ISMS Copilot
NIS2 mit KI

Erste Schritte bei der NIS2-Umsetzung mit KI

Überblick

Sie erfahren, wie Sie KI nutzen können, um mit der Umsetzung der NIS2-Richtlinie zu beginnen – von der Feststellung, ob Ihr Unternehmen in den Anwendungsbereich fällt, über das Verständnis der Pflichten für wesentliche gegenüber wichtigen Einrichtungen und die Einholung der Genehmigung der Geschäftsführung gemäß Artikel 20 bis hin zur Durchführung einer Gap-Analyse gemäß Artikel 21 und der Erstellung einer handlungsorientierten Roadmap zur Umsetzung mit dem ISMS Copilot.

Für wen dieser Leitfaden ist

Dieser Leitfaden richtet sich an:

  • CISOs und Compliance-Verantwortliche in Organisationen, die möglicherweise unter den NIS2-Anwendungsbereich fallen

  • Mitglieder der Geschäftsführung/Leitungsorgane, die ihre persönliche Haftung gemäß der Richtlinie verstehen müssen

  • Sicherheitsberater, die Kunden in EU-Mitgliedstaaten zur NIS2-Bereitschaft beraten

  • IT- und Risikomanager, die für die Operationalisierung der NIS2-Anforderungen verantwortlich sind

  • GRC-Teams, die NIS2 neben anderen Frameworks wie ISO 27001, DORA oder DSGVO verwalten

Bevor Sie beginnen

Sie benötigen:

  • Einen ISMS Copilot Account (kostenlose Testversion verfügbar)

  • Kenntnisse über die Sektorklassifizierung Ihres Unternehmens, die Mitarbeiterzahl und den Jahresumsatz

  • Zugriff auf Ihre aktuellen Informationssicherheitsrichtlinien und das Kontrollinventar (falls vorhanden)

  • Kontaktdaten Ihrer nationalen zuständigen Behörde und des CSIRT

  • Zugang zur Unternehmensleitung für Governance- und Freigabegespräche

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) trat am 18. Oktober 2024 in Kraft. Die EU-Mitgliedstaaten haben die Richtlinie in nationales Recht umgesetzt oder setzen sie gerade um, wobei potenziell Anforderungen hinzugefügt werden, die über den Basisschutz hinausgehen. Wenn Ihr Unternehmen in den Anwendungsbereich fällt, sind die Compliance-Verpflichtungen ab sofort aktiv.

NIS2 verstehen und warum KI für die Umsetzung wichtig ist

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist die aktualisierte Cybersicherheitsgesetzgebung der Europäischen Union, die die ursprüngliche NIS-Richtlinie (2016/1148) ersetzt. Sie legt umfassende Sicherheits- und Vorfallmeldeanforderungen für wesentliche und wichtige Einrichtungen in 18 kritischen Sektoren fest. NIS2 erweitert den Kreis der betroffenen Organisationen erheblich, stärkt Governance und Rechenschaftspflicht, harmonisiert Sanktionen in den Mitgliedstaaten und führt strengere Zeitpläne für die Meldung von Vorfällen ein.

NIS2 basiert auf drei zentralen Pflichtpfeilern:

  • Artikel 20 – Governance: Genehmigung durch das Leitungsorgan, Überwachung, Schulung und persönliche Haftung

  • Artikel 21 – Risikomanagementmaßnahmen: Zehn Cybersicherheitsbereiche, die alles von der Risikoanalyse bis zur Multi-Faktor-Authentifizierung abdecken

  • Artikel 23 – Berichterstattungspflichten: Zeitpläne für eine 24-Stunden-Frühwarnung, eine 72-Stunden-Meldung und einen Abschlussbericht nach einem Monat

Haftung der Geschäftsführung: Gemäß Artikel 20 können Mitglieder des Leitungsorgans für die Nichteinhaltung von NIS2-Cybersicherheitsrisikomanagementmaßnahmen persönlich haftbar gemacht werden. Dies ist kein hypothetisches Risiko – die nationalen Umsetzungsgesetze in den EU-Mitgliedstaaten enthalten Durchsetzungsbestimmungen für die individuelle Rechenschaftspflicht.

Die Herausforderung der Umsetzung ohne KI

Die NIS2-Umsetzung ist anspruchsvoll aufgrund von:

  • Komplexität des Anwendungsbereichs: Die Bestimmung der Anwendbarkeit über Sektoren, Schwellenwerte für die Größe und nationale Umsetzungen hinweg erfordert eine detaillierte Analyse

  • Breite der Anforderungen: Artikel 21 deckt zehn verschiedene Bereiche von Cybersicherheitsmaßnahmen ab, die jeweils eigene Richtlinien, Verfahren und Kontrollen erfordern

  • Dokumentationsvolumen: Erstellung auditfähiger Richtlinien, Risikobewertungen, Incident-Playbooks und Lieferkettenbewertungen über alle Maßnahmenbereiche hinweg

  • Komplexität bei mehreren Rechtsordnungen: Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, müssen nationale Umsetzungsunterschiede verfolgen

  • Knappe Zeitpläne: Die Durchsetzung läuft, und Aufsichtsbehörden können jederzeit Inspektionen durchführen

Wie der ISMS Copilot die NIS2-Umsetzung beschleunigt

Der ISMS Copilot bietet zweckgebundene KI-Unterstützung für NIS2:

  • Ermittlung des Anwendungsbereichs: Analysieren Sie Ihren Sektor, Ihre Größe und Ihre Dienstleistungen, um die Einstufung als wesentliche oder wichtige Einrichtung zu bestimmen

  • Gap-Analyse: Laden Sie vorhandene Dokumentationen hoch und identifizieren Sie Lücken in Bezug auf alle Maßnahmenbereiche nach Artikel 21

  • Richtlinienerstellung: Entwurf auditfähiger Richtlinien für jeden der zehn erforderlichen Cybersicherheitsbereiche

  • Vorlagen für die Meldung von Vorfällen: Generieren Sie Workflows für 24-Stunden-, 72-Stunden- und Abschlussberichte gemäß Artikel 23

  • Lieferkettenbewertungen: Erstellen Sie Sicherheitsfragebögen für Anbieter und Frameworks zur Risikobewertung

  • Framework-spezifisches Wissen: Erhalten Sie Antworten auf der Grundlage von NIS2-Artikeln, Erwägungsgründen und ENISA-Leitfäden – keine generischen Internetergebnisse

Organisationen, die eine KI-gestützte NIS2-Umsetzung nutzen, reduzieren ihren Dokumentationsaufwand in der Regel um 50–70 % und erstellen gleichzeitig Ergebnisse, die von Anfang an einer Auditprüfung standhalten.

Schritt 1: Bestimmen Sie Ihren NIS2-Anwendungsbereich

Sektorklassifizierung

NIS2 gilt für mittlere und große Unternehmen (50+ Mitarbeiter ODER Jahresumsatz/Bilanzsumme von 10 Mio. EUR oder mehr), die in 18 festgelegten Sektoren tätig sind. Der erste Schritt besteht darin, zu prüfen, ob die Aktivitäten Ihrer Organisation in diese Sektoren fallen.

Wesentliche Einrichtungen (Anhang I – Hohe Kritikalität):

Sektor

Beispiele

Energie

Strom, Fernwärme/-kälte, Öl, Gas, Wasserstoff

Verkehr

Luft-, Eisenbahn-, Schiffs-, Straßenverkehrsunternehmen

Bankwesen

Kreditinstitute

Finanzmarktinfrastrukturen

Handelsplätze, zentrale Gegenparteien

Gesundheitswesen

Erbringer von Gesundheitsleistungen, Referenzlabore, pharmazeutische Forschung/Herstellung, Medizinproduktehersteller

Trinkwasser

Wasserversorgung und -verteilung

Abwasser

Sammlung, Entsorgung, Behandlung von Abwasser

Digitale Infrastruktur

IXPs, DNS-Anbieter, TLD-Register, Cloud-Dienste/Rechenzentren/CDNs, Vertrauensdienste, Telekommunikation

Verwaltete Dienste (B2B)

Managed Service Provider, Managed Security Service Provider

Öffentliche Verwaltung

Einrichtungen der Zentralregierungen und regionalen Behörden

Weltraum

Betreiber von bodengestützter Infrastruktur

Wichtige Einrichtungen (Anhang II):

Sektor

Beispiele

Post- und Kurierdienste

Universaldienstleister, Expresszustellung

Abfallbewirtschaftung

Entsorger gefährlicher und nicht gefährlicher Abfälle

Chemikalien

Herstellung und Vertrieb von Chemikalien

Lebensmittel

Produktion, Verarbeitung, Vertrieb von Lebensmitteln

Verarbeitendes Gewerbe/Herstellung

Medizinprodukte, In-vitro-Diagnostika, Elektronik, Optik, elektrische Ausrüstung, Maschinenbau, Kraftfahrzeuge, sonstiger Fahrzeugbau

Digitale Dienste

Online-Marktplätze, Suchmaschinen, soziale Netzwerke

Forschungseinrichtungen

Forschungsorganisationen (sofern Ergebnisse kommerziell verwertet werden)

Einige Organisationen unterhalb der Standard-Größenschwellenwerte können dennoch in den Anwendungsbereich fallen, wenn sie der alleinige Anbieter eines kritischen Dienstes in einem Mitgliedstaat sind, wenn ihre Störung erhebliche systemische Auswirkungen hätte oder wenn sie nach nationalem Umsetzungsrecht benannt werden. Überprüfen Sie dies immer bei der zuständigen Behörde Ihres Mitgliedstaats.

KI zur Bestimmung des Anwendungsbereichs nutzen

  1. Öffnen Sie den ISMS Copilot unter chat.ismscopilot.com

  2. Führen Sie eine Bewertung des Anwendungsbereichs durch:

    "Prüfe, ob unser Unternehmen unter den NIS2-Anwendungsbereich fällt. Wir sind ein Unternehmen im Sektor [Sektor] mit [Anzahl] Mitarbeitern und einem Jahresumsatz von [Betrag] EUR und sind in [EU-Mitgliedstaaten] tätig. Unsere Hauptaktivitäten umfassen [Dienstleistungen beschreiben]. Bestimme, ob wir als wesentliche oder wichtige Einrichtung gelten, welcher Mitgliedstaat zuständig ist und welche spezifischen Verpflichtungen gelten."

  3. Prüfen Sie auf Sonderfälle:

    "Wir liegen unter den Standard-NIS2-Größenschwellenwerten, bieten aber [kritischen Dienst beschreiben] an. Könnten wir dennoch unter die Ausnahmen von Artikel 2 oder nationale Umsetzungsvorschriften fallen? Welche Kriterien würden eine Einbeziehung auslösen?"

  4. Dokumentieren Sie die Entscheidung über den Anwendungsbereich:

    "Erstelle eine formelle NIS2-Geltungsbereichserklärung für unsere Organisation, die Folgendes dokumentiert: Sektorklassifizierung, Analyse der Größenschwellenwerte, Einteilung der Einrichtung (wesentlich/wichtig), anwendbare Zuständigkeit des Mitgliedstaats und die Begründung für unsere Bestimmung. Formatiere dies als prüfungsbereites Dokument."

Für Berater, die mehrere Kunden verwalten: Erstellen Sie für jedes NIS2-Projekt eines Kunden einen separaten ISMS Copilot-Workspace. Legen Sie benutzerdefinierte Anweisungen mit dem Sektor, der Größe, dem Mitgliedstaat und dem aktuellen Reifegrad des Kunden fest, damit jede Antwort automatisch auf dieses spezifische Mandat zugeschnitten ist.

Schritt 2: Den Unterschied zwischen den Pflichten für wesentliche und wichtige Einrichtungen verstehen

Warum die Einstufung wichtig ist

Ihre Einstufung als wesentliche oder wichtige Einrichtung bestimmt direkt Ihr Aufsichtsregime, das Sanktionsrisiko und die Intensität der Verpflichtungen gemäß NIS2.

Aspekt

Wesentliche Einrichtungen

Wichtige Einrichtungen

Aufsicht

Proaktiv (ex-ante) – Behörden können jederzeit prüfen

Reaktiv (ex-post) – Behörden untersuchen nach Vorfällen oder Hinweisen auf Nichteinhaltung

Höchstbußgelder

10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist

7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist

Haftung der Geschäftsführung

Persönliche Haftung für Mitglieder des Leitungsorgans

Persönliche Haftung für Mitglieder des Leitungsorgans

Maßnahmen nach Art. 21

Vollständige Umsetzung aller zehn Maßnahmenbereiche

Vollständige Umsetzung aller zehn Maßnahmenbereiche (risikoangemessen)

Meldung von Vorfällen

24h/72h/1 Monat Berichterstattung an das CSIRT

24h/72h/1 Monat Berichterstattung an das CSIRT

Zusätzliche Durchsetzung

Aussetzung von Zertifizierungen, Verbot von Managementrollen

Warnungen, verbindliche Anweisungen, Compliance-Anordnungen

Entscheidender Unterschied: Während beide Einrichtungstypen dieselben zehn Maßnahmenbereiche nach Artikel 21 umsetzen müssen, unterliegen wesentliche Einrichtungen einer proaktiven Aufsicht – das heißt, Behörden können jederzeit Nachweise über die Einhaltung verlangen, ohne auf einen Vorfall warten zu müssen. Dies erfordert jederzeit ein höheres Maß an Audit-Bereitschaft.

Pflichten mit KI analysieren

Bitten Sie den ISMS Copilot, die spezifischen Verpflichtungen für Ihre Einstufung aufzuschlüsseln:

"Wir wurden als [wesentliche/wichtige] Einrichtung unter NIS2 in [Mitgliedstaat] eingestuft. Erstelle eine umfassende Verpflichtungsmatrix, die zeigt: jede Anforderung der Artikel 20, 21 und 23, was wir konkret umsetzen müssen, welches Aufsichts- und Durchsetzungsregime uns erwartet und welche Sanktionen bei Nichteinhaltung in jedem Pflichtenbereich drohen."

Schritt 3: Die Genehmigung des Leitungsorgans sichern und die persönliche Haftung adressieren

Warum Artikel 20 Governance an erster Stelle steht

Artikel 20 der NIS2 verlangt, dass das Leitungsorgan (Vorstand, Geschäftsführung oder ein gleichwertiges Leitungsorgan) Cybersicherheitsrisikomanagementmaßnahmen formell genehmigt und deren Umsetzung überwacht. Dies ist nicht optional – es ist eine gesetzliche Verpflichtung, mit der eine persönliche Haftung verbunden ist.

Konkret fordert Artikel 20:

  • Mitglieder des Leitungsorgans müssen die gemäß Artikel 21 ergriffenen Cybersicherheitsrisikomanagementmaßnahmen billigen

  • Mitglieder des Leitungsorgans müssen die Umsetzung dieser Maßnahmen überwachen

  • Mitglieder des Leitungsorgans können für Verstöße persönlich haftbar gemacht werden

  • Mitglieder des Leitungsorgans müssen an Cybersicherheitsschulungen teilnehmen und regelmäßige Schulungen für Mitarbeiter fördern

Die persönliche Haftung ist real: Im Gegensatz zu vielen Cybersicherheits-Frameworks, in denen Governance eher ein Bestreben ist, schafft NIS2 eine direkte rechtliche Verbindung zwischen den Mitgliedern des Leitungsorgans und den Compliance-Ergebnissen. Nationale Umsetzungsgesetze können Bestimmungen über die vorübergehende Aussetzung von Managementfunktionen bei schwerwiegender Nichteinhaltung enthalten.

Erstellung des Management-Briefings mit KI

  1. Erstellen Sie ein vorstandsreifes Briefing:

    "Erstelle ein Executive Briefing zu den Pflichten aus der NIS2-Richtlinie für das Leitungsorgan eines Unternehmens im Sektor [Sektor], das als [wesentliche/wichtige] Einrichtung eingestuft ist. Decke ab: was NIS2 speziell vom Leitungsorgan verlangt, Bestimmungen zur persönlichen Haftung gemäß Artikel 20, die drohenden Sanktionen (bis zu [10M/7M] EUR oder [2%/1,4%] des weltweiten Umsatzes), das Aufsichtsregime und welche Entscheidungen einer Genehmigung auf Vorstandsebene bedürfen. Formatiere dies für eine 30-minütige Vorstandspräsentation."

  2. Entwurf eines Beschlusses des Leitungsorgans:

    "Entwirf einen formellen Beschluss des Leitungsorgans zur Genehmigung der Einführung von NIS2-Cybersicherheitsrisikomanagementmaßnahmen für unsere Organisation. Füge hinzu: Anerkennung der NIS2-Verpflichtungen, Genehmigung des Rahmens für das Cybersicherheitsrisikomanagement, Benennung verantwortlicher Personen, Verpflichtung zu laufender Überwachung und Schulung sowie Autorisierung notwendiger Ressourcen."

  3. Erstellung eines Schulungsplans für das Management:

    "Entwirf ein Cybersicherheitsschulungsprogramm für Mitglieder des Leitungsorgans, das die Schulungsanforderungen von NIS2 Artikel 20 erfüllt. Inhaltsübersicht: NIS2-spezifische Governance-Pflichten, Grundlagen des Cyber-Risikos für nicht-technische Führungskräfte, Verantwortlichkeiten bei der Meldung von Vorfällen, Überwachung von Lieferkettenrisiken und wie Cybersicherheitsberichte zu bewerten sind. Gib Dauer, Häufigkeit und Dokumentation der Nachweise an."

Audit-Nachweise: Dokumentieren Sie den Vorstandsbeschluss, Protokolle der Sitzungen und Teilnahmelisten von Schulungen. Aufsichtsbehörden werden gezielt nach Beweisen suchen, dass das Leitungsorgan die Maßnahmen genehmigt hat, regelmäßig Berichte zur Cybersicherheit erhält und Schulungen absolviert hat.

Schritt 4: Durchführung einer Gap-Analyse gemäß Artikel 21

Die zehn Maßnahmenbereiche verstehen

Artikel 21 Absatz 2 verpflichtet Organisationen zur Umsetzung von Cybersicherheitsrisikomanagementmaßnahmen, die mindestens diese zehn Bereiche abdecken:

  1. (a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit in der Informationstechnik

  2. (b) Bewältigung von Vorfällen

  3. (c) Aufrechterhaltung des Dienstbetriebs, wie Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement

  4. (d) Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern

  5. (e) Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich des Umgangs mit Schwachstellen und deren Offenlegung

  6. (f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsrisikomanagementmaßnahmen

  7. (g) Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit

  8. (h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

  9. (i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen

  10. (j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme

Durchführung der Gap-Analyse mit KI

  1. Bereiten Sie Ihr Ist-Inventar vor: Bevor Sie die Gap-Analyse durchführen, sammeln Sie Ihre vorhandenen Richtlinien, Risikobewertungen, Incident-Response-Pläne, Business-Continuity-Pläne und alle Dokumentationen zu Sicherheitskontrollen.

  2. Dokumente hochladen und Analyse starten:

    "Ich lade unsere aktuelle Dokumentation zur Informationssicherheit hoch. Führe eine umfassende Gap-Analyse gegen alle zehn Maßnahmenbereiche von NIS2 Artikel 21(2) durch. Bewerte für jeden Bereich: (1) ob wir eine dokumentierte Richtlinie oder ein Verfahren haben, (2) ob der Inhalt der Richtlinie die NIS2-Anforderungen erfüllt, (3) ob es Belege für die Umsetzung gibt, (4) spezifisch identifizierte Lücken, (5) Risikostufe der Lücke (Kritisch/Hoch/Mittel/Niedrig) und (6) empfohlene Abhilfemaßnahmen mit geschätztem Aufwand."

  3. Falls Sie keine bestehende Dokumentation haben:

    "Wir beginnen mit der NIS2-Umsetzung bei null, ohne bestehende Cybersicherheitsrichtlinien. Generiere eine Baseline-Gap-Analyse, die alle zehn Maßnahmenbereiche von Artikel 21(2) als nicht konform ausweist, mit einer priorisierten Roadmap zur Behebung. Beschreibe für jeden Bereich, welche Dokumentation, Kontrollen und Nachweise wir erstellen müssen, und schätze den erforderlichen Aufwand für eine Organisation der Größe [Unternehmensgröße] im Sektor [Sektor]."

  4. Gap-Analyse-Bericht erstellen:

    "Formatiere die Ergebnisse der Gap-Analyse als formellen NIS2-Gap-Analyse-Bericht, einschließlich: Executive Summary, Methodik, detaillierte Ergebnisse pro Maßnahmenbereich nach Artikel 21(2), Gesamtwert für den Reifegrad der Compliance, priorisierter Plan zur Behebung mit Zeitplan und Ressourcenbedarf. Dieser Bericht wird unserem Leitungsorgan zur Genehmigung vorgelegt."

Grundsatz der Verhältnismäßigkeit: NIS2 verlangt, dass Maßnahmen im Verhältnis zur Risikoexposition Ihres Unternehmens, seiner Größe sowie der Wahrscheinlichkeit und Schwere potenzieller Vorfälle stehen. Ihre Gap-Analyse sollte dies widerspiegeln – die Kontrollen eines Fertigungsunternehmens mit 50 Mitarbeitern werden sich von denen eines großen Energieversorgers unterscheiden. Der ISMS Copilot schneidet die Ergebnisse auf Ihren Kontext zu, wenn Sie spezifische Organisationsdetails angeben.

Schritt 5: Einrichtung Ihres ISMS Copilot-Workspaces für NIS2

Warum ein dedizierter Workspace wichtig ist

Ein dedizierter NIS2-Workspace im ISMS Copilot stellt sicher, dass jede KI-Antwort auf Ihren Kontext der NIS2-Umsetzung zugeschnitten ist, hält Ihre Projekt-Chats und hochgeladenen Dokumente organisiert und erstellt einen Audit-Trail Ihrer Compliance-Arbeit.

Erstellen Ihres NIS2-Workspaces

  1. Loggen Sie sich beim ISMS Copilot ein unter chat.ismscopilot.com

  2. Klicken Sie auf das Workspace-Dropdown in der Seitenleiste

  3. Wählen Sie "Create new workspace"

  4. Benennen Sie Ihren Workspace nach einer klaren Konvention:

    • "NIS2 Umsetzung - [Unternehmensname]"

    • "NIS2 Compliance - [Kundenname] - [Mitgliedstaat]"

    • "NIS2 [Wesentliche/Wichtige] Einrichtung - [Sektor]"

  5. Legen Sie benutzerdefinierte Anweisungen fest, um alle Antworten anzupassen:

Focus on NIS2 Directive (EU 2022/2555) compliance.

Organization context:
- Sector: [e.g., energy, healthcare, digital infrastructure, manufacturing]
- Entity classification: [essential / important]
- Size: [employees, annual turnover]
- EU member state(s): [primary jurisdiction and other operating states]
- National transposition law: [name of national law if known]
- Current maturity: [starting from scratch / have ISO 27001 / have partial controls]

Project scope:
- Target compliance date: [date]
- Primary gaps: [list key areas from gap analysis]
- Key stakeholders: [CISO, board, legal, IT, operations]

Preferences:
- Emphasize audit-ready outputs with NIS2 article references
- Flag management body obligations under Article 20
- Include national transposition considerations where relevant
- Align with ISO 27001 where applicable for organizations pursuing both

Mit den benutzerdefinierten Anweisungen wird jeder Prompt, den Sie in diesem Workspace eingeben, Antworten erzeugen, die auf Ihren spezifischen Sektor, Ihre Einstufung, Ihren Mitgliedstaat und Ihren aktuellen Reifegrad abgestimmt sind – so entfällt das repetitive Festlegen des Kontexts.

Schritt 6: Erstellen Sie Ihre NIS2-Umsetzungs-Roadmap

Die Umsetzungsphasen verstehen

Eine NIS2-Umsetzung folgt typischerweise diesen Phasen:

Phase

Kernaktivitäten

Typische Dauer

Wesentliche Ergebnisse

1. Geltungsbereich und Governance

Bestimmung des Anwendungsbereichs, Briefing des Leitungsorgans, Beschlussfassung, Governance-Framework

2-4 Wochen

Geltungsbereichserklärung, Vorstandsbeschluss, Governance-Charta

2. Gap-Analyse

Ist-Zustands-Bewertung gegen alle Art. 21-Bereiche, Überprüfung der nationalen Umsetzung

3-6 Wochen

Gap-Analyse-Bericht, priorisierter Behebungsplan

3. Risikobewertung

All-Hazards-Risikoanalyse, Identifizierung von Assets, Bedrohungslandschaft, Risikobehandlung

4-8 Wochen

Risikomethodik, Risikoregister, Risikobehandlungsplan

4. Entwicklung von Richtlinien und Verfahren

Entwurf von Richtlinien für alle zehn Maßnahmenbereiche nach Art. 21

6-10 Wochen

Zehn Richtliniendokumente, unterstützende Verfahren

5. Technische Umsetzung

Einführung von Kontrollen: MFA, Verschlüsselung, Monitoring, Backup, Zugriffskontrollen

8-16 Wochen

Nachweise der Kontrollimplementierung, Konfigurationsprotokolle

6. Bereitschaft für Incident Response

Erstellung von Melde-Workflows, Vorlagen, Playbooks, CSIRT-Registrierung

3-5 Wochen

Matrix zur Vorfallsklassifizierung, Meldevorlagen, Playbooks

7. Sicherheit der Lieferkette

Bewertungen von Lieferanten, Fragebögen, vertragliche Aktualisierungen

4-8 Wochen

Lieferanten-Risikoregister, Fragebögen, Vertragsklauseln

8. Schulung und Sensibilisierung

Management-Schulung, Cyberhygiene für Mitarbeiter, rollenbasierte Schulungen

2-4 Wochen

Schulungsmaterialien, Teilnahmelisten, Kompetenzbewertungen

9. Wirksamkeitsprüfung

Kontrolltests, Schwachstellenbewertungen, Tabletop-Übungen

3-6 Wochen

Testergebnisse, Pläne für Korrekturmaßnahmen

10. Registrierung bei Behörden und laufende Compliance

Registrierung bei der nationalen Behörde, Etablierung einer kontinuierlichen Überwachung

2-3 Wochen

Registrierungsbestätigung, Überwachungsverfahren

Realität des Zeitplans: Eine mittelgroße Organisation, die bei null anfängt, sollte 6–12 Monate für die umfassende NIS2-Compliance einplanen. Organisationen mit bestehender ISO 27001 oder ähnlichen Frameworks können vorhandene Kontrollen nutzen und Compliance in 3–6 Monaten erreichen. Der ISMS Copilot verkürzt die Dokumentationsphasen erheblich.

Erstellung Ihrer Roadmap mit KI

  1. Einen maßgeschneiderten Umsetzungsplan erstellen:

    "Erstelle eine detaillierte NIS2-Umsetzungs-Roadmap für unsere Organisation im Sektor [Sektor] ([Anzahl] Mitarbeiter, eingestuft als [wesentliche/wichtige] Einrichtung in [Mitgliedstaat]). Wir verfügen derzeit über [vorhandene Kontrollen beschreiben: z. B. ISO 27001 zertifiziert / kein formelles ISMS / einige Richtlinien vorhanden]. Decke die Phasen auf, nenne Meilensteine, Ressourcenbedarf, Abhängigkeiten zwischen den Phasen und kritische Pfade. Ziel ist die volle Compliance bis zum [Datum]."

  2. Quick Wins identifizieren:

    "Identifiziere basierend auf unserer NIS2-Gap-Analyse die Top 10 Quick Wins, die wir in den ersten 30 Tagen erreichen können, um gegenüber unserem Leitungsorgan Fortschritte zu demonstrieren. Konzentriere dich auf Maßnahmen mit hoher Wirkung und geringem Aufwand, die auch die kritischsten Compliance-Lücken schließen."

  3. Ressourcenplan erstellen:

    "Schätze die internen und externen Ressourcen, die für eine NIS2-Umsetzung in einer Organisation der Größe [Unternehmensgröße] im Sektor [Sektor] benötigt werden. Inklusive: FTE-Bedarf nach Rolle (CISO, Security Analyst, IT, Recht, Projektmanager), potenzieller Bedarf an externen Beratern, Technologieinvestitionen und Schulungsbudget. Gib eine Kostenschätzung an."

  4. Kommunikationsplan für Stakeholder erstellen:

    "Entwickle einen Kommunikationsplan für Stakeholder für unser NIS2-Umsetzungsprojekt. Erstelle Kernbotschaften für das Leitungsorgan, Abteilungsleiter, das IT-Team, die Rechtsabteilung und alle Mitarbeiter. Definiere Kommunikationshäufigkeit, Kanäle und Eskalationspfade für jede Phase der Roadmap."

Schritt 7: Registrierung bei Ihrer nationalen zuständigen Behörde

Registrierungsanforderungen verstehen

NIS2 verlangt von wesentlichen und wichtigen Einrichtungen, sich bei der zuständigen Behörde ihres Mitgliedstaats zu registrieren. Der Registrierungsprozess variiert je nach Mitgliedstaat, erfordert aber typischerweise:

  • Name der Organisation, Adresse und Registernummer

  • Sektor- und Untersektorklassifizierung

  • Kontaktdaten der benannten Verbindungsperson

  • EU-Mitgliedstaaten, in denen das Unternehmen tätig ist

  • IP-Adressbereiche (für bestimmte Anbieter digitaler Infrastruktur)

KI zur Vorbereitung der Registrierung nutzen

"Bereite die Informationen vor, die für die Registrierung der NIS2-Einrichtung bei der zuständigen Behörde in [Mitgliedstaat] erforderlich sind. Unsere Unternehmensdaten sind: [Firmenname, Registernummer, Sektor, Dienstleistungen, tätige Mitgliedstaaten angeben]. Generiere eine Checkliste aller Informationen, die wir sammeln müssen, und entwirf die Registrierungsmeldung."

Prüfen Sie die Website Ihrer nationalen zuständigen Behörde auf spezifische Registrierungsformulare, Portale und Fristen. Die ENISA führt ein Verzeichnis der nationalen NIS2-Behörden. Einige Mitgliedstaaten haben Online-Portale; andere erfordern eine schriftliche Meldung.

Mapping von NIS2 auf bestehende Frameworks

ISO 27001 für NIS2 nutzen

Wenn Ihre Organisation bereits nach ISO 27001 zertifiziert ist oder den Standard umsetzt, haben Sie einen erheblichen Vorsprung bei der NIS2-Compliance. Viele Maßnahmenbereiche nach Artikel 21 lassen sich direkt auf ISO 27001-Kontrollen abbilden.

Bitten Sie den ISMS Copilot, ein Mapping zu erstellen:

"Erstelle ein detailliertes Mapping zwischen den NIS2-Maßnahmenbereichen nach Artikel 21 und den Kontrollen von ISO 27001:2022 Anhang A. Zeige für jede NIS2-Anforderung: die entsprechende ISO 27001-Klausel oder -Kontrolle, Lücken, in denen ISO 27001 die NIS2-Anforderungen nicht vollständig abdeckt, und zusätzliche Maßnahmen, die für NIS2-Compliance erforderlich sind."

Abstimmung mit DORA

Einrichtungen des Finanzsektors können sowohl NIS2 als auch dem Digital Operational Resilience Act (DORA) unterliegen. Artikel 4 der NIS2 enthält eine Lex-Specialis-Bestimmung, die besagt, dass DORA-Anforderungen Vorrang haben, sofern sie gleichwertige oder strengere Anforderungen auferlegen.

"Unsere Organisation unterliegt sowohl NIS2 als auch DORA. Erstelle eine Analyse der Compliance-Überschneidungen, die zeigt, welche NIS2-Anforderungen durch DORA vollständig abgedeckt sind, welche zusätzlichen NIS2-spezifischen Maßnahmen erforderlich sind und wie ein einheitliches Compliance-Programm strukturiert werden kann, das beide Frameworks erfüllt."

Nächste Schritte in Ihrer NIS2-Umsetzung

Sie haben nun das Fundament für Ihre NIS2-Umsetzung gelegt:

  • Geltungsbereich bestimmt und dokumentiert

  • Klassifizierung der Einrichtung bestätigt

  • Leitungsorgan informiert und Beschluss genehmigt

  • Gap-Analyse gemäß Artikel 21 durchgeführt

  • ISMS Copilot-Workspace konfiguriert

  • Umsetzungs-Roadmap erstellt

Fahren Sie mit den nächsten Leitfäden dieser Serie fort:

  • Risikobewertung: Siehe Durchführung einer NIS2-Risikobewertung mit KI für einen tiefen Einblick in die All-Hazards-Risikoanalyse, Asset-Identifizierung und Risikobehandlung gemäß Artikel 21

  • Richtlinienerstellung: Siehe Erstellung von NIS2-Cybersicherheitsrichtlinien mit KI für eine Schritt-für-Schritt-Anleitung zur Erstellung von Richtlinien für jeden der zehn Maßnahmenbereiche nach Artikel 21

  • Meldung von Vorfällen: Siehe Umsetzung der NIS2-Vorfallmeldung mit KI für Compliance mit Artikel 23, Melde-Workflows und Playbooks

  • Sicherheit der Lieferkette: Siehe Management der NIS2-Lieferkettensicherheit mit KI für Lieferantenbewertungen, Fragebögen und vertragliche Anforderungen

Einsatzbereite Prompts für alle NIS2-Domänen finden Sie in der NIS2 Directive Prompt Library. Einen umfassenden Überblick über die NIS2-Anforderungen finden Sie im NIS2 Compliance Guide for In-Scope Companies.

Hilfe erhalten

Für zusätzliche Unterstützung während Ihrer NIS2-Umsetzung:

  • Fragen Sie den ISMS Copilot: Nutzen Sie Ihren dedizierten NIS2-Workspace für laufende Fragen während des Fortschritts in jeder Phase

  • Dokumente hochladen: Erhalten Sie KI-gestützte Gap-Analysen für bestehende Sicherheitsrichtlinien, Risikobewertungen oder Kontrollinventare

  • Q&A zum Framework: Stellen Sie spezifische Fragen zu NIS2-Artikeln, Erwägungsgründen oder nationalen Umsetzungsvorschriften

  • Anpassung an mehrere Frameworks: Erhalten Sie Hilfestellung bei der Abstimmung von NIS2 mit ISO 27001, DORA, DSGVO oder anderen anwendbaren Frameworks

Bereit für den Start Ihrer NIS2-Umsetzung? Erstellen Sie Ihren dedizierten NIS2-Workspace unter chat.ismscopilot.com und führen Sie noch heute Ihre erste Bewertung des Anwendungsbereichs durch. Die KI verfügt über spezifisches NIS2-Wissen aus echten Beratungsmandaten – kein allgemeiner Internet-Content.

War das hilfreich?