Von der Anforderung zur Auskunftsfähigkeit
Von der Anforderung zur Auskunftsfähigkeit
01
Regime
Welche externe Anforderung greift?
NIS2 / BSIG
ISO 27001
DSGVO
Kundenanforderung
›
02
Fähigkeit
Was muss das Unternehmen beherrschen?
Zugriffe steuern
Lieferanten bewerten
Schwachstellen behandeln
Wiederanlauf vorbereiten
›
03
Prozess
Wo passiert das im Alltag?
Benutzeranlage
Lieferantenzugriff
MFA-Ausnahme
Patch-Ausnahme
Meldebewertung
›
04
Arbeitsstand
Welche Daten und Entscheidungen entstehen?
Owner · Freigabe
Risiko · Kompensation
Wiedervorlage · Entzug
›
05
Auskunftsfähigkeit
Was kann das Unternehmen erklären?
Wer? Warum?
Wann geprüft?
Was bleibt offen?
Operative Mitte
Der Geschäfts- und Supportprozess ist der Ort, an dem Regelwerk und betriebliche Wirklichkeit aufeinandertreffen. Hier entstehen Rollen, Freigaben, Ausnahmen, Gegenmaßnahmen und Wiedervorlagen. Wenn diese Informationen fehlen, beginnt die Nachweisarbeit später auf einem weißen Blatt.
Paragraphen im Betrieb
Welche NIS2-Pflichten in Prozessen sichtbar werden
§30, §32 und §38 BSIG werden für Unternehmen greifbar, wenn sie auf konkrete Abläufe treffen. Die relevanten Daten entstehen bei Zugriffen, Lieferanten, Ausnahmen, Schwachstellen, Wiederanlauf und Meldebewertungen. Jeder dieser Prozesse kann einen Nachweis erzeugen — oder eine Lücke hinterlassen.
§30 BSIG
Sicherheits- und Risikomanagementmaßnahmen
§30 BSIG wird dort sichtbar, wo das Unternehmen Zugriffe vergibt, Schwachstellen bewertet, Lieferanten einbindet, Wiederanlauf vorbereitet und Ausnahmen führt.
Benutzerkonto / IT-Onboarding
MFA-Ausnahme
Offene Schwachstelle / Patch-Ausnahme
Lieferantenzugriff
Adminrechte / Sonderrechte
IT-Wiederanlaufplan
§32 BSIG
Meldebewertung und Meldefähigkeit
§32 BSIG wird relevant, wenn ein Vorfall oder eine Störung bewertet werden muss. Dann zählen Zeitstempel, betroffene Systeme, Betriebswirkung, Ansprechpartner und Meldeentscheidung.
Incident Intake / Meldebewertung
Ausnutzung einer Schwachstelle
Dienstleistervorfall
Ausfall zentraler IT-Dienste
24h-Erstmeldung / 72h-Folgemeldung
§38 BSIG
Geschäftsführungsbefassung und Überwachung
§38 BSIG wird sichtbar, wenn kritische Ausnahmen, Restrisiken, Schulungen, Kenntnisnahmen oder Wiedervorlagen eine dokumentierte Befassung der Geschäftsführung erfordern.
Kenntnisnahme und Billigung der Geschäftsführung
Patch-Ausnahme mit Restrisiko
MFA-Ausnahme bei privilegierten Konten
Lieferant mit kritischem Systemzugriff
IT-Wiederanlauf und Management Review
Ausnahmen und Arbeitsstände
Umgang mit Ausnahmen und Arbeitsständen
Eine sicherheitsrelevante Ausnahme ist zunächst ein Sachverhalt. Sicherheitsrelevante Ausnahmen sollten als Arbeitsstand geführt werden — mit Ursache, Risiko, Freigabe, Gegenmaßnahme, Owner, Frist und Wiedervorlage.
VULN-01 Live
Patch-Ausnahme
Schwachstelle · Restrisiko · OT
Schwachstelle bleibt offen, weil Patch, Test, Herstellerfreigabe, Wartungsfenster oder OT-Abhängigkeit die sofortige Umsetzung verhindern.
Asset · Schwachstelle · Kritikalität · Kompensation · Owner · Wiedervorlage · Closure
IAM-01 Live
MFA-Ausnahme
Legacy · Dienstleister · Notfallkonto
Zugriff kann vorübergehend nicht mit MFA abgesichert werden, etwa bei Legacy-Systemen, Dienstleisterzugängen oder Notfallkonten.
Rolle · System · Ausnahmegrund · Kompensation · Freigabe · Gültigkeit · Entzug
SUP-01/02 Live
Lieferantenausnahme
Systemzugriff · Fernwartung · Nachweis
Dienstleister erhält Systemzugriff oder erfüllt noch nicht alle geforderten Nachweise. Zweck, Zugriffspfad, Meldeweg, Auflagen und Wiedervorlage sind entscheidend.
Lieferant · Zweck · Zugriffspfad · Authentifizierung · Meldeweg · Auflage · Review
IAM-02 In Vorbereitung
Berechtigungsausnahme
Adminrechte · Break Glass · Sonderrechte
Privilegierte Konten, lokale Adminrechte, Projekt-Sonderrechte oder Break-Glass-Zugänge benötigen Begründung, Gültigkeit, Review und Entzug.
Konto · Rolle · Sonderrecht · Grund · Freigabe · Laufzeit · Access Review · Entzug
Operative Beispiele
Bestehende Prozesse als NIS2-Prüfpunkte lesen
Die Beispiele zeigen normale Vorgänge aus IT, Einkauf, Betrieb und Geschäftsführung. Jeder Vorgang erzeugt Daten, Entscheidungen und offene Punkte, die später für Nachweisführung, Meldebewertung oder die Befassung der Geschäftsführung relevant werden können.
UC 01 · Identität und Zugriff Live
Benutzerkonto anlegen
Joiner · Mover · Leaver
Ein neues Benutzerkonto erzeugt Arbeitsstände zu Rolle, Gerät, MFA, Fachsystemen, Awareness, Ausnahme und Access Review.
UC 02 · Lieferkette Live
Lieferant erhält Systemzugriff
Dienstleister · SaaS · Fernwartung · OT
Wer darf zugreifen, über welchen Weg, wie lange und mit welchem Meldeweg? Sobald ein Anbieter Zugriff erhält, entstehen Fragen zu Zugriffspfad, Freigabe und Wiedervorlage.
UC 03 · Ausnahmemanagement Live
MFA-Ausnahme dokumentieren
Ausnahme · Kompensation · Review
Eine MFA-Ausnahme ist eine befristete Sicherheitsentscheidung mit Grund, Kompensationsmaßnahme, Freigabe, Wiedervorlage und Entzug.
UC 04 · Schwachstellenmanagement Live
Offene Schwachstelle / Patch-Ausnahme
Schwachstelle · Restrisiko · Wartungsfenster
Wenn ein Patch nicht sofort eingespielt werden kann, braucht der Arbeitsstand Kritikalität, Kompensation, Owner und Wiedervorlage.
UC 05 · Betriebsfähigkeit Live
IT-Wiederanlaufplan für KMU
Backup · Kommunikation · Restore · Dienstleister
Wenn zentrale IT-Dienste ausfallen, braucht der Betrieb Kommunikationswege, Wiederanlaufreihenfolge, Dienstleisterkontakte, Restore-Stand und Entscheidungsrollen.
UC 06 · Meldebewertung Live
Meldebewertung nach IT-Störung
Incident Intake · Erheblichkeit · §32 BSIG · Meldeentscheidung
Wenn aus einem IT-Ticket ein Sicherheitsereignis wird, muss das Unternehmen Erheblichkeit, Meldepflicht, Owner, Zeitstempel und Entscheidung nachvollziehbar führen — mit oder ohne BSI-Meldung.
Einstieg finden
Wo Unternehmen beginnen können
Wenn Sie den Arbeitsstart suchen:→NIS2-Einordnung starten
Wenn Sie wissen möchten, welche NIS2-Daten bei Benutzeranlage, Rollenwechsel und Offboarding entstehen:→IT-Onboarding nach NIS2 lesen
Wenn ein Dienstleister, SaaS-Anbieter oder Integrator Zugriff auf Systeme erhält:→Lieferantenzugriff einordnen
Wenn eine MFA-Ausnahme offen bleibt:→MFA-Ausnahme dokumentieren
Wenn ein Patch nicht sofort eingespielt werden kann:→Offene Schwachstelle einordnen
Wenn zentrale IT-Dienste ausfallen:→IT-Wiederanlaufplan einordnen
Wenn eine Vorlage an die Geschäftsführung erforderlich wird:→Kenntnisnahme der Geschäftsführung nach §38 einordnen
Wenn ein Vorfall bewertet werden muss:→§32 Meldepflicht prüfen
Nutzen
Warum Prozessbeispiele Unternehmen schneller handlungsfähig machen
Viele Unternehmen kennen ihre Abläufe. Sie sehen nur noch nicht, welche NIS2-Relevanz darin steckt. Die Reihe zeigt bekannte Vorgänge, benennt die sicherheitsrelevanten Entscheidungen und leitet daraus konkrete Arbeitsstände ab.
Bestehende Prozesse werden als NIS2-Prüfpunkte lesbar
Nachweise entstehen aus Prozessdaten, nicht auf dem weißen Blatt
Ausnahmen und Restrisiken erhalten Owner, Frist und Wiedervorlage
Geschäftsführung, IT, Einkauf und Fachbereiche sehen ihren jeweiligen Anteil
Der Einstieg wird konkreter, weil Unternehmen an bestehenden Prozessen ansetzen können
Einstiegsprinzip
Der erste Schritt ist nicht der vollständige Nachweisordner. Der erste Schritt ist ein Prozess, der bei jeder Ausführung bessere Nachweisdaten erzeugt.
Häufige Fragen
Die Reihe zeigt, wie NIS2 in bestehenden Geschäfts- und Supportprozessen sichtbar wird. Beispiele sind Benutzeranlage, Lieferantenzugriff, MFA-Ausnahme, offene Schwachstelle, IT-Wiederanlauf und Meldebewertung.
Weil die relevanten Daten, Entscheidungen, Freigaben, Ausnahmen und Wiedervorlagen im Tagesgeschäft entstehen. Wenn diese Informationen nicht im Prozess erzeugt werden, müssen sie später rekonstruiert werden.
Der Joiner-/Mover-/Leaver-Prozess eignet sich besonders gut, weil Benutzerkonten, Rollen, Geräte, MFA, Awareness, Ausnahmen und Access Reviews ohnehin dort entstehen.
Ein Arbeitsstand hält Daten, Entscheidungen, Owner, Fristen, Nachweise und Wiedervorlagen zusammen. Er ist die Grundlage dafür, später Auskunft geben zu können.
Der Prozess erzeugt die Daten und Entscheidungen. Der Nachweis hält den Arbeitsstand fest und macht ihn erklärbar.
Die Seiten erklären, wo NIS2 im Betrieb sichtbar wird. Der NIS2-Arbeitsplatz unterstützt dabei, die entstehenden Arbeitsstände, Nachweise und Wiedervorlagen zusammenzuführen.
Weiterführende Einordnung
Nächster Schritt
Vom Prozess zum Arbeitsstand
Beginnen Sie mit einem Vorgang, den Ihr Unternehmen ohnehin ausführt: Benutzeranlage, Lieferantenzugriff, MFA-Ausnahme, offene Schwachstelle oder Wiederanlauf. Dort entstehen die Daten, Entscheidungen und Wiedervorlagen, die später nachweisbar sein müssen.