Viele Unternehmen atmen auf, wenn sie die Anforderungen der NIS2-Richtlinie formal umgesetzt haben. Die Prozesse sind dokumentiert, die Technik aufgerüstet, die Schulungen durchgeführt – und der Gedanke liegt nahe, das Thema erst einmal abzuhaken. Doch genau hier lauert eine der größten Gefahren: NIS2-Compliance ist kein Abschluss, sondern ein Betriebszustand. Er muss jeden Tag hergestellt, überwacht und verbessert werden – genauso wie Verfügbarkeit oder Servicequalität. Cyberbedrohungen entwickeln sich weiter, Geschäftsmodelle ändern sich, die Lieferkette ist in Bewegung, und auch die aufsichtsrechtlichen Erwartungen werden geschärft. Wer nach der initialen Umsetzung in den Wartemodus schaltet, riskiert nicht nur Bußgelder, sondern vor allem reale Sicherheitslücken.

Dieser Beitrag zeigt, wie Sie NIS2 nicht nur „erfüllen“, sondern als belastbare Routine verankern: mit klaren Verantwortlichkeiten, einem schlanken Regelkreis, messbaren Kennzahlen, einer gelebten Sicherheitskultur und praktischen Werkzeugen, die den Aufwand senken statt ihn zu steigern.

Für viele Unternehmen ist das Wort „Audit“ immer noch ein Synonym für Stress, lange To-do-Listen und schlaflose Nächte. Das gilt umso mehr, wenn es um neue regulatorische Anforderungen wie DORA geht. Schließlich verlangt die EU-Verordnung nicht nur, dass Unternehmen ihre digitale Resilienz aufbauen und pflegen – sie müssen auch jederzeit nachweisen können, dass sie dies tatsächlich tun. Audits sind das zentrale Instrument, mit dem Aufsichtsbehörden überprüfen, ob Prozesse, Systeme und organisatorische Strukturen den Vorgaben entsprechen. Wer hier unvorbereitet auftritt, riskiert nicht nur negative Feststellungen, sondern auch Bußgelder, Reputationsschäden und im schlimmsten Fall Einschränkungen im Geschäftsbetrieb. Dabei kann ein DORA-Audit deutlich entspannter verlaufen, wenn Unternehmen frühzeitig die richtigen Strukturen schaffen und Auditfähigkeit als Dauerzustand begreifen, nicht als kurzfristige Projektaufgabe.

Was DORA wirklich prüft: Mehr als Technik

Der wichtigste Schritt zu einem souveränen Audit ist das Verständnis, was DORA überhaupt nachprüft. Die Verordnung deckt ein breites Spektrum ab: vom IKT-Risikomanagement über Incident Reporting und Resilienztests bis hin zum Management von Drittparteien und dem Informationsaustausch im Sektor. Das bedeutet: Audits verlangen technische und organisatorische, vertragliche und strategische Nachweise. Ein Penetrationstest-Bericht mag zeigen, dass ein System hart ist – wenn der dazugehörige Prozess für Schwachstellenmanagement nicht dokumentiert oder nicht gelebt ist, bleibt eine Lücke. Ebenso sehen Auditoren Inkonsistenzen sofort: Was im Risikoregister steht, muss mit Testberichten, Vorfall-Eskalationswegen und Lieferantenverträgen zusammenpassen.

Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist so etwas wie die „Enzyklopädie“ der deutschen Informationssicherheit – und trotzdem kennen viele Unternehmen es nur vom Hörensagen oder sehen es als schwerfälligen Behördenwälzer, den man allenfalls für Audits hervorholt. In Wahrheit ist dieses Werk eine der wertvollsten und praxisnahsten Ressourcen, die es im Bereich Cyber- und Informationssicherheit gibt. Wer es versteht und richtig einsetzt, hat nicht nur ein umfassendes Nachschlagewerk, sondern auch einen methodischen Baukasten, mit dem sich fast jede Sicherheitsanforderung strukturiert und nachvollziehbar umsetzen lässt. Gerade in Zeiten von NIS2, DORA, KRITIS-Regelungen oder branchenspezifischen Sicherheitskatalogen liefert der IT-Grundschutz einen roten Faden: Was muss ich organisieren? Welche Maßnahmen sind Stand der Technik? Wie belege ich wirksam, dass wir es tun?

Bausteinlogik statt Bleiwüste: Wie das Kompendium aufgebaut ist

Das Besondere am IT-Grundschutz-Kompendium ist seine Bausteinlogik. Es ist nicht als reines Lehrbuch geschrieben, sondern als Sammlung modularer Sicherheitsbausteine, die je nach Bedarf zusammengesetzt werden können. Jeder Baustein steht für einen klar umrissenen Bereich – das kann ein technisches Thema sein wie „Server“, „Datenbanken“, „Netzkomponenten“ oder „Virtualisierung“, ein organisatorischer Prozess wie „Patch- und Änderungsmanagement“, „Lieferantenmanagement“ und „Incident-Management“, eine physische Komponente wie „Serverraum“ oder „Rechenzentrum“ oder Querschnittthemen wie „Cloud-Nutzung“, „Mobile Arbeit“ und „Kryptokonzept“.

Resilienz ist kein Zufallsprodukt. Sie entsteht nicht allein durch technische Schutzmaßnahmen oder durch das Verfassen von Notfallplänen. Wirkliche Widerstandsfähigkeit zeigt sich erst im Ernstfall – und dafür müssen Unternehmen vorbereitet sein. DORA macht deshalb unmissverständlich klar: Digitale Resilienz ist nicht nur zu planen, sondern regelmäßig und systematisch zu testen. Der Grundgedanke ist einfach: Ein Unternehmen kann nur dann sicherstellen, dass es auf IKT-Störungen, Cyberangriffe oder sonstige digitale Notlagen wirksam reagiert, wenn es diese Szenarien vorher geübt hat. Dabei geht es nicht um symbolische Trockenübungen, sondern um realistische, teilweise sehr anspruchsvolle Tests, die technische Systeme, organisatorische Abläufe und menschliches Handeln gleichermaßen prüfen.

Kritische Funktionen kennen: Ohne Zielbild keine sinnvollen Übungen

Die Grundlage solcher Resilienztests ist eine klare Definition der kritischen Funktionen und Prozesse. Nur wenn bekannt ist, welche Systeme, Daten, Anwendungen und Kommunikationswege für den Geschäftsbetrieb unverzichtbar sind, lassen sich sinnvolle Übungsszenarien entwickeln. DORA verlangt, dass Unternehmen ihre kritischen Assets genau kennen und für diese gezielt Testpläne entwickeln. Das muss nicht immer die gesamte Organisation betreffen – oft sind fokussierte Tests auf einzelne, hochkritische Prozesse effektiver. Entscheidend ist, dass die Auswahl der Tests risikobasiert erfolgt: Je kritischer eine Funktion, desto intensiver und häufiger wird getestet. Dazu gehört auch eine Business-Impact-Analyse (BIA) mit RTO/RPO-Zielen sowie Schutzbedarfen entlang von Vertraulichkeit, Integrität und Verfügbarkeit – ergänzt um Resilienz, Nachvollziehbarkeit und Portabilität.

Wer in Deutschland ein strukturiertes Informationssicherheits-Managementsystem (ISMS) aufbauen will, steht früher oder später vor einer strategischen Weichenstellung: ISO/IEC 27001 oder BSI IT-Grundschutz? Beide Ansätze sind anerkannt, beide gelten als robust, beide können zu einer Zertifizierung führen. Und doch unterscheiden sie sich in Philosophie, Detailtiefe, Flexibilität, Nachweisführung und internationaler Reichweite. Die Entscheidung ist nicht trivial; sie hängt von Unternehmensgröße, Branche, Kundenanforderungen, regulatorischen Vorgaben, Lieferketteneinbindung und – nicht zu unterschätzen – von der Unternehmenskultur ab. Wer das für sich passende Modell wählen will, sollte verstehen, was beide Ansätze ausmacht, wie sie geprüft werden und wo ihre jeweiligen Stärken liegen. Genauso wichtig: Es ist keine dogmatische Entweder-oder-Frage. Hybride Wege sind nicht nur möglich, sondern oft sinnvoll.

ISO/IEC 27001: Risikobasiert, flexibel, weltweit anschlussfähig

ISO/IEC 27001 ist der international verbreitetste Standard für ISMS. Sein Kern ist Risikomanagement: Organisationen definieren ihren Kontext, identifizieren Informationswerte, analysieren Risiken und wählen angemessene Maßnahmen. Die Norm gibt die Management-Mechanik vor (Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung), lässt aber bewusst Freiraum in der Ausgestaltung. Diese Flexibilität ist eine große Stärke: