ISMS Copilot
NIS2 mit KI

So erstellen Sie NIS2-Cybersecurity-Richtlinien mit KI

Überblick

Sie erfahren, wie Sie mithilfe von KI umfassende Cybersecurity-Richtlinien für jeden der zehn Maßnahmenbereiche erstellen, die nach NIS2 Artikel 21 Absatz 2 erforderlich sind. Dieser Leitfaden führt Sie durch jeden Richtlinientyp, liefert spezifische ISMS Copilot-Prompts zur Erstellung, erklärt die Erwartungen von Auditoren und Aufsichtsbehörden und zeigt auf, wie Sie Ihre Richtlinien-Dokumentation revisionssicher strukturieren.

Für wen dieser Leitfaden ist

Dieser Leitfaden richtet sich an:

  • CISOs und Compliance-Beauftragte, die für die Entwicklung NIS2-konformer Richtliniendokumentationen verantwortlich sind

  • Sicherheitsberater, die Richtliniensets für Kunden in NIS2-regulierten Sektoren entwerfen

  • GRC-Teams, die die Erstellung von Richtlinien parallel zu bestehenden ISO 27001-, DORA- oder DSGVO-Dokumentationen verwalten

  • IT-Manager, die praktische, umsetzbare Richtlinien anstelle von generischen Vorlagen benötigen

  • Mitglieder der Leitungsorgane, die diese Richtlinien gemäß Artikel 20 genehmigen müssen

Bevor Sie beginnen

Sie benötigen:

  • Einen ISMS Copilot Account (kostenlose Testversion verfügbar)

  • Ihre NIS2-Gap-Analyse-Ergebnisse, die aufzeigen, welche Richtlinien fehlen oder unzureichend sind – siehe Wie Sie mit der NIS2-Umsetzung unter Einsatz von KI beginnen

  • Ihre abgeschlossene Risikobewertung und Risikobehandlungspläne – siehe So führen Sie eine NIS2-Risikobewertung mit KI durch

  • Verständnis der Größe, des Sektors und des betrieblichen Kontexts Ihrer Organisation

  • Bestehende Richtlinien (falls vorhanden), um sie für die Gap-Analyse und Ausrichtung hochzuladen

In NIS2 Artikel 21 Absatz 2 werden zehn spezifische Maßnahmenbereiche aufgeführt, die Ihre Cybersicherheits-Risikomanagementmaßnahmen „mindestens“ umfassen müssen. Das bedeutet, dass diese zehn Bereiche das Minimum darstellen – nationale Umsetzungsgesetze können zusätzliche Anforderungen hinzufügen. Ihr Richtliniensatz muss alle zehn abdecken, um die Aufsichtsbehörden zufriedenzustellen.

Verständnis der NIS2-Richtlinienanforderungen

Was Artikel 21 Absatz 2 verlangt

Artikel 21 Absatz 2 schreibt vor, dass die in Absatz 1 genannten Risikomanagementmaßnahmen mindestens Folgendes umfassen müssen:

Referenz Artikel 21(2)

Maßnahmenbereich

Erforderliche Richtliniendokumente

(a)

Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme

Informationssicherheitsrichtlinie, Risikobewertungsrichtlinie

(b)

Bewältigung von Zwischenfällen

Incident Response Richtlinie, Verfahren zur Vorfallsklassifizierung

(c)

Aufrechterhaltung des Dienstbetriebs, Backup-Management, Wiederherstellung nach Katastrophen, Krisenmanagement

Business Continuity Richtlinie, Disaster Recovery Plan, Backup-Richtlinie, Krisenmanagementplan

(d)

Sicherheit der Lieferkette

Lieferkettensicherheits-Richtlinie, Verfahren zur Lieferantenbewertung

(e)

Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen; Handhabung und Offenlegung von Schwachstellen

Richtlinie für sichere Entwicklung, Schwachstellenmanagement-Richtlinie

(f)

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Sicherheitsprüfungs- und Bewertungsrichtlinie, Internes Auditverfahren

(g)

Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit

Richtlinie für Cyberhygiene und Bewusstsein, Schulungsprogramm

(h)

Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung

Kryptografie- und Verschlüsselungsrichtlinie

(i)

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Asset-Management

Personal-Sicherheitsrichtlinie, Zugriffskontrollrichtlinie, Asset-Management-Richtlinie

(j)

MFA oder kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, gesicherte Notfallkommunikation

Authentifizierungsrichtlinie, Richtlinie für sichere Kommunikation

Richtlinie versus Verfahren: Aufsichtsbehörden unterscheiden zwischen Richtlinien (High-Level-Absichtserklärungen und Anforderungen) und Verfahren (detaillierte operative Schritt-für-Schritt-Anleitungen). Sie benötigen beides. Richtlinien legen die Regeln fest; Verfahren beschreiben, wie diese einzuhalten sind. ISMS Copilot erstellt beides, wenn Sie den Dokumenttyp angeben.

Qualitätsstandards für NIS2-Richtlinien

Jedes Richtliniendokument sollte Folgendes enthalten:

  • Zweck und Geltungsbereich: Was die Richtlinie abdeckt und für wen sie gilt

  • NIS2-Referenz: Welche Maßnahmenbereiche aus Artikel 21(2) die Richtlinie adressiert

  • Definitionen: Zentrale Begriffe, die im Dokument verwendet werden

  • Richtlinienerklärungen: Klare, durchsetzbare Anforderungen

  • Rollen und Verantwortlichkeiten: Wer ist wofür rechenschaftspflichtig

  • Umsetzungsanforderungen: Spezifische Kontrollen und Maßnahmen

  • Überwachung und Überprüfung: Wie die Wirksamkeit bewertet wird

  • Folgen bei Nichteinhaltung: Bestimmungen zur Durchsetzung

  • Genehmigung und Versionskontrolle: Dokumentenmanagement mit Abnahme durch das Leitungsorgan

Schritt 1: Erstellen Sie die übergreifende Informationssicherheitsrichtlinie

Artikel 21(2)(a) -- Risikoanalyse und Sicherheit für Informationssysteme

Die übergreifende Informationssicherheitsrichtlinie ist das Basisdokument, das das Engagement Ihrer Organisation für Cybersicherheit festlegt und den Rahmen für alle anderen Richtlinien bildet. Dies adressiert den ersten Maßnahmenbereich und verbindet alle nachfolgenden Richtlinien miteinander.

  1. Kernrichtlinie generieren:

    "Erstelle eine umfassende Informationssicherheitsrichtlinie gemäß NIS2 Artikel 21(2)(a) für eine Organisation im Sektor [Sektor], die als [wesentliche/wichtige] Einrichtung mit [Mitarbeiterzahl] Mitarbeitern eingestuft ist. Die Richtlinie soll abdecken: Zweck der Richtlinie und regulatorischer Kontext der NIS2, Geltungsbereich der abgedeckten Netz- und Informationssysteme, Verpflichtung des Leitungsorgans und Überwachungspflichten gemäß Artikel 20, Überblick über das Risikomanagement-Framework, Sicherheitsprinzipien (Vertraulichkeit, Integrität, Verfügbarkeit), Verweis auf die zehn Maßnahmenbereiche nach Artikel 21 und unterstützende Richtlinien, Rollen und Verantwortlichkeiten (Leitungsorgan, CISO, Risikoeigner, alle Mitarbeiter), Compliance-Anforderungen und Folgen bei Nichteinhaltung, Überprüfungszyklus und kontinuierliche Verbesserung. Füge einen Abschnitt zur Dokumentensteuerung mit Genehmigung durch das Leitungsorgan hinzu."

  2. Unterstützende Risikobewertungsrichtlinie generieren:

    "Erstelle eine Risikobewertungsrichtlinie gemäß NIS2 Artikel 21(2)(a) für unsere Organisation. Decke ab: Risikobewertungsmethodik (All-Hazards-Ansatz gemäß Artikel 21(1)), Prozesse zur Risikoidentifizierung, -analyse und -bewertung, Risikoakzeptanzkriterien und Genehmigungsbefugnisse, Risikobehandlungsoptionen und Dokumentationsanforderungen, Integration mit Asset-Management und Threat Intelligence, Überprüfungshäufigkeit und Trigger-Ereignisse für Neubewertungen sowie Genehmigungsanforderungen durch das Leitungsorgan. Verweise auf unser Dokument zur Risikobewertungsmethodik."

Schichtweiser Ansatz: Erstellen Sie zuerst die übergreifende Informationssicherheitsrichtlinie und verwenden Sie diese dann als Kontext für alle weiteren Richtlinien. Fragen Sie ISMS Copilot: "Verwende unsere Informationssicherheitsrichtlinie als übergeordnetes Dokument und stelle sicher, dass diese [spezifische] Richtlinie mit deren Prinzipien und Struktur konsistent ist."

Schritt 2: Erstellen Sie die Richtlinie zur Bewältigung von Zwischenfällen

Artikel 21(2)(b) -- Bewältigung von Zwischenfällen

NIS2 erlegt strenge Anforderungen an die Behandlung von Vorfällen auf, einschließlich Erkennung, Prävention, Reaktion und Wiederherstellung, sowie die Berichtsfristen nach Artikel 23. Ihre Richtlinie muss sowohl die interne Reaktion als auch die externen Benachrichtigungspflichten adressieren.

  1. Incident Response Richtlinie generieren:

    "Erstelle eine Incident Response Richtlinie gemäß NIS2 Artikel 21(2)(b) und den Berichtspflichten nach Artikel 23 für unsere Organisation im Sektor [Sektor]. Einschließen: Definition von Vorfällen und Klassifizierungskriterien gemäß den NIS2-Erheblichkeitsschwellenwerten, Anforderungen an die Erkennung und Überwachung von Vorfällen, Phasen der Vorfallsreaktion (Vorbereitung, Identifizierung, Eindämmung, Beseitigung, Wiederherstellung, Lessons Learned), NIS2-Berichtspflichten -- 24-Stunden-Frühwarnung an das CSIRT, 72-Stunden-Vorfallmeldung mit Indikatoren für eine Kompromittierung, einmonatiger Abschlussbericht mit Ursachenanalyse, Eskalationsmatrix vom operativen Team zum Leitungsorgan, Rollen und Verantwortlichkeiten (Incident Manager, Response Team, CSIRT-Verbindung, Recht, Kommunikation), Beweissicherung und Chain of Custody, freiwillige Meldung von Beinahe-Vorfällen und Bedrohungen sowie Prozess zur Nachbereitung von Vorfällen."

  2. Verfahren zur Vorfallsklassifizierung generieren:

    "Erstelle ein detailliertes Verfahren zur Vorfallsklassifizierung für die NIS2-Compliance. Einschließen: Klassifizierungskriterien zur Bestimmung, ob ein Vorfall gemäß NIS2 Artikel 23(3) 'erheblich' ist -- unter Berücksichtigung von (a) schwerwiegenden Betriebsstörungen oder finanziellen Verlusten, (b) Auswirkungen auf andere natürliche oder juristische Personen durch Verursachung erheblicher materieller oder immaterieller Schäden. Erstelle eine Klassifizierungsmatrix mit Schweregraden, Kriterien zur Impact-Analyse und klaren Entscheidungsbäumen für den Zeitpunkt der 24-Stunden-Frühwarnmeldung. Füge spezifische Beispiele für unseren Sektor [Sektor] hinzu."

Für einen umfassenden Einblick in NIS2-Vorfallmeldeworkflows, Vorlagen und Playbooks siehe So implementieren Sie die NIS2-Vorfallmeldung mit KI – der nächste Leitfaden in dieser Serie.

Schritt 3: Erstellen Sie Richtlinien für Betriebskontinuität und Disaster Recovery

Artikel 21(2)(c) -- Aufrechterhaltung des Dienstbetriebs, Backup-Management, Wiederherstellung nach Katastrophen, Krisenmanagement

Dieser Maßnahmenbereich erfordert eine umfassende Suite von Dokumenten, die regeln, wie Ihre Organisation Dienste während und nach Störungen aufrechterhält und wiederherstellt.

  1. Business Continuity Richtlinie generieren:

    "Erstelle eine Business Continuity Richtlinie gemäß NIS2 Artikel 21(2)(c) für eine [wesentliche/wichtige] Einrichtung im Sektor [Sektor]. Einschließen: Methodik und Anforderungen für die Business Impact Analyse (BIA), Wiederherstellungszeitziele (RTO) und Wiederherstellungspunktziele (RPO) für wesentliche/wichtige Dienste, Kriterien und Verfahren zur Aktivierung des Business Continuity Plans, Krisenmanagement-Governance und Eskalation, Kommunikationsprotokolle während Störungen (intern, extern, Behörden, Medien), Integration in die NIS2-Vorfallmeldung (Auslösen der 24h-Frühwarnung bei größeren Störungen), Test- und Übungsanforderungen (mindestens jährlich), Überlegungen zur Kontinuität der Lieferkette und Überwachungspflichten des Leitungsorgans."

  2. Disaster Recovery Plan generieren:

    "Erstelle eine Vorlage für einen Disaster Recovery Plan gemäß NIS2 Artikel 21(2)(c) für unsere IT-Infrastruktur. Decke ab: Katastrophenszenarien spezifisch für unseren Sektor [Sektor] (Ransomware, Rechenzentrumsausfall, Cloud-Provider-Ausfall, Naturkatastrophe), Wiederherstellungsstrategie nach Systemkritikalitätsstufen, detaillierte Wiederherstellungsverfahren für kritische Systeme (Schritt-für-Schritt), Failover- und Fallback-Verfahren, Datenwiederherstellung aus Backups, Kommunikations- und Koordinationsprotokolle, Zeitplan für Wiederherstellungstests und Dokumentationsanforderungen sowie Abhängigkeiten von Lieferanten und Drittanbieterdiensten."

  3. Backup-Management-Richtlinie generieren:

    "Erstelle eine Backup-Management-Richtlinie gemäß NIS2 Artikel 21(2)(c). Decke ab: Backup-Geltungsbereich (alle kritischen Systeme, Daten und Konfigurationen), Backup-Häufigkeit nach Datenklassifizierungs- und RPO-Anforderungen, Backup-Methoden (Voll-, inkrementell, differenziell), Anforderungen an Offline- und Air-Gapped-Backups (Ransomware-Resilienz), Backup-Verschlüsselung und Zugriffskontrolle, Standorte der Backup-Speicherung (vor Ort, extern, Cloud) unter Berücksichtigung geografischer Aspekte, Zeitplan für Wiederherstellungstests und Erfolgskriterien, Backup-Überwachung und Alarmierung, Aufbewahrungsfristen sowie Rollen und Verantwortlichkeiten."

  4. Krisenmanagementplan generieren:

    "Erstelle einen Krisenmanagementplan gemäß NIS2 Artikel 21(2)(c) für unsere Organisation. Decke ab: Krisendefinition und Aktivierungskriterien, Zusammensetzung des Krisenmanagementteams und Kontaktinformationen, Entscheidungsbefugnis während einer Krise, interne und externe Kommunikationsprotokolle, Koordination mit dem nationalen CSIRT und der zuständigen Behörde, Richtlinien für Medien- und Öffentlichkeitsarbeit, Eskalations- und Deeskalationsverfahren in der Krise, Nachbereitung von Krisen und Lessons-Learned-Prozess sowie Integration in die NIS2-Vorfallmeldefristen."

Schritt 4: Erstellen Sie die Lieferkettensicherheits-Richtlinie

Artikel 21(2)(d) -- Sicherheit der Lieferkette

NIS2 legt großen Wert auf die Sicherheit der Lieferkette. Ihre Richtlinie muss sicherheitsrelevante Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern adressieren.

  1. Lieferkettensicherheits-Richtlinie generieren:

    "Erstelle eine Lieferkettensicherheits-Richtlinie gemäß NIS2 Artikel 21(2)(d) für unsere Organisation im Sektor [Sektor]. Einschließen: Methodik und Kriterien zur Lieferantenrisikobewertung, Sicherheitsanforderungen für verschiedene Lieferantenrisikostufen, Anforderungen an die Sicherheitsprüfung (Due Diligence) vor Vertragsabschluss, obligatorische Sicherheitsklauseln für Verträge (Auditrechte, Vorfallmeldung, Sicherheitsstandards, Kontrolle von Subunternehmern), Zeitplan für laufende Lieferantenüberwachung und -prüfung, Schwachstellenmanagement über die Lieferkette hinweg, Verfahren zur Reaktion auf lieferantenbezogene Vorfälle, Anforderungen an den Lieferantenausstieg und -übergang sowie Koordination mit sektorspezifischen Lieferkettenrisikobewertungen. Beziehe dich auf die ENISA-Leitlinien zur Lieferkettensicherheit."

Für eine umfassende Anleitung zur Umsetzung der NIS2-Lieferkettensicherheit, einschließlich Fragebögen, Frameworks zur Anbieterbewertung und vertraglichen Anforderungen, siehe So verwalten Sie die NIS2-Lieferkettensicherheit mit KI in dieser Serie.

Schritt 5: Erstellen Sie Richtlinien für Netzwerksicherheit und Schwachstellenmanagement

Artikel 21(2)(e) -- Sicherheit bei Erwerb, Entwicklung und Wartung; Handhabung von Schwachstellen

Dieser Maßnahmenbereich deckt die Sicherheit Ihrer Netz- und Informationssysteme während ihres gesamten Lebenszyklus sowie das Schwachstellenmanagement und deren Offenlegung ab.

  1. Richtlinie für sichere Entwicklung und Erwerb generieren:

    "Erstelle eine Richtlinie für sichere Entwicklung und Erwerb gemäß NIS2 Artikel 21(2)(e) für unsere Organisation. Decke ab: Sicherheitsanforderungen in Beschaffungsspezifikationen, Sicherheitsbewertung von Anbietern vor dem Erwerb, Anforderungen an den sicheren Softwareentwicklungs-Lebenszyklus (SDLC), Sicherheitstests vor dem Deployment (Code-Review, SAST, DAST, Penetrationstests), Änderungsmanagement und Sicherheits-Impact-Analyse, Patch-Management und Update-Verfahren, Standards für sichere Konfiguration und Härtungsrichtlinien, Verfahren für die Stilllegung und sichere Entsorgung sowie Sicherheitsmanagement von Open-Source-Software."

  2. Schwachstellenmanagement-Richtlinie generieren:

    "Erstelle eine Schwachstellenmanagement-Richtlinie gemäß NIS2 Artikel 21(2)(e) für unsere Organisation im Sektor [Sektor]. Decke ab: Quellen zur Identifizierung von Schwachstellen (Scanning, Threat Intelligence, Herstellerhinweise, CERT-Warnungen), Umfang und Häufigkeit von Schwachstellen-Scans (wöchentlich für kritische Systeme, monatlich für andere), Klassifizierung und Priorisierung von Schwachstellen (CVSS-Scoring, Exploitfähigkeit, Geschäftskontext), Zeitrahmen für die Behebung nach Schweregrad (kritisch: 24-72 Stunden, hoch: 7 Tage, mittel: 30 Tage, niedrig: 90 Tage), Ausnahmeregelungen und Risikoakzeptanzprozess für verzögertes Patching, Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD), Meldung von Schwachstellen durch Mitarbeiter und externe Forscher, Notfall-Patching-Verfahren und OT/ICS-spezifische Überlegungen zum Schwachstellenmanagement für [Sektor]."

OT/ICS-Überlegungen: Wenn Ihre Organisation in den Sektoren Energie, Wasser, Transport oder Fertigung tätig ist, muss Ihre Schwachstellenmanagement-Richtlinie die einzigartigen Herausforderungen beim Patching von Systemen der Betriebstechnik (OT) berücksichtigen, bei denen Verfügbarkeit Vorrang hat und Wartungsfenster begrenzt sind. Bitten Sie ISMS Copilot, OT-spezifische Bestimmungen aufzunehmen.

Schritt 6: Erstellen Sie die Richtlinie zur Wirksamkeitsbewertung

Artikel 21(2)(f) -- Konzepte und Verfahren zur Bewertung der Wirksamkeit

NIS2 verlangt von Ihnen, regelmäßig zu bewerten, ob Ihre Cybersicherheitsmaßnahmen tatsächlich funktionieren. Dies geht über das reine Vorhandensein von Kontrollen hinaus – Sie müssen deren Wirksamkeit testen und verifizieren.

  1. Sicherheitsprüfungs- und Bewertungsrichtlinie generieren:

    "Erstelle eine Richtlinie zur Sicherheitsprüfung und Wirksamkeitsbewertung gemäß NIS2 Artikel 21(2)(f) für unsere [wesentliche/wichtige] Einrichtung. Decke ab: Arten von Wirksamkeitsbewertungen (Schwachstellenanalysen, Penetrationstests, Red-Team-Übungen, Tabletop-Übungen, Kontrollprüfungen), Umfang und Häufigkeit der Bewertungen (mindestens jährlich für umfassende Tests, vierteljährlich für Hochrisikobereiche), Anforderungen an interne vs. externe Tests, Testmethodik und Standards (OWASP, PTES, NIST SP 800-115), Metriken und KPIs zur Messung der Cybersicherheitswirksamkeit, Berichterstattung der Bewertungsergebnisse an das Leitungsorgan, Nachverfolgung von Korrekturmaßnahmen und Verifizierung der Behebung, Integration in Aktualisierungen der Risikobewertung sowie Anforderungen an die kontinuierliche Überwachung."

  2. Internes Cybersicherheits-Auditverfahren generieren:

    "Erstelle ein internes Cybersicherheits-Auditverfahren für die NIS2-Compliance. Decke ab: Audit-Umfang, der alle zehn Maßnahmenbereiche nach Artikel 21(2) abdeckt, Auditplanung und Terminierung (jährlicher Zyklus), Unabhängigkeit der Auditoren und Anforderungen an deren Kompetenz, Auditmethodik (Dokumentenprüfung, Interviews, technische Tests, Stichprobenprüfung), Format der Auditberichte mit nach Schweregrad kategorisierten Feststellungen, Management-Antwort und Anforderungen an Korrekturmaßnahmen, Follow-up-Verifizierung von Korrekturmaßnahmen sowie Berichterstattung über Auditergebnisse an das Leitungsorgan."

Schritt 7: Erstellen Sie die Richtlinie für Cyberhygiene und Schulung

Artikel 21(2)(g) -- Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen

NIS2 Artikel 20 schreibt ausdrücklich vor, dass Mitglieder von Leitungsorganen an Cybersicherheitsschulungen teilnehmen müssen und dass Einrichtungen alle Mitarbeiter zur regelmäßigen Teilnahme an Schulungen anhalten. Artikel 21(2)(g) weitet dies auf grundlegende Verfahren der Cyberhygiene aus.

  1. Cyberhygiene- und Bewusstseinsrichtlinie generieren:

    "Erstelle eine Schulungsrichtlinie für Cyberhygiene und Bewusstsein gemäß NIS2 Artikel 21(2)(g) und den Schulungsanforderungen nach Artikel 20. Decke ab: obligatorische Cybersicherheitsschulungen für Mitglieder des Leitungsorgans (Inhalt, Häufigkeit, Nachweise), rollenbasierte Schulungen für alle Mitarbeiter (IT/Sicherheit, allgemeines Personal, Auftragnehmer), Anforderungen an die Sicherheitseinführung für neue Mitarbeiter, grundlegende Cyberhygiene-Praktiken, die unternehmensweit einzuführen sind (Passwortmanagement, Phishing-Bewusstsein, Clean Desk, Gerätesicherheit, sicheres Surfen, Wechselmedien), Phishing-Simulationen und Social-Engineering-Tests, Messung und Bewertung der Schulungswirksamkeit, laufende Awareness-Aktivitäten (Newsletter, Warnungen, Security Champions), sektorspezifische Sicherheitsbewusstsein für [Sektor]-Operationen, Schulungsunterlagen und Nachweisdokumentation sowie jährlicher Schulungsplan mit Kalender."

Nachweis von Schulungen für das Leitungsorgan: Aufsichtsbehörden werden gezielt prüfen, ob die Mitglieder des Leitungsorgans Cybersicherheitsschulungen gemäß Artikel 20(2) absolviert haben. Erstellen Sie ein Schulungsprogramm auf Board-Ebene und führen Sie Protokoll über die Teilnahme. Dies ist eines der ersten Dinge, die Auditoren bei NIS2-Inspektionen verifizieren.

Schritt 8: Erstellen Sie die Kryptografie- und Verschlüsselungsrichtlinie

Artikel 21(2)(h) -- Kryptografie und Verschlüsselung

NIS2 erfordert Konzepte für den Einsatz von Kryptografie und, wo angemessen, Verschlüsselung zum Schutz der Vertraulichkeit und Integrität von Daten.

  1. Kryptografie- und Verschlüsselungsrichtlinie generieren:

    "Erstelle eine Kryptografie- und Verschlüsselungsrichtlinie gemäß NIS2 Artikel 21(2)(h) für unsere Organisation im Sektor [Sektor]. Decke ab: zugelassene kryptografische Algorithmen und Schlüssellängen (ausgerichtet an ENISA und nationalen Empfehlungen), Anforderungen an die Datenverschlüsselung nach Klassifizierung (Data at rest, Data in transit, Data in use), Standards für die TLS/SSL-Konfiguration (Minimum TLS 1.2, bevorzugt TLS 1.3), E-Mail-Verschlüsselung und digitale Signaturen, Anforderungen an die Festplattenvollverschlüsselung für Endgeräte und mobile Geräte, Standards für Datenbankverschlüsselung, Lebenszyklus des kryptografischen Schlüsselmanagements (Erzeugung, Verteilung, Speicherung, Rotation, Widerruf, Vernichtung), Einsatz von Hardware-Sicherheitsmodulen (HSM) falls zutreffend, Zertifikatsmanagement und PKI-Governance, Bewusstsein für Post-Quanten-Kryptografie und Migrationsplanung, sektorspezifische Kryptografie-Anforderungen für [Sektor] sowie verbotene Algorithmen und Protokolle (MD5, SHA-1, DES, SSL 3.0, TLS 1.0/1.1)."

Schritt 9: Erstellen Sie Richtlinien für HR-Sicherheit, Zugriffskontrolle und Asset-Management

Artikel 21(2)(i) -- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Asset-Management

Dieser kombinierte Maßnahmenbereich deckt drei miteinander verbundene Domänen ab. Sie sollten separate Richtlinien für jede erstellen, um Klarheit und Verwaltbarkeit zu gewährleisten.

  1. Personal-Sicherheitsrichtlinie generieren:

    "Erstelle eine Personal-Sicherheitsrichtlinie gemäß NIS2 Artikel 21(2)(i) für unsere Organisation. Decke ab: Sicherheitsüberprüfung vor der Einstellung (Hintergrundprüfungen, Referenzverifizierung), Sicherheitsklauseln in Arbeitsverträgen, Sicherheitsbewusstsein während des Onboardings, Sicherheitsverantwortlichkeiten während des Arbeitsverhältnisses, Disziplinarverfahren bei Sicherheitsverstößen, Verfahren bei Beendigung des Arbeitsverhältnisses und Rollenwechsel (Entzug von Zugriffsrechten, Rückgabe von Assets, Wissenstransfer), Sicherheitsanforderungen für Auftragnehmer und externes Personal sowie Vertraulichkeits- und Geheimhaltungsvereinbarungen."

  2. Zugriffskontrollrichtlinie generieren:

    "Erstelle eine Zugriffskontrollrichtlinie gemäß NIS2 Artikel 21(2)(i) für unsere Organisation im Sektor [Sektor]. Decke ab: Prinzipien der Zugriffskontrolle (Least Privilege, Need-to-know, Aufgabentrennung), Verfahren zur Zuweisung und zum Entzug von Benutzerzugriffen, Zeitplan für die Überprüfung und Rezertifizierung von Zugriffen (vierteljährlich für privilegierte Zugriffe, halbjährlich für Standardzugriffe), Anforderungen an das Privileged Access Management (PAM), Sicherheitsanforderungen für Fernzugriffe, Zugriffskontrollen für Dritte und Auftragnehmer, Anforderungen an die Protokollierung und Überwachung von Zugriffen, Verwaltung von Dienstkonten, Implementierung von rollenbasierter Zugriffskontrolle (RBAC) sowie Notfall-Zugriffsverfahren."

  3. Asset-Management-Richtlinie generieren:

    "Erstelle eine Asset-Management-Richtlinie gemäß NIS2 Artikel 21(2)(i) für unsere Organisation. Decke ab: Anforderungen an das Asset-Inventar (Hardware, Software, Informationen, Dienste, Personen), Kriterien für die Asset-Klassifizierung und Handhabungsregeln, Zuweisung von Asset-Eigentümern und -Verantwortlichen, Asset-Lifecycle-Management (Beschaffung, Einsatz, Wartung, Entsorgung), Regeln für die akzeptable Nutzung von Assets, BYOD-Richtlinie (Bring Your Own Device), Kontrollen für Wechselmedien sowie Verfahren für die sichere Entsorgung und Vernichtung."

Schritt 10: Erstellen Sie die Richtlinie für Authentifizierung und sichere Kommunikation

Artikel 21(2)(j) -- MFA, kontinuierliche Authentifizierung und gesicherte Kommunikation

NIS2 hebt explizit die Multi-Faktor-Authentifizierung, Lösungen für die kontinuierliche Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme hervor.

  1. Authentifizierungsrichtlinie generieren:

    "Erstelle eine Authentifizierungsrichtlinie gemäß NIS2 Artikel 21(2)(j) für unsere [wesentliche/wichtige] Einrichtung. Decke ab: Anforderungen an die Multi-Faktor-Authentifizierung (MFA) -- obligatorisch für alle Fernzugriffe, privilegierten Konten, kritischen Systeme und Cloud-Dienste, zugelassene MFA-Methoden (Hardware-Token, Authentifikator-Apps, FIDO2) unter Bevorzugung Phishing-resistenter Methoden, Überlegungen zu kontinuierlicher Authentifizierung und adaptivem Zugriff, Passwortrichtlinie (Mindestlänge, Komplexität, Rotation, Verbot der Wiederverwendung), Leitfaden zur Implementierung von Single Sign-On (SSO), Service-to-Service-Authentifizierung (API-Keys, Zertifikate, Dienstkonten), Governance für biometrische Authentifizierung, Authentifizierung für OT/ICS-Umgebungen falls zutreffend sowie Protokollierung und Anomalieerkennung bei der Authentifizierung."

  2. Richtlinie für sichere Kommunikation generieren:

    "Erstelle eine Richtlinie für sichere Kommunikation gemäß NIS2 Artikel 21(2)(j) für unsere Organisation. Decke ab: Anforderungen an gesicherte Sprachkommunikation (verschlüsseltes VoIP, sichere mobile Kommunikation), Standards für gesicherte Videokonferenzen (zugelassene Plattformen, Verschlüsselungsanforderungen), gesicherte Textkommunikation und Messaging (zugelassene Enterprise-Messaging-Plattformen, Verbot von Consumer-Messengern für sensible Daten), E-Mail-Sicherheit (TLS-Erzwingung, S/MIME oder PGP für sensible Kommunikation), gesicherte Notfallkommunikationssysteme (Out-of-Band-Kommunikationskanäle für die Vorfallsreaktion, Krisenkommunikationstools, die funktionieren, wenn Primärsysteme kompromittiert sind) sowie Data Loss Prevention (DLP) Kontrollen für Kommunikationskanäle."

Notfallkommunikation: NIS2 verlangt ausdrücklich gesicherte Notfallkommunikationssysteme. Das bedeutet, dass Sie einen Kommunikationskanal benötigen, der auch dann betriebsbereit bleibt, wenn Ihr primäres Netzwerk oder Ihre Informationssysteme kompromittiert sind. Dokumentieren Sie Ihren Out-of-Band-Kommunikationsplan und testen Sie ihn regelmäßig.

Schritt 11: Überprüfen, abgleichen und genehmigen Sie Ihren Richtliniensatz

Gewährleistung der Konsistenz über alle Richtlinien hinweg

Nachdem alle zehn Maßnahmenbereiche abgedeckt sind, überprüfen Sie den vollständigen Richtliniensatz auf Konsistenz, Querverweise und Vollständigkeit.

  1. Führen Sie einen Konsistenzcheck durch:

    "Überprüfe die folgenden NIS2-Richtliniendokumente auf Konsistenz. Prüfe: (1) Terminologie wird in allen Richtlinien konsistent verwendet, (2) Rollen und Verantwortlichkeiten widersprechen sich nicht, (3) Querverweise zwischen den Richtlinien sind korrekt, (4) alle zehn Maßnahmenbereiche nach Artikel 21(2) sind vollständig abgedeckt, (5) alle Richtlinien beziehen sich auf die übergreifende Informationssicherheitsrichtlinie, (6) Überprüfungszyklen und Genehmigungsprozesse sind konsistent, (7) es gibt keine Lücken zwischen den Richtlinien, durch die eine Anforderung fallen könnte."

  2. Erstellen Sie einen Index für das Richtlinien-Framework:

    "Erstelle einen Index für das NIS2-Cybersecurity-Richtlinien-Framework, der Folgendes zuordnet: jeden Maßnahmenbereich nach Artikel 21(2) zu dem/den entsprechenden Richtliniendokument(en), den Dokumenteneigner, die Genehmigungsinstanz (Leitungsorgan vs. CISO), die Überprüfungshäufigkeit, die aktuelle Version, das Datum der letzten Überprüfung und das Datum der nächsten Überprüfung. Formatiere dies als Tabelle, die als Audit-Nachweis geeignet ist."

  3. Erstellen Sie das Paket zur Genehmigung durch das Leitungsorgan:

    "Erstelle ein Genehmigungspaket für unser NIS2-Cybersecurity-Richtlinienset zur Vorlage beim Leitungsorgan. Einschließen: Executive Summary aller erstellten Richtlinien, wie sie gemeinsam die Anforderungen von Artikel 21(2) erfüllen, eine einseitige Zusammenfassung der wichtigsten Bestimmungen jeder Richtlinie, die spezifischen Genehmigungs- und Überwachungspflichten des Leitungsorgans nach Artikel 20, der vorgeschlagene Zeitplan für Überprüfungen und Aktualisierungen sowie eine Vorlage für einen Vorstandsbeschluss zur formalen Annahme der Richtlinien."

Abnahme durch das Leitungsorgan: Gemäß Artikel 20 muss das Leitungsorgan die Maßnahmen des Cybersicherheits-Risikomanagements genehmigen. Dies schließt den Richtliniensatz ein. Planen Sie eine dedizierte Sitzung ein, um das Richtlinien-Framework zu prüfen und förmlich zu genehmigen. Protokollieren Sie die Genehmigung in den Sitzungsprotokollen und bewahren Sie diese als Audit-Nachweis auf. Das Leitungsorgan kann die tägliche Überwachung delegieren, aber nicht die Verantwortung.

Pflege und Aktualisierung Ihrer Richtlinien

Lebenszyklusmanagement von Richtlinien

NIS2-Richtlinien sind lebende Dokumente, die aktualisiert werden müssen, wenn:

  • Sich Ergebnisse der Risikobewertung ändern

  • Vorfälle Lücken in den Richtlinien aufdecken

  • Neue Bedrohungen auftreten, die aktualisierte Kontrollen erfordern

  • Organisatorische Änderungen den Geltungsbereich oder die Verantwortlichkeiten beeinflussen

  • Nationale Umsetzungsgesetze aktualisiert werden

  • Technologische Änderungen aktualisierte technische Kontrollen erfordern

  • Wirksamkeitsbewertungen Verbesserungsbereiche identifizieren

"Erstelle ein Verfahren zur Überprüfung und Aktualisierung unserer NIS2-Richtlinien. Einschließen: planmäßiger Überprüfungszyklus (mindestens jährlich für alle Richtlinien), Trigger-Ereignisse für außerplanmäßige Überprüfungen, Überprüfungsprozess (Inhaltsprüfung, Konsultation von Stakeholdern, Genehmigung durch das Leitungsorgan), Verfahren zur Versionskontrolle und Änderungsnachverfolgung, Kommunikation von Richtlinienaktualisierungen an betroffenes Personal sowie Archivierungsanforderungen für ersetzte Versionen."

Nächste Schritte

Mit Ihrem vollständigen, erstellten und genehmigten NIS2-Richtliniensatz haben Sie das dokumentarische Fundament für die Compliance gelegt.

Fahren Sie mit den nächsten Leitfäden dieser Serie fort:

  • Vorfallmeldung: Siehe So implementieren Sie die NIS2-Vorfallmeldung mit KI, um die operativen Workflows, Vorlagen und Playbooks zu erstellen, die Ihre Incident Response Richtlinie operationalisieren.

  • Lieferkettensicherheit: Siehe So verwalten Sie die NIS2-Lieferkettensicherheit mit KI, um die Lieferantenbewertungen und Fragebögen umzusetzen, die in Ihrer Lieferkettensicherheits-Richtlinie beschrieben sind.

Falls Sie die Risikobewertung noch nicht abgeschlossen haben, siehe So führen Sie eine NIS2-Risikobewertung mit KI durch – Ihre Richtlinien sollten auf den Ergebnissen Ihrer Risikobewertung basieren. Für die Ersteinrichtung und Definition des Geltungsbereichs starten Sie mit Wie Sie mit der NIS2-Umsetzung unter Einsatz von KI beginnen.

Für gebrauchsfertige Prompts zur Richtlinienerstellung besuchen Sie die NIS2 Directive Prompt Library. Einen umfassenden Überblick über alle NIS2-Anforderungen finden Sie im NIS2 Compliance Guide for In-Scope Companies.

Hilfe erhalten

Für zusätzliche Unterstützung bei der Erstellung von NIS2-Richtlinien:

  • Fragen Sie ISMS Copilot: Nutzen Sie Ihren NIS2-Workspace für laufende Fragen zu Richtlinien, Anpassungen und Aktualisierungen

  • Bestehende Richtlinien hochladen: Erhalten Sie eine KI-gestützte Gap-Analyse, um zu identifizieren, was erstellt, aktualisiert oder verstärkt werden muss

  • Branchenanpassung: Fragen Sie nach sektorspezifischen Bestimmungen, die Sie generischen Richtlinienvorlagen hinzufügen können (besonders wichtig für die Sektoren Energie, Gesundheit, Verkehr und digitale Infrastruktur)

  • Abgleich mit nationaler Umsetzung: Fragen Sie nach zusätzlichen Anforderungen, die Ihr Mitgliedstaat über den Basisstandard der Richtlinie hinaus festgelegt hat

Bereit, Ihren NIS2-Richtliniensatz zu generieren? Öffnen Sie Ihren NIS2-Workspace auf chat.ismscopilot.com und beginnen Sie mit der übergreifenden Informationssicherheitsrichtlinie. Gehen Sie dann systematisch jeden Maßnahmenbereich durch. Mit ISMS Copilot können Sie einen vollständigen, revisionssicheren Richtliniensatz in Tagen statt in Monaten erstellen.

War das hilfreich?