NIS-2 Sicherheitsmaßnahmen und Schwachstellenmanagement: Diese Maßnahmen fordert das BSI

1 Was sind NIS-2 Sicherheitsmaßnahmen?

In seiner Reihe #NIS2know beleuchtet das BSI Sicherheitsmaßnahmen rund um IT-Systeme und stellt dabei besonders das Schwachstellenmanagement in den Mittelpunkt. Der Beitrag macht deutlich, dass NIS 2 Sicherheit nicht isoliert betrachtet, sondern über den gesamten Lebenszyklus von Systemen und Prozessen hinweg einordnet. Für viele Unternehmen ist dabei vor allem relevant, welche Anforderungen sich daraus für den sicheren Betrieb ergeben.

‍

Sicherheit muss über den gesamten Lebenszyklus mitgedacht werden

Ein sicherer Umgang mit Systemen und Prozessen muss über ihren gesamten Einsatz hinweg mitgedacht werden, von der Anschaffung bis zum Lifecycle-Ende. Für viele Unternehmen steht dabei jedoch vor allem der sichere laufende Betrieb im Fokus. Genau hier zeigt sich, ob Sicherheitsanforderungen im Alltag tatsächlich greifen. Dazu gehören unter anderem Konfigurationsmanagement, geregelte Änderungen, regelmäßige Sicherheitsprüfungen, Patch- und Update-Management sowie der Schutz von Systemen und Netzwerken. Besonders deutlich wird das beim Schwachstellenmanagement.

‍

Schwachstellenmanagement ist ein zentraler Bestandteil

Unternehmen müssen bekannte Sicherheitslücken frühzeitig erkennen, bewerten und beheben können. Einmalige Prüfungen reichen dafür nicht aus, weil sich Bedrohungen und Angriffsmethoden laufend weiterentwickeln. Entscheidend sind deshalb regelmäßige Wartung, Updates und Sicherheitsüberprüfungen, um Systeme widerstandsfähig zu halten und Betriebsunterbrechungen möglichst zu vermeiden.

‍

Hinzu kommt, dass Schwachstellen nicht nur intern betrachtet werden dürfen. Eine Offenlegung ist insbesondere dann wichtig, wenn Dritte durch eine Sicherheitslücke betroffen oder gefährdet sein könnten. Aber auch bei rein intern genutzten Systemen kann es sinnvoll sein, identifizierte Schwachstellen an Hersteller oder zuständige Stellen zu melden. Damit dient Schwachstellenmanagement nicht nur der eigenen Absicherung, sondern auch dazu, Risiken für Dritte zu minimieren und einen verantwortungsvollen Umgang mit Informationssicherheit sicherzustellen.

‍

‍

2 Für welche Unternehmen sind die Anforderungen relevant?

Nach dem BSI-Beitrag gelten diese Anforderungen nicht pauschal für alle Unternehmen. Verpflichtet sind vielmehr wichtige und besonders wichtige Einrichtungen im Sinne des NIS-2-Umsetzungsgesetzes. Dazu zählen Unternehmen und Organisationen, die in relevanten Sektoren tätig sind und je nach Größe und Bedeutung in den Anwendungsbereich der Regulierung fallen.

‍

Was genau unter einer wichtigen oder besonders wichtigen Einrichtung zu verstehen ist, lässt sich daher nicht in einem Satz pauschal beantworten.  Das BSI stellt dafür allerdings eine eigene NIS-2-Betroffenheitsprüfung bereit, mit der Unternehmen ihre Einordnung nachvollziehen können. Gerade für Unternehmen, die sich noch nicht abschließend mit ihrer regulatorischen Einordnung beschäftigt haben, ist das ein sinnvoller erster Schritt.

‍

‍

3 Welche Sicherheitsmaßnahmen fordert NIS-2 konkret?

Das BSI versteht unter den Anforderungen nicht nur klassische IT-Systeme, sondern alle informationstechnischen Systeme, Komponenten und Prozesse, die für die Erbringung der jeweiligen Dienste notwendig sind. Je nach Unternehmen können damit auch OT-Systeme, also etwa industrielle Steuerungs- und Automatisierungstechnik oder Gebäudeautomation, in den Geltungsbereich fallen.

‍

Die Anforderungen greifen dabei an mehreren Stellen gleichzeitig. Sie beginnen bei der sicheren Beschaffung, reichen über die Entwicklung und ziehen sich bis in Betrieb, Wartung und den Umgang mit Schwachstellen. Sicherheitsmaßnahmen sollen also nicht isoliert umgesetzt werden, sondern als zusammenhängender Rahmen für alle relevanten Systeme und Prozesse.

‍

Einkauf und Entwicklung sicher gestalten

Bereits beim Einkauf rückt die Sicherheit der Lieferkette in den Fokus. Produkte und Dienstleister sollten nach Sicherheitskriterien ausgewählt, Anforderungen vertraglich festgehalten und regelmäßig überprüft werden. So lassen sich Risiken frühzeitig reduzieren.

‍

Auch in der Entwicklung gilt laut BSI, Sicherheit von Anfang an mitzudenken. Dazu gehören sichere Entwicklungsprinzipien, reduzierte Angriffsflächen, geeignete Tests und Systeme, die schon in der Standardkonfiguration sicher betrieben werden können. Sicherheitsanforderungen müssen damit fester Bestandteil des Entwicklungsprozesses sein.

‍

Betrieb und Wartung strukturiert absichern

Im laufenden Betrieb nennt das BSI eine Reihe konkreter Maßnahmen, die Unternehmen organisatorisch und technisch sauber aufsetzen sollten. Dazu gehören insbesondere:

• Konfigurationsmanagement

• geregelte Änderungen und Wartungsprozesse

• regelmäßige Sicherheitsprüfungen

• Patch- und Update-Management

• Netzsegmentierung

• Schutz vor Schadsoftware

• Schutz vor physischen Bedrohungen

‍

Gerade Patch- und Update-Management, Konfigurationsmanagement und der Schutz vor Schadsoftware haben wir bereits in eigenen Beiträgen vertieft. Das gilt einerseits für unser Thema Patch Management unter NIS 2, andererseits für NIS 2 konforme Client Härtung als praktisches Beispiel für sicheres Konfigurationsmanagement. Auch den Schutz vor Schadsoftware haben wir bereits aufgegriffen, etwa mit Blick auf Endpoint Protection und Microsoft Defender als wichtige Bausteine für die Absicherung von Endgeräten und Systemen im laufenden Betrieb.

‍

‍

4 Schwachstellenmanagement und Offenlegung mitdenken

Die besten Sicherheitsmaßnahmen verlieren schnell wieder an Wirkung, ohne strukturiertes Schwachstellenmanagement. Als kontinuierliche Tätigkeit kommt diesem eine besondere Bedeutung zu. Unternehmen sollen Sicherheitslücken systematisch erfassen, priorisieren, beheben und die ergriffenen Maßnahmen nachvollziehbar dokumentieren. Dazu gehören auch klare Meldewege, damit identifizierte Schwachstellen schnell an die zuständigen Stellen gelangen.

‍

Darüber hinaus verweist das BSI auf die Offenlegung von Schwachstellen. Das wird immer dann relevant, wenn Dritte betroffen sein könnten oder wenn Unternehmen transparent machen wollen, wie Sicherheitsforschende gefundene Schwachstellen melden können. Schwachstellenmanagement endet also nicht bei der internen Behebung, sondern schließt auch den verantwortungsvollen Umgang mit der Kommunikation nach außen ein.

‍

Dokumentation gehört verbindlich dazu

Ergänzend betont das BSI, dass die getroffenen Maßnahmen und Konzepte geeignet und vollständig dokumentiert werden müssen. Dazu zählen nicht nur Prozesse und Sicherheitsmaßnahmen, sondern auch Änderungen an Systemen sowie Wartungsarbeiten. Dokumentation ist damit kein formaler Zusatz, sondern die Grundlage für Nachvollziehbarkeit und eine belastbare Sicherheitsorganisation.

‍

‍

5 Was Unternehmen jetzt beachten sollten

Gerade beim Schwachstellenmanagement wird deutlich, wie konkret die Anforderungen aus NIS 2 in der Praxis werden. Sicherheitslücken zählen zu den häufigsten Angriffspunkten und lassen sich selbst bei hohem Schutzniveau nie ganz ausschließen. Umso wichtiger ist ein geregelter Umgang damit: Unternehmen müssen Schwachstellen früh erkennen, einordnen und beheben, bevor daraus ernsthafte Vorfälle entstehen.

‍

Sicherheitsmaßnahmen und Schwachstellenmanagement als dauerhafte Aufgabe begreifen

Das BSI macht deutlich, dass weder die Umsetzung von Sicherheitsmaßnahmen noch das Schwachstellenmanagement als einmalige Aufgabe verstanden werden dürfen. Ein einzelner Scan, ein punktuelles Update oder eine gelegentliche Prüfung reichen nicht aus. Erforderlich ist vielmehr ein kontinuierlicher Ansatz, der neue Bedrohungen, aktuelle Sicherheitsmeldungen und Veränderungen in der eigenen IT-Landschaft laufend berücksichtigt.

‍

Dazu gehört zunächst, die geforderten Schutzmaßnahmen im Betrieb verlässlich umzusetzen und aufrechtzuerhalten. Gleichzeitig müssen Unternehmen bekannte Schwachstellen erkennen, bewerten und angemessen behandeln. Nicht jede Sicherheitslücke ist automatisch gleich kritisch. Entscheidend ist, welche Systeme betroffen sind, wie wahrscheinlich eine Ausnutzung ist und welche Auswirkungen sich für den Betrieb ergeben können. Klare Meldewege, eine saubere Nachverfolgung und eine nachvollziehbare Dokumentation gehören deshalb ebenfalls dazu. So werden Sicherheitsmaßnahmen und Schwachstellenmanagement gemeinsam zu einem festen Bestandteil einer belastbaren Sicherheitsorganisation.

‍

Anforderungen in bestehende Prozesse übersetzen

Eine der größten Herausforderungen besteht darin, regulatorische Vorgaben in tragfähige Abläufe zu überführen. Schutzmaßnahmen entfalten ihren Nutzen nur dann, wenn sie fest in bestehende Strukturen eingebunden werden. Das betrifft unter anderem Betrieb, Wartung, Änderungsprozesse und die Zusammenarbeit zwischen IT, Security und Fachbereichen.

‍

Konkret heißt das: Verantwortlichkeiten müssen klar geregelt sein, damit Hinweise auf Sicherheitslücken nicht zwischen Teams verloren gehen. Es sollte festgelegt sein, wer Meldungen entgegennimmt, Risiken bewertet, Prioritäten setzt und die Umsetzung steuert.

‍

Auch Themen wie Patching, Härtung oder Sicherheitsprüfungen brauchen feste Abläufe, damit sie verlässlich und wiederkehrend erfolgen. Hinzu kommt die eben angesprochene Dokumentation. Es muss klar belegbar sein, was umgesetzt wurde.

‍

Typische Herausforderungen frühzeitig einplanen

Viele Unternehmen starten nicht auf der grünen Wiese, sondern in gewachsenen IT- und Prozesslandschaften. Häufig fehlt schon zu Beginn der vollständige Überblick über eingesetzte Systeme, Komponenten und Abhängigkeiten. Ohne diese Grundlage wird es schwierig, Risiken sinnvoll zu bewerten und Maßnahmen gezielt umzusetzen.

‍

Hinzu kommen oft knappe personelle und zeitliche Ressourcen. Sicherheitsanforderungen müssen parallel zum laufenden Betrieb umgesetzt werden, während bestehende Umgebungen betreut, Incidents bearbeitet und Projekte vorangetrieben werden. Dadurch geraten Themen wie Dokumentation, geregelte Freigaben oder regelmäßige Prüfungen schnell unter Druck.

‍

Erschwerend kommen uneinheitliche Abläufe, Abstimmungsprobleme zwischen Teams oder die fehlende Einbindung von Dienstleistern und Herstellern hinzu. Wer solche Hürden früh mitdenkt, kann realistischer planen und Anforderungen schrittweise in tragfähige Strukturen überführen.

‍

‍

6 Fazit

Der BSI-Beitrag zeigt, dass NIS 2 beim Thema Sicherheitsmaßnahmen deutlich konkreter wird. Im Mittelpunkt stehen nicht nur technische Schutzmechanismen, sondern ein geordneter Umgang mit Beschaffung, Entwicklung, Betrieb, Wartung und insbesondere mit Schwachstellen. Für betroffene Unternehmen heißt das: Sicherheitsanforderungen müssen nachvollziehbar in bestehende Abläufe überführt und dauerhaft mitgedacht werden.

‍

Gerade das Schwachstellenmanagement macht deutlich, worauf es ankommt. Sicherheitslücken müssen erkannt, eingeordnet, bearbeitet und sauber dokumentiert werden. Gleichzeitig zeigt sich, dass einzelne Maßnahmen allein nicht ausreichen. Entscheidend ist, ob daraus verlässliche Strukturen entstehen, die im Alltag funktionieren und sich auch gegenüber neuen Anforderungen weiterentwickeln lassen.

‍

Wer sich frühzeitig mit den Vorgaben auseinandersetzt, schafft damit nicht nur eine bessere Grundlage für Compliance, sondern stärkt auch die eigene Sicherheitsorganisation. Genau darin liegt der eigentliche Mehrwert: NIS 2 lässt sich nicht auf Pflichterfüllung reduzieren, sondern kann für Unternehmen zum Anlass werden, bestehende Prozesse gezielt zu überprüfen und sinnvoll weiterzuentwickeln.