NIS-2-Projektplan: Dein Wegweiser zur erfolgreichen ISMS-Implementierung

Die Umsetzung der NIS-2-Richtlinie ist eine Herausforderung – aber auch eine Chance, die Informationssicherheit in Deinem Unternehmen auf ein neues Level zu heben.

Mit diesem strukturierten Projektplan begleiten wir Dich Schritt für Schritt durch die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach NIS-2.

Du wirst sehen: Mit klaren Zielen, praktischen Tipps und einer Prise Motivation wird das Projekt nicht nur machbar, sondern auch erfolgreich!

💡Tipp: Vergiss nicht, Dir den ausführlichen NIS-2-Projektplan als Excel-Sheet herunter zu laden!

1. Projektvorbereitung: Grundlagen schaffen – mit Rückendeckung und Klarheit

Deine Ziele

Warum das wichtig ist:
Ein starkes ISMS steht und fällt mit drei Säulen: dem Commitment der Führung, einem motivierten und kompetenten Team sowie klaren Spielregeln. Hier legst Du den Grundstein für den Erfolg!

• Die Geschäftsleitung ins Boot holen und schulen.
• Ressourcen und Budget planen und mit Geschäftsleitung abstimmen.
• Dein ISM-Team aufbauen – mit klaren Rollen und Kompetenzen.
• Alle Mitarbeitenden über den neuen Fokus auf Informationssicherheit informieren.
• Allgemeine Verhaltensgrundsätze für den Umgang mit Informationen etablieren.

Tipps für die Umsetzung

• Geschäftsleitung überzeugen: Zeige auf, wie NIS-2 nicht nur Compliance, sondern auch Vertrauen von Kunden und Partnern bringt und die Unternehmenssteuerung unterstützt.
• Dein Team zusammenstellen:
  • Wer gehört dazu? IT-Sicherheitsexperten, Datenschutzbeauftragte, Beauftragter Business Resilience, Prozessverantwortliche, Risikoverantwortliche, Applikationsverantwortliche, Systemadministratoren, Leitung Einkauf, Leitung Personal, etc.
  • Rollen klar definieren: Nutze eine RACI-Matrix, um Verantwortlichkeiten transparent zuzuweisen (z. B. Wer ist verantwortlich für Schulungen? Wer entscheidet im Notfall?).
  • Kompetenz aufbauen: Sorge für regelmäßige Team-Meetings und Weiterbildungen, z. B. zu NIS-2 oder Risikomanagement.
• Informationskampagne starten: Informiere alle Mitarbeitenden über die Relevanz der Informationssicherheit und ihre Bedeutung für die Zukunft des Unternehmens.
• Verhaltensgrundsätze lebendig gestalten: Nutze Beispiele aus dem Arbeitsalltag, um die Regeln greifbar zu machen – z. B. „Wie gehe ich mit verdächtigen E-Mails um?“
• Kick-off mit allen Beteiligten: Starte mit einem Workshop, um Ziele, Rollen und nächste Schritte mit dem Team gemeinsam zu besprechen.

💡 „Erfolgreich ist, wer vorbereitet ist.“ – Mit diesem Abschnitt schaffst Du die Basis für alles Weitere!

2. Analyse der Geschäftsprozesse und Assets: Wissen, was wirklich zählt

Deine Ziele

• Kritische Geschäftsprozesse und deren Ressourcen identifizieren.
• Ein zentrales Asset-Register mit Prozessen, Informationen und IT-Assets aufbauen.
• Informationsflüsse und Abhängigkeiten verstehen.

Warum das wichtig ist:
Du kannst nur schützen, was Du kennst! Hier geht es darum, Schwachstellen zu erkennen und Prioritäten zu setzen.

Tipps für die Umsetzung

• Workshops mit Prozessverantwortlichen: Frage gezielt nach: „Was würde passieren, wenn dieser Prozess für 24 Stunden ausfällt?“ Entwickelt zusammen Maßnahmen, die das Ausfallrisiko des Prozesses reduzieren.
• Asset-Register digital führen: Tools, mit denen Ihr Assets erfassen, Kritikalität und Abhängigkeiten darstellen könnt, helfen, den Überblick zu behalten.
• Informationsflüsse aufzeigen: Identifiziere Abhängigkeiten zwischen Informationen, Prozessen und unterstützenden Systemen. Finde so die „Single-Point-of-Failure“!

💡 „Wer seine Prozesse versteht, kann sie auch schützen.“ – Hier legst Du den Finger auf die Pulse Deines Unternehmens!

3. Risikoanalyse und -management: Gefahren erkennen – Sicherheit gestalten

Hinweis: Lade Dir das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung herunter, um Dich mit den Anforderungen vertraut zu machen.

3.1 Für wichtige und besonders wichtige Einrichtungen

Deine Ziele

• Kritische Bereiche und Bedrohungen identifizieren.
• Risiken bewerten und transparent kommunizieren.
• Cyber-Supply-Chain-Risiken im Blick behalten.
• Regelungen für Anwender:innen kritischer Prozesse definieren.
• Maßnahmen, die Eure Sicherheit verbessern und expliziete Anforderungen von NIS-2 erfüllen.

Warum das wichtig ist:
Risikomanagement ist das Herzstück Deines ISMS. Hier entscheidest Du, wo Handlungsbedarf besteht und wie Du Ressourcen einsetzt.

Tipps für die Umsetzung

• Starte mit den elementaren Gefährdungen: Eine Gefährdung ist die Kombination von Bedrohung und Schwachstelle. Sie stellt das Szenario dar, dessen Risiko Ihr bewertet. Eine gute erste Übersicht bietet die ISO 27005 von 2018 oder die Elementargefährdungen des BSI.
• Risikobewertung einfach halten: Nutze eine 4×4-Matrix (Eintrittswahrscheinlichkeit vs. Auswirkung), um Risiken priorisieren zu können. Fasse gleichwertige Assets zu Gruppen zusammen und bewerte nur die Gefährdungen, die für das Asset relevant sind.
• Lieferantenrisiken aktiv managen: Frage Dich: „Welche Dienstleister haben Zugang zu unseren kritischen Daten?“
  • Bewerte Lieferanten nach Kritikalität (z. B. Daten-Zugang?), fordere ISMS-Nachweise oder Auditsrechte in Verträgen ab und überprüfe jährlich per Fragebogen. Beispiel: Für Cloud-Dienste klauselst Du SLA mit 99,9% Verfügbarkeit und Incident-Meldung innerhalb 24h. Das schützt Deine gesamte Supply Chain.
  • Integriere Security-by-Design in Ausschreibungen, indem Du SBOMs (Software Bill of Materials) und Vulnerability-Disclosure-Policies von Anbietern forderst.
• Priorisiere die Risiken: Konzentriere Dich auf die stärksten Risiken mit den am einfachsten umzusetzenden Maßnahmen. So erreichst Du gleich zu Beginn viel mit vergleichsweise geringen Einsatz und hast erste Erfolge.
• Regelungen für Anwender:innen kritischer Prozesse praxisnah gestalten: Formuliere Checklisten oder Kurzleitfäden für den Arbeitsalltag adressatengerecht – z. B. „Wann und wie werden E-Mails mit Ende-zu-Ende-Verschlüsselung versendet?“
• Sicherheit des Personals konkret umsetzen: Führe Background-Checks bei Einstellung sensibler Rollen durch, lass alle Mitarbeiter NDAs (Vertraulichkeitsvereinbarungen) unterschreiben und etabliere strukturierte On-/Offboarding-Prozesse mit Zugriffsrezessierung innerhalb 24 Stunden. Schulungen zu Clean-Desk-Policy und sicheren Home-Office-Praktiken (z. B. Laptop-Verschlüsselung) reduzieren Insider-Risiken. Regelmäßige Rechte-Rezertifizierung (vierteljährlich) stellt sicher, dass nur aktuelle Benutzer Zugriff haben.
• Stelle sicher, dass explizit in NIS-2 geforderte Sicherheitsmaßnahmen umgesetzt werden:
  • Schwachstellen frühzeitig aufdecken und schließen: Richte ein zentrales Patch-Management ein (z. B. 95% Coverage innerhalb 14 Tagen) und teste neue Software für kritische Prozesse via Sandbox vor Produktiv-Einsatz. So schließt Du Schwachstellen proaktiv.
  • Backup konkret umsetzen: Erstelle einen Backup-Plan mit 3-2-1-Regel (3 Kopien, 2 Medien, 1 offline), teste monatlich Wiederherstellungen und definiere Wiederanlaufzeiten (RTO/RPO) pro Prozess – z. B. kritische Systeme in < 4 Stunden.
  • Krypto-Policy erstellen: Aktuelle technische Richtlinie des BSI beachten „BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“. Audits prüfen Einsatz.
  • MFA und sichere Kommunikation ausrollen: Führe MFA überall ein (z. B. Ziel: 100% für Admins, 80% firmenweit) mit Fallback auf Hardware-Token, wo möglich. Nutze ein Messenger mit E2E für sensible Gespräche und richte redundante Notfallkanäle (Satellitentelefon, Offline-Listen) ein. Dokumentiere Quote und Tests für Audits.
  • Zugriffskontrolle wirksam gestalten: Implementiere ein Prinzip der geringsten Rechte (Least Privilege) mit rollenbasierter Zugriffsvergabe (RBAC) via Active Directory oder IAM-Tools, inklusive Just-in-Time-Zugriff für Admins. Regelmäßige Access Reviews (halbjährlich) und Logging aller Zugriffe ermöglichen Nachverfolgung. Ziel: Null-Standing-Privileges für kritische Systeme, mit MFA als zweiter Schicht überall.
• Maßnahmen müssen wirksam sein: Die bloße Umsetzung von Sicherheitsmaßnahmen allein reicht nicht aus. Überlege von Anfang an wie die Wirksamkeit einer Maßnahme nachgewiesen werden kann.
  • Ein Beispiel: Ihr führt einen zentralen Patch‑Prozess für Server ein.
    Zur Wirksamkeitsbewertung erfasst Ihr monatlich den Anteil der Server mit allen sicherheitsrelevanten Updates (z.B. Ziel: ≥ 95%) und vergleicht gleichzeitig die Anzahl kritischer Schwachstellen‑Funde aus dem Schwachstellenscan. Sinkt die Zahl kritischer Funde deutlich und bleibt die Patch‑Quote stabil hoch, bewertet Ihr die Maßnahme als wirksam.

3.2 Für Betreiber kritischer Anlagen

Deine zusätzlichen Ziele

• Funktionsfähigkeit kritischer Anlagen sicherstellen

Warum das wichtig ist:
Weil ein Ausfall oder eine Beeinträchtigung Deiner Leistungen (wie Energie, Wasser, Gesundheit oder Verkehr) erhebliche Gefahren für die öffentliche Sicherheit, die Wirtschaft und das tägliche Leben der Bevölkerung mit sich bringen kann.

Tipps für die Umsetzung

• Bedarf analysieren: Definiere relevante Betriebsparamter.
• Informierte Entscheidung treffen: Wähle und implementiere ein geeignetes Angriffserkennungssysteme (z. B. SIEM, IDS/IPS) für alle IT-Systeme, die für die Funktionsfähigkeit der kritischen Anlage maßgeblich sind.
• Reaktionsmechanismen einrichten: Erfasse relevante Betriebsparameter kontinuierlich und automisiere die Auswertung zur Erkennung von Abweichungen, um Reaktionsmechanismen einrichten zu können.

💡 „Risiken sind keine Hindernisse, sondern Wegweiser.“ – Mit diesem Schritt machst Du Dein Unternehmen widerstandsfähiger!

4. Notfallmanagement und Vorfallsbehandlung: Krisen meistern – Handlungsfähig bleiben

Deine Ziele

• Einen NIS-2-konformen Meldeprozess etablieren.
• Notfallpläne erstellen und üben, sourveränen Umgang mit Krisen sicherstellen.
• Sicherheitsvorfälle analysieren und daraus lernen.

Warum das wichtig ist:
Kein System ist perfekt – aber mit den richtigen Plänen minimiert Ihr Schäden und handelt schnell, wenn es darauf ankommt.

Tipps für die Umsetzung

• Meldeprozess testen: Führe eine Probe-Meldung durch, um Abläufe zu prüfen – z. B. mit einem fiktiven Sicherheitsvorfall.
• Notfallpläne lebendig halten: Aktualisiere sie mindestens einmal jährlich, teste die Pläne, schule die Verantwortlichen.
• In der Krise vorbereitet sein: Erstelle ein Krisenhandbuch mit Eskalationswegen und Kommunikationsmustern, das Du jährlich in Tabletop-Übungen trainierst. So minimierst Du Ausfälle für die kritischen Prozesse Deines Unternehmens.
• Vorfallsanalyse als Lernchance nutzen: Frage nach jedem Vorfall: „Was können wir besser machen?“
  • Beispiel:
    Analysiere Sicherheitsvorfälle mit der 5-W-Methode – z. B. bei einem Datenleck: Wer hatte Zugriff? Was wurde genau kompromittiert? Wann ist es passiert? Wo liegt die Schwachstelle? Warum konnte es passieren? – um gezielte Maßnahmen abzuleiten.

💡 „Eine Krise zeigt, wie gut Du vorbereitet bist.“ – Hier sorgst Du dafür, dass Dein Team im Ernstfall weiß, was zu tun ist!

5. Betrieb und kontinuierliche Verbesserung: ISMS lebendig halten – Sicherheit als Prozess

5.1 Für wichtige und besonders wichtige Einrichtungen

Deine Ziele

• Regelmäßig prüfen, ob in wie weit Ihr unter NIS-2 fällt.
• BSI-Anforderungen auf Aktualität prüfen und anpassen.
• Routineprozesse etablieren.
• Alle Mitarbeitenden regelmäßig schulen, um mögliche Einfallstore zu schließen.
• Die Wirksamkeit des ISMS messen und optimieren.

Warum das wichtig ist:
Ein ISMS ist kein einmaliges Projekt, sondern ein dynamischer Prozess. Nur durch kontinuierliche Anpassung bleibt es wirksam.

Tipps für die Umsetzung

• Statusprüfung automatisieren: Nutze Erinnerungen im Kalender oder ISMS-Tools, um Fristen (z. B. für BSI-Updates) nicht zu verpassen.
• Wirksamkeit messbar machen: Definiere KPIs wie „Anzahl der gemeldeten Vorfälle“ oder „Schulungsteilnahmequote“.
• Awareness-Programm für ALLE Mitarbeiter: Jährliche Pflicht-Schulungen, >80% Teilnahmerate, Wissensprüfung angepasst an die Aufgabenbereiche der Teilnehmenden.
• Feedback einholen: Frage Mitarbeiter:innen regelmäßig: „Wo siehst Du noch Verbesserungspotenzial?“

5.2 Für Betreiber kritischer Anlagen

Deine zusätzlichen Ziele:

• Die Implementierung, Inbetriebnahme und Zertifizierung des ISMS bis 2029 abschließen.
• Jederzeit auditfähig sein.

Warum das wichtig ist:
Betreiber von kritischen Anlagen müssen dem BSI Nachweisen, dass sie alle Anforderungen erfüllen und Ihr Sichheitsniveau nicht nur halten sondern auch verbessern.

Tipps für die Umsetzung

• Prüfe, ob es Standards Deiner Branche gibt, die Du umsetzen musst.
• Lege ein Rechtskataster an, um alle relevanten Rechtsgrundlagen für die Informationssicherheit zu identifizieren.
• Wähle einen Standard wie die ISO 27001, die auch international anerkannt wird, wenn Du Märkte über die Landesgrenzen hinaus bedienst.

💡 „Stillstand ist Rückschritt.“ – Mit diesem Schritt machst Du Dein ISMS zukunftssicher!

Fazit: Groß, aber machbar

Die Implementierung eines ISMS nach NIS-2 ist eine große Aufgabe, aber auch eine große Chance, Dein Unternehmen sicherer und resilienter zu machen. Mit diesem NIS-2-Projektplan hast Du eine klare Roadmap, um Schritt für Schritt voranzukommen. Du kannst nicht alles auf einmal umsetzen. Dran bleiben und das Thema Informationssicherheit in den Alltag verankern hilft Dir und Deinem Team dabei voran zu kommen und Euer Unternehmen sicher für die Zukunft aufzustellen.

Möchtest Du mehr Insights in die Umsetzung?

👉 Wenn Du Unterstützung suchst, ist vielleicht unser kostenfreier Praxiskurs „Getting NIS-2 Done!“ das Richtige für Dich.

---

Dein nächster Schritt:

• Starte mit Abschnitt 1 und sichere Dir die Rückendeckung der Geschäftsleitung.
• Nutze die Tipps, um jeden Schritt effizient umzusetzen.
• Bleib dran und stelle Dein Team hinter Dich.

💡 „Informationssicherheit ist kein Sprint, sondern ein Marathon. Aber mit dem richtigen Plan kommst Du ins Ziel!„