Implementierung von NIS2: Lückenanalyse und priorisierte Massnahmen bis zum Jahresende

Aktueller Stand 2025 – Was Unternehmen bereits erreicht haben

Auch wenn die nationale Umsetzung der NIS2-Richtlinie noch läuft, agieren viele Unternehmen bereits im Sinne der neuen Anforderungen. Verantwortlichkeiten und Meldewege sind definiert, Risikoanalysen etabliert, SOC-Strukturen ausgebaut. Der Aufbau operativer Kontrollmechanismen für Incident-Response und Cyber-Risikomanagement schreitet sichtbar voran.

Laut Bitkom (CISO Report 2025) haben 64 % der betroffenen Unternehmen ein formelles Cyber-Risikomanagement implementiert, über 70 % definierte Incident-Response-Prozesse. Fortschritte sind sichtbar, jedoch zeigt die operative Praxis deutliche Unterschiede bei Tiefe, Integrationsgrad und Systemabdeckung.

NIS2-Compliance im Realitätscheck: Technische Defizite und operative Gaps

Trotz vieler Fortschritte bestehen bei der Umsetzung gravierende Lücken. In Audits und technischen Assessments zeigt sich, dass viele Unternehmen zentrale Anforderungen nur teilweise oder rein formal erfüllen:

• SIEM-Infrastrukturen sind zwar vorhanden, aber nicht voll integriert. Insbesondere OT-Assets oder externe Dienstleister:innen werden oft nicht aktiv überwacht.
• Identity & Access Management (IAM) ist häufig unvollständig umgesetzt – privilegierte Zugänge bleiben ohne MFA, Schatten-IT unterläuft zentrale Steuerung.
• Patch-Management und Schwachstellenanalysen erfolgen vielfach noch manuell oder zu selten – insbesondere bei Drittanwendungen oder IoT-Komponenten.
• Lieferkettensicherheit wird zwar organisatorisch adressiert, aber technisch kaum durch Monitoring, Zertifizierung oder Penetration Testing gestützt.
• Business-Continuity-Pläne sind vorhanden, aber Failover-Tests und Wiederanlaufzeiten (RTO/RPO) werden selten praktisch überprüft.

Endspurt für NIS2: Priorisierte Massnahmen bis Jahresende

Im verbleibenden Zeitraum stehen kontrollierbare, auditierbare Mechanismen im Fokus:

1. Netzwerksegmentierung und feingranulare Zugriffspolicies
   Zero-Trust-Prinzipien, Mikrosegmentierung und software-definierte Netzwerkzonen reduzieren laterale Bewegungen. Remote-Zugriffe – insbesondere in OT-Umgebungen – sollten via ZTNA abgesichert werden.
2. Automatisiertes Schwachstellen- und Patch-Management
   Regelmässige Scans, Risk-Based-Priorisierung, automatisierte Rollouts und Asset-Kategorisierung nach Kritikalität stärken Angriffsoberflächenschutz und Audit-Nachweise.
3. MFA und Privileged-Access-Security
   Privilegierte Konten benötigen konsistente MFA-Policies, Session-Monitoring und Just-in-Time-Access. OT-Zugriffe müssen denselben Schutz erhalten.
4. Technische Lieferkettensicherung
   SBOM-basierte Transparenz, API-Gateway-Policies, Dependency-Scans und Zero-Trust-Vendor-Access schaffen praktikable Kontrolle über Drittanbieter:innen-Risiken.
5. Incident Response operationalisieren
   SOAR-gestützte Playbooks, Red-Team-Simulationen, Wiederanlauftests und Messung von Response-KPI (MTTD/MTTR) erhöhen Reaktionsfähigkeit und Audit-Validität.

Die Orientierung verschiebt sich klar in Richtung reproduzierbarer technischer Kontrollmechanismen.

NIS2-Umsetzung in kritischen Sektoren

Sektorübergreifende Muster zeigen, dass technische Konsistenz und Nachweisbarkeit den Reifegrad bestimmen. Konkrete Umsetzungen in kritischen Sektoren zeigen, welche Architekturmuster sich bewähren. Entscheidend ist überall, dass Sicherheitskontrollen technisch verankert und nicht als nachgelagerte Compliance-Schicht verstanden werden.

• Finance & Tax:
  Identity-first-Kontrollen, konsolidierte SIEM-Pipelines über Kernbankensysteme und Cloud-Workloads, Privileged-Session-Monitoring und automatisierte Response-Prozesse mit definierten MTTD/MTTR-Zielen.
• Energy & Utilities:
  Integration von OT-Telemetry in SOC-Strukturen, SCADA-Segmentierung, ZTNA für Remote-Zugriffe sowie Compensating Controls für nicht sofort patchbare Steuerkomponenten. Failover-Tests zur Sicherstellung der Versorgungskontinuität.
• Healthcare & Life Sciences:
  Durchgängige Asset-Transparenz in klinischen Netzen, Härtung medizinischer Devices, kontrollierte Identitätsketten für Patient:innendaten und geprüfte Wiederanlaufprozesse in hybriden Betriebsmodellen.
• Manufacturing:
  IIoT-Systeme in Schwachstellenprozesse eingebunden, segregierte Produktionsnetzwerke, automatisierte Anomalie-Erkennung und definierte Containment-Pfade, um Stillstände zu vermeiden.

Diese sektorübergreifenden Beobachtungen machen deutlich: NIS2 setzt sich dort durch, wo Sicherheitslogik in Infrastruktur- und Betriebsprozesse integriert wird.

Technische Architektur für NIS2: Modularität, Automatisierung, Kontrolle

Eine stabile, modulare IT-Architektur ist ein Schlüsselfaktor für die technische Umsetzbarkeit von NIS2-Massnahmen. Unternehmen, die auf API-first, Containerisierung und Composable Architecture setzen, können Sicherheitsmechanismen granular, schnell und ohne Legacy-Einschränkungen integrieren.

Gleichzeitig steigt die Bedeutung intelligenter Automatisierung. RPA-basierte Vorfallserkennung, automatisierte Ticketing-Systeme oder AI-gestützte Anomalie-Erkennung erhöhen nicht nur die Effizienz, sondern auch die Nachvollziehbarkeit – essenziell für Audits und Meldepflichten.

NIS2-Operationalisierung: Sicherheit als fester Bestandteil des IT-Betriebs

In den kommenden Monaten verschiebt sich der Schwerpunkt von der initialen Umsetzung hin zu stabilen Betriebsroutinen. Doch wer NIS2 als einmalige Pflicht versteht, greift zu kurz – entscheidend ist die technische Verankerung im laufenden Betrieb.
CONVOTIS unterstützt Unternehmen dabei, Sicherheitsmechanismen strukturell in Architektur, Deployment und Monitoring zu integrieren, damit Compliance nicht nur erfüllt, sondern operativ gelebt wird.