NIS2-Umsetzung im eigenen Betrieb

NIS2 gehört in Ihre Prozesse.
Nicht in eine zweite Arbeitswelt.

Im Betrieb zeigt sich NIS2 nicht als Paragraph, sondern als konkrete Anforderung: Ein Kunde verlangt Nachweise, ein Sicherheitsvorfall muss bewertet werden, die Geschäftsführung muss entscheiden. Jede dieser Situationen verlangt, dass vorhandene Informationen zusammenkommen und bewertet werden.

Was ist gerade passiert?

Starten Sie mit der konkreten Situation

Sie müssen den Gesetzesbegriff nicht kennen. Wählen Sie den Vorgang, der gerade bearbeitet werden muss.

Kundenanfrage
Ein Kunde fordert IT-Sicherheitsnachweise
Ob Sicherheitsfragebogen, Lieferantenportal oder Ausschreibung: Klären Sie, welche Cybersecurity-Nachweise der Auftraggeber verlangt, ordnen Sie vorhandene Belege zu und halten Sie offene Punkte fest.
Kundenanfrage bearbeiten
Sicherheitsereignis
Ein Sicherheitsvorfall muss bewertet werden
Erfassen Sie Zeitpunkt, betroffene Systeme, Auswirkungen und Maßnahmen. Dokumentieren Sie anschließend die Meldeentscheidung und die nächsten Fristen — vor Ablauf der BSI-Meldefrist.
Vorfall bewerten
§32-Livesimulation
Ein Sicherheitsvorfall ist eingetreten
Prüfen Sie in der Livesimulation, ob Ihr Unternehmen Erheblichkeit, Meldeweg, Fristen und Rollen beherrscht.
§32-Notfallübung starten
Geschäftsführung
Die Geschäftsführung muss entscheiden
Bereiten Sie Risiken, Maßnahmen, Ausnahmen und offene Punkte so auf, dass die Geschäftsführung das Cyberrisiko einordnen, Maßnahmen freigeben und die nächste Prüfung festlegen kann.
Entscheidung vorbereiten
IT-Prozess
Eine Freigabe oder Ausnahme ist nicht sauber dokumentiert
Prüfen Sie Antrag, Entscheidung, Umsetzung, Laufzeit und Review. Das gilt für Benutzerrechte, MFA-Ausnahmen, Patch-Ausnahmen und Lieferantenzugriffe gleichermaßen.
IT-Vorgang prüfen

Warum diese Situationen mit NIS2 zusammenhängen

NIS2 wird im Betrieb über konkrete Vorgänge sichtbar. Kunden fragen nach Sicherheitsmaßnahmen. Vorfälle lösen Bewertungs- und Meldepflichten aus. Die Geschäftsführung muss Maßnahmen billigen und ihre Umsetzung überwachen. Freigaben und Ausnahmen müssen später erklärt werden können.

Die Situation bestimmt den Einstieg. Die NIS2-Einordnung zeigt anschließend, welche Pflichten, Rollen und Nachweise für Ihr Unternehmen relevant sind.

NIS2-Pflichten einordnen →
Betriebliche Befähigung

Compliance-Kompetenz im Unternehmen aufbauen

Beratung, GRC-Lösungen und ein ISMS können sinnvoll sein. Dauerhaft handlungsfähig wird ein Unternehmen, wenn es zugleich selbst versteht, wie Anforderungen bearbeitet, Entscheidungen vorbereitet und Ergebnisse dokumentiert werden.

Khosla Compliance bietet dafür geführte Arbeitswege als Alternative zu umfangreichen Projekten — besonders dann, wenn eine konkrete Kundenanfrage, Meldebewertung oder Entscheidung ansteht.

Externe Expertise bleibt wichtig für rechtliche Spezialfragen, technische Architektur oder unabhängige Prüfungen. Die wiederkehrende Bearbeitung regulatorischer Anforderungen sollte jedoch nicht bei jeder Novelle erneut vollständig ausgelagert und von außen aufgebaut werden müssen.

Wer Vorgehensweisen und Ergebniserstellung dauerhaft auslagert, baut intern nur begrenzt Wissen über Rollen, Entscheidungen, Nachweise und Wiedervorlagen auf. Der Compliance Arbeitsplatz führt die konkrete Arbeit so, dass diese Kompetenz im Betrieb entstehen und weiterverwendet werden kann.

So ergänzt interne Befähigung externe Beratung, bestehende Systeme und ein vorhandenes ISMS — oder bietet einen schlankeren Einstieg, wenn ein umfassendes Projekt für den aktuellen Anlass nicht erforderlich ist.

Diese Seite ist unabhängig — kein Software-Vendor, kein Beratungsmandat. Alle Inhalte basieren auf BSIG n.F., NIS2-RL und BSI 200-x.

01 · Wissen aufbauen
Vorgehensweisen bleiben im Unternehmen
Verantwortliche lernen, welche Informationen benötigt werden, wie eine Entscheidung vorbereitet wird und welches Ergebnis nach der Bearbeitung vorliegen muss.
02 · Ergebnisse erstellen
Aus Anforderungen wird konkrete Arbeit
Kundenantwort, Meldebewertung oder Geschäftsführungsentscheidung entstehen als geführter Vorgang mit Verantwortlichen, Belegen, offenen Punkten und Wiedervorlage.
03 · Gezielt ergänzen
Externe Expertise dort nutzen, wo sie Mehrwert schafft
Beratung, GRC und ISMS bleiben anschlussfähig. Der Betrieb übernimmt die wiederkehrende Bearbeitung und holt Spezialwissen für konkrete fachliche, technische oder rechtliche Fragen hinzu.
NIS2 angewandt

Wo NIS2 im Tagesgeschäft sichtbar wird

Viele Unternehmen beginnen mit Paragrafen, Fristen und Vorlagen. Die benötigten Informationen entstehen jedoch früher: bei Benutzeranlage, Lieferantenzugriff, Patch-Ausnahme, Vorfallbehandlung und Wiederanlauf. Diese Prozesse liefern Freigaben, technische Daten, Ausnahmen und Belege. Eine Kundenanfrage, Meldebewertung oder Entscheidung und Überwachung durch die Geschäftsführung wählt daraus die relevanten Informationen aus.

Eine Prüfung fragt, wer entschieden hat, welche Daten vorlagen, was umgesetzt wurde, welche Ausnahme offen blieb und wann erneut geprüft wird.
NIS2 angewandt — alle Prozessbeispiele →
Drei NIS2-Prüfsituationen

Die Prozesse liefern die Daten. Die Situation bestimmt die Aufgabe.

Im Tagesgeschäft entstehen Rollen, Zugriffe, Freigaben, Schwachstellen, Vorfälle und Ausnahmen. Drei Situationen verlangen regelmäßig, dass ein Unternehmen diese Informationen gezielt zusammenführt und bewertet.

Kundenanfrage
Vorhandene Nachweise zuordnen, Aussagen prüfen, Lücken benennen und die Antwort freigeben.
Kundenanfrage vorbereiten
Meldebewertung
Kenntniszeitpunkt, betroffene Systeme, Auswirkungen und Maßnahmen erfassen und die Meldeentscheidung dokumentieren.
Meldebewertung führen
Geschäftsführung
Risiken, Maßnahmen, Ausnahmen und offene Punkte für Entscheidung, Billigung und Überwachung aufbereiten.
Entscheidung vorbereiten

Der Compliance Arbeitsplatz führt diese drei Situationen als getrennte Vorgänge. Operative Systeme wie HR, IAM, ITSM und SIEM bleiben für ihre Daten verantwortlich.

Prüfsituation auswählen → Compliance Arbeitsplatz ansehen →