Jeder kennt sie mittlerweile – die Posts zur neuen NIS2‑Richtlinie. Viele Beiträge wiederholen, was ohnehin schon alle wissen: neue Cybersicherheitsvorgaben, höhere Strafen, Pflicht zur Meldung bei Vorfällen.
Aber was steckt wirklich drin? Wir haben den Gesetzestext im Detail untersucht – und fünf Anforderungen gefunden, die in den meisten Beiträgen kaum oder gar nicht vorkommen. Und genau dort zeigt sich, welche Infrastruktur Sie brauchen, um wirklich konform und resilient zu bleiben.
1. Sie haben NIS2‑pflichtige Kunden? Dann brauchen Sie Nachweise – sofort.
Anforderung
Artikel 21(3): NIS2 verpflichtet Unternehmen, auch die Cybersicherheit ihrer IT-Dienstleister und der gesamten Lieferkette aktiv zu prüfen.
Warum das wichtig ist
Auch wenn Sie selbst nicht als „wesentliche“ oder „wichtige“ Einrichtung eingestuft sind – Ihre Kunden sind es womöglich. Diese müssen gegenüber ihren Aufsichtsbehörden nachweisen, dass ihre Dienstleister sicher arbeiten – sowohl technisch als auch durch organisatorische Maßnahmen entlang der Lieferkette.
Unsere Lösung
Wir dokumentieren unsere Sicherheitsmaßnahmen umfassend und stellen auf Wunsch prüfbare Nachweise bereit – ideal für Ihre Risikoanalysen im Rahmen des Third Party Risk Management (TPRM).
Mit ISO 27001-Zertifizierung, revisionssicherer Dokumentation und optionalem ISAE 3402 Typ 2-Bericht unterstützen wir Sie dabei, Compliance effizient nachzukommen – und gleichzeitig Vertrauen bei Ihren Kunden aufzubauen.
Zusätzlich profitieren Sie davon, dass unsere gesamte IBM Power Cloud Infrastruktur auf zertifizierten Rechenzentren mit Standorten in Österreich basiert – inklusive physischer Zugangskontrolle, Redundanzkonzept und umfassender Dokumentation.
Mehr zum strategischen Fundament: In unserem BCM-Blog zeigen wir das Grundkonzept von Geschäftskontinuität.
2. Auffällige Aktivitäten? Ihre Systeme müssen mitdenken.
Anforderung
Artikel 21 (2)(a): Unternehmen müssen Konzepte zur Risikoanalyse und Systemsicherheit entwickeln – inklusive kontinuierlicher Überwachung und Erkennung verdächtiger Aktivitäten.
Warum das wichtig ist
Der Gesetzestext fordert zwar allgemein „Konzepte in Bezug auf Risikoanalyse und Sicherheit“, wird aber durch geplante Durchführungsrechtsakte voraussichtlich konkretisiert. Bereits jetzt ist klar: Reine Reaktion auf Sicherheitsvorfälle reicht nicht mehr. Unternehmen müssen Angriffe frühzeitig erkennen – bevor Schaden entsteht.
Der Rückgriff auf CVE-Listen (Common Vulnerabilities and Exposures) oder klassische Log-Auswertungen genügt nicht.
Unsere Lösung
Wir setzen auf kontinuierliche Überwachung mit modernen Tools – inklusive zentraler Alarmierung und verhaltensbasierter Erkennung auffälliger Aktivitäten.
Technisch möglich wird das durch SIEM-Systeme und ML-gestützte Anomalieanalyse – Technologien, die wir in unserer IBM Power Cloud bereits heute im Einsatz haben.
3. Cybersecurity ist Chefsache – inklusive Haftung, Schulung & Nachweispflicht
Anforderung
Artikel 20 (1) und (2), Artikel 32 (6): Leitungsorgane müssen Sicherheitsmaßnahmen aktiv verantworten und kontrollieren – eine bloße Delegation an die IT reicht nicht mehr aus.
Warum das wichtig ist
IT-Sicherheit ist nicht mehr „nur Sache der IT“.
NIS2 macht Leitungsorgane explizit verantwortlich – inklusive:
- Dokumentierter Cybersicherheitsschulungen für das Management
- Aktiver Überwachung der umgesetzten Maßnahmen
- Persönlicher Haftung – bis hin zu temporären Führungsverboten bei Pflichtverstoß
Unsere Lösung
Wir liefern nicht nur Infrastruktur, sondern auch dokumentierte Prozesse, Governance-Vorgaben und ISO 27001-Zertifizierung.
Wenn Sie mehr Service brauchen: Mit unserem optionalen ISAE 3402 Typ 2-Bericht erhalten Sie einen international anerkannten Nachweis zur Wirksamkeit unserer internen Kontrollen speziell für Ihre Prozesse – ideal zur Entlastung Ihrer Leitungsorgane im Prüf- oder Ernstfall.
4. Dokumentations- und Prüfpflichten – mehr als nur ein Audit
Anforderung
Artikel 32 (2) & 21 (1): Regelmäßige Sicherheitsprüfungen durch qualifizierte Prüfer, dokumentierte Risikoanalyse, Monitoring – kein One-Off, sondern dauerhafter Prozess.
Warum das wichtig ist
Unternehmen müssen laufend belegen, dass ihre Maßnahmen wirken – Stichwort: Auditfähigkeit.
Unsere Lösung
Unsere Rechenzentrumsinfrastruktur ist revisionssicher dokumentiert, standardisiert und auf Dauerbetrieb ausgelegt – inklusive Safe Guarded Copy, Backup-Protokollierung, ISO-Zertifizierung und optionalem ISAE 3402 Typ 2-Bericht.
5. Unterschiedliche Pflichten je nach Einstufung
Anforderung
Artikel 33: NIS2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen – jede Gruppe hat andere Prüfanforderungen.
Warum das wichtig ist
Je nach Kategorie gelten unterschiedliche Aufsichtsregeln:
- „Wesentliche Einrichtungen“ unterliegen Ex-ante-Prüfungen – also Vorkontrollen durch Behörden, auch ohne Anlass.
- „Wichtige Einrichtungen“ werden in der Regel erst im Anlassfall geprüft (z. B. nach einem Vorfall).
Unsere Lösung
Ob „wesentlich“ oder „wichtig“ – mit unserer skalierbaren IBM Power Infrastruktur können Sie jederzeit zusätzliche Sicherheits- und Kapazitätsanforderungen erfüllen und so flexibel bleiben.
Und mit unserer ISO 27001-Zertifizierung und revisionssicheren Dokumentation sind Sie für jede Form der Prüfung bestens gerüstet – ob vorbeugend oder im Anlassfall.
Quelle: Amtsblatt der Europäischen Union L333/80 vom 14. Dezember 2022
Fazit: NIS 2 – Wer’s ernst meint, denkt Infrastruktur mit.
Ob Sie NIS2-pflichtig sind oder IT-Dienstleister für Pflichterfüller: Sie brauchen eine Infrastruktur, die mehr leistet als Compliance-Versprechen.
Sie möchten mehr dazu wissen?
Österreich: Franz Holzer, Service Delivery Manager
📧 franz.holzer@it-ps.at | 📞+43 664 153 9998
Dann kontaktieren Sie uns!
Deutschland: Grit Wasmund, Zertifizierte IT-Security Managerin
📧 grit.wasmund@it-ps.de | 📞+49 1522 17 22 588
