse (greift NIS2, und ist die Einheit wesentlich oder wichtig?), Gap-Analyse gegen die zehn Bereiche aus Art. 21 und die Governance-Pflichten aus Art. 20, Priorisierung der Lücken nach Risiko und Abhängigkeit, Meldeprozess nach Art. 23, Governance-Anbindung mit Billigung, Überwachung und Schulung der Leitung sowie durchgängige Nachweisführung. Die Kategorie wesentlich oder wichtig steuert dabei vor allem Aufsichtsregime und Sanktionshöhe, nicht das Ob der Pflichten.
Wichtig: NIS2 ist eine regulatorische Pflicht, kein Zertifizierungsschema. Das Wie liefert sinnvoll ein ISMS nach ISO/IEC 27001 oder IT-Grundschutz, da viele Art.-21-Bereiche über ISMS-Controls abbildbar sind. Ein bestehendes ISMS ist daher der natürliche Träger der Roadmap, kein Konkurrenzprojekt.
Umsetzungsperspektive
Eine belastbare Roadmap folgt einer klaren Reihenfolge:
- Betroffenheit und Scope. Tätigkeiten je Einheit gegen Anhang I und II und gegen die nationale Umsetzung spiegeln, Kategorie begründen, durch die Leitung freigeben.
- Gap-Analyse. Reifegrad je Bereich strukturiert gegen die zehn Bereiche und gegen Art. 20 erheben, statt Eindrücke zu sammeln.
- Priorisierung der zehn Bereiche. Sie lassen sich in Cluster ordnen: Fundament (u. a. Sicherheitskonzepte, Cyberhygiene und Schulung, Zugriffskontrolle), Resilienz (Incident Handling, Business Continuity, Krisenmanagement), Lieferkette und Entwicklung (Lieferkettensicherheit, sichere Beschaffung und Wartung) sowie technische Schutzschicht (Kryptografie, MFA, gesicherte Kommunikation), mit der Wirksamkeitsbewertung als Querschnitt. Hoch priorisiert wird, was Risiko senkt, andere Maßnahmen ermöglicht oder die Meldefähigkeit sichert.
- Meldeprozess. Rollen, Erreichbarkeit, Bewertungslogik für einen erheblichen Vorfall und Eskalation zur zuständigen Behörde oder zum CSIRT entlang der Fristen 24 Stunden, 72 Stunden und ein Monat definieren und üben, nicht nur dokumentieren.
- Governance-Anbindung. Billigung, Berichterstattung und Schulung der Leitung als feste Taktung verankern.
- Nachweisführung. Jede Maßnahme mit Owner, Status und Beleg verbinden, sodass Nachweise laufend anfallen.
Die Roadmap ist kein Einmalplan: Zukäufe, Wachstum über Größenschwellen, neue Geschäftsfelder oder Rechtsänderungen können Scope und Prioritäten verschieben. Sie gehört deshalb als wiederkehrender Prüfpunkt ins ISMS.
Typische Fehler
- Mit Maßnahmen oder Tools starten, bevor Betroffenheit, Kategorie und Scope geklärt sind.
- Die zehn Bereiche als gleich dringlich behandeln, statt nach Risiko und Abhängigkeit zu priorisieren.
- Den Meldeprozess erst nach dem ersten Vorfall organisieren und die 24- und 72-Stunden-Logik nie geübt haben.
- NIS2 als reines IT-Thema fahren und die Leitung nur informieren, statt sie billigen und überwachen zu lassen.
- Nachweise manuell kurz vor einer Aufsichtsmaßnahme erzeugen statt aus dem Regelbetrieb.
- Nationale Detailregelungen, Schwellen und Fristen als unionsweit einheitlich annehmen.
Risiken und Trade-offs
Eine zu langsame Roadmap lässt das Unternehmen über den Geltungsbeginn der nationalen Umsetzung hinaus angreifbar für Aufsicht und Sanktionen. Die Richtwerte der Richtlinie sind erheblich: für wesentliche Einrichtungen Geldbußen bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige bis 7 Mio. EUR oder 1,4 Prozent, je nachdem, welcher Betrag höher ist; hinzu kommt mögliche persönliche Verantwortung der Leitungsebene. Die konkrete Ausprägung folgt der nationalen Umsetzung.
Eine zu hektische Roadmap erzeugt das Gegenteil von Steuerung: viele Teilmaßnahmen ohne Wirksamkeitsnachweis und ohne Pflege. Der CISO balanciert zudem Eigenleistung und externe Beratung: Betroffenheit und Kategorisierung haben eine rechtliche Dimension, bei der juristische Expertise sinnvoll ist; die operative Umsetzung bleibt Aufgabe der Linie.
Entscheidungspunkte
- Bauen wir die Roadmap auf einem bestehenden ISMS auf oder etablieren wir parallele NIS2-Strukturen?
- Nach welchen Kriterien priorisieren wir die zehn Bereiche, und wer entscheidet bei Zielkonflikten?
- Wer verantwortet Betroffenheit, Gap-Befund, Meldeprozess und Nachweisführung, und wer gibt sie frei?
- In welcher Taktung berichtet die Security an die Leitung, und wie wird die Schulungspflicht erfüllt?
- Bei welchen Auslösern (Zukauf, Wachstum, neue Geschäftsfelder, Gesetzesänderung) bewerten wir die Roadmap neu?
Praktische Empfehlungen
- Beginnen Sie mit einer dokumentierten Betroffenheitsanalyse je Gesellschaft und Tätigkeit, mit Begründung, Datum und Freigabe durch die Leitung.
- Erheben Sie den Reifegrad strukturiert gegen die zehn Bereiche und gegen Art. 20, bevor Sie Maßnahmen beschließen.
- Priorisieren Sie nach Risiko, Abhängigkeit und Meldefähigkeit, nicht nach Umsetzungskomfort.
- Stellen Sie den Meldeprozess vorab scharf und üben Sie ihn entlang der Fristen 24 Stunden, 72 Stunden und ein Monat.
- Verankern Sie Billigung, Berichterstattung und Schulung der Leitung als feste Taktung und machen Sie Nachweise zum Nebenprodukt laufender Prozesse.
- Gleichen Sie verbindliche Details gegen die nationale Umsetzung ab und ziehen Sie bei Grenzfällen früh juristische Beratung hinzu.
Relevante Normreferenzen
- Richtlinie (EU) 2022/2555 (NIS2) vom 14. Dezember 2022, ABl. L 333 vom 27.12.2022, S. 80 bis 152: Rechtsgrundlage für Anwendungsbereich, Governance (Art. 20), Risikomanagementmaßnahmen (Art. 21) sowie Meldepflichten (Art. 23). Hebt die NIS-Richtlinie (EU) 2016/1148 auf.
- Nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz: maßgeblich für verbindliche Schwellen, Fristen-Auslegung, Verfahren und Sanktionshöhen. Umsetzungsstand vor Nutzung prüfen.
- ISO/IEC 27001 und IT-Grundschutz (BSI): Referenzen für ein ISMS als Träger der Umsetzung; viele Art.-21-Bereiche sind über ISMS-Controls abbildbar.
Häufige Fragen
Womit sollte eine NIS2-Umsetzung beginnen?+
Mit der Betroffenheitsanalyse und dem Scope, nicht mit Tools oder Policies. Erst wenn Betroffenheit und Kategorie geklärt sind, lassen sich Lücken sinnvoll priorisieren.
Müssen alle zehn Bereiche aus Art. 21 gleichzeitig umgesetzt werden?+
Sie sind alle Pflicht, aber die Reihenfolge sollte nach Risiko, Abhängigkeit und Meldefähigkeit priorisiert werden.
Welche Fristen gelten für die Meldung erheblicher Vorfälle?+
Nach Art. 23 eine Frühwarnung binnen 24 Stunden, eine Vorfallmeldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats nach der Vorfallmeldung; die Auslegung richtet sich nach der nationalen Umsetzung.
Welche Rolle hat die Geschäftsführung?+
Eine zentrale: Die Leitungsorgane müssen die Maßnahmen billigen und ihre Umsetzung überwachen, können verantwortlich gemacht werden und unterliegen einer Schulungspflicht.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen NIS-2 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nis2-008.
