NIS2 in der Praxis – Teil 1: Security-Policy & Governance

Die NIS2 Security-Policy ist der zentrale Startpunkt der NIS2-Umsetzung.

Mit dem NIS2-Umsetzungsgesetz und dem BSIG-neu ist klar: Unternehmen, die als „wichtige“ oder „besonders wichtige Einrichtungen“ eingestuft werden, benötigen kein Sammelsurium einzelner Maßnahmen, sondern ein strukturiertes und nachweisbares Informationssicherheits-Management.

Der erste Baustein dafür ist die Politik zur Sicherheit von Netz- und Informationssystemen – häufig als NIS2 Security-Policy oder Informationssicherheitspolitik bezeichnet. Sie fungiert als „Verfassung“ Ihres ISMS und stellt den roten Faden durch alle NIS2-Anforderungen dar. Sie definiert:

• warum Informationssicherheit umgesetzt wird,
• welche Werte, Systeme und Dienste geschützt werden müssen,
• wer welche Verantwortung trägt,
• und nach welchen Prinzipien Risiken gesteuert werden.

In diesem ersten Teil unserer Reihe „NIS2 in der Praxis“ erfahren Sie:

• warum eine NIS2-konforme NIS2 Security-Policy unverzichtbar ist,
• welche Inhalte eine wirksame Sicherheitspolitik benötigt,
• welche Fehler Unternehmen in der Praxis häufig machen,
• und wie Sie in wenigen Schritten zu einer belastbaren, auditfähigen NIS2 Security-Policy kommen.

1. Warum die NIS2 Security-Policy unverzichtbar ist

Viele Unternehmen starten ihre NIS2-Umsetzung „bottom-up“: Es werden Maßnahmenlisten erstellt, Tools evaluiert oder Schulungen geplant. Das ist grundsätzlich sinnvoll – doch ohne übergeordnete NIS2 Security-Policy fehlt der strategische Rahmen.

Typische Folgen:

• unklare Bewertung, welche Systeme und Dienste wirklich kritisch sind,
• diffuse Verantwortlichkeiten („die IT macht das schon“),
• Risikobewertungen „aus dem Bauch heraus“ statt systematisch dokumentiert,
• kein klares Führungsdokument für Geschäftsleitung und Aufsicht.

NIS2 und BSIG-neu drehen dieses Bild um: Informationssicherheit wird explizit als Management- und Governance-Thema definiert. Eine formal beschlossene NIS2 Security-Policy ist dafür der logische und zwingende Startpunkt.

2. Was eine NIS2 Security-Policy leisten muss

Eine wirksame NIS2 Security-Policy ist kurz, klar und auf Management-Ebene formuliert – keine technische Detailrichtlinie, sondern ein strategisches Leitdokument, an dem sich alle weiteren NIS2-Maßnahmen orientieren.

Zweck und Geltungsbereich der NIS2 Security-Policy

• Warum Informationssicherheit im Unternehmen umgesetzt wird (z. B. Schutz von Verfügbarkeit, Integrität, Vertraulichkeit, Compliance, Reputation).
• Welche Standorte, Organisationseinheiten, Systeme und Dienste vom Geltungsbereich der NIS2 Security-Policy umfasst sind.
• Verweis auf NIS2 / BSIG-neu („Diese Policy dient auch der Erfüllung der gesetzlichen Pflichten …“).

Schutzziele & Grundprinzipien in der NIS2 Security-Policy

• Definition relevanter Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität, Nachvollziehbarkeit).
• Grundprinzipien wie „Need-to-Know“, „Security by Design/Default“, „Verhältnismäßigkeit“ und „risikobasierter Ansatz“.

Rollen & Verantwortlichkeiten in der NIS2 Security-Policy

• Aufgaben der Geschäftsleitung (Genehmigung, Steuerung, Überwachung).
• beteiligte Funktionen wie CISO/Informationssicherheitsbeauftragter, IT-Leitung, Fachbereichsverantwortliche, Datenschutz, Krisenstab.
• Grundsatz der Funktionstrennung (z. B. zwischen Betrieb und Kontrolle).

Risikomanagement & Entscheidungsgrundlagen

• Grundsätze, nach denen Risiken identifiziert, bewertet und behandelt werden.
• Regeln zum Umgang mit Risikoakzeptanz (wer darf was akzeptieren, und wie wird das dokumentiert?).
• Bezug zu einer separaten Risikomanagementrichtlinie, die später in Teil 2 der Reihe vertieft wird.

Struktur der nachgelagerten Richtlinien und Prozesse

• Verweis auf thematische Richtlinien (z. B. Incident-Management, Business Continuity, Lieferkette, Zugangskontrolle, Kryptografie, Schulungen).
• Darstellung als „Dokumentenlandkarte“: Die NIS2 Security-Policy zeigt, welche weiteren Dokumente existieren oder aufgebaut werden.

Governance, Überprüfung & Nachweisführung

• Wie oft die NIS2 Security-Policy überprüft wird (z. B. jährlich oder anlassbezogen).
• Wer Aktualisierungen initiiert und wer sie genehmigt.
• Wie sichergestellt wird, dass die Policy im Unternehmen kommuniziert und verstanden wird.
• Hinweis, dass Entscheidungen, Risikobewertungen und Maßnahmen dokumentiert werden.
• Verknüpfung zu Berichten für die Geschäftsleitung und – falls nötig – für Behörden und Prüfer.

3. Häufige Fehler bei der NIS2 Security-Policy

Aus Projekten und Audits sehen wir immer wieder ähnliche Probleme im Umgang mit der NIS2 Security-Policy:

Copy-Paste-Policy

• Eine Vorlage wird 1:1 übernommen, ohne Bezug auf Branche, Geschäftsmodell oder NIS2/BSIG-neu.
  Grundsätzlich: ja, man kann mit Vorlagen arbeiten, aber diese sind anzupassen!
• Ergebnis: In Audits leicht zu erkennen, im Alltag ohne Wert.

Zu technisch, zu detailliert

• Die NIS2 Security-Policy wird mit technischen Vorgaben überfrachtet, die eigentlich in Betriebsrichtlinien gehören.
• Ergebnis: Niemand liest sie, schon gar nicht die Geschäftsleitung.

Keine klare Verantwortlichkeit

• Es bleibt unklar, wer in welchem Umfang Entscheidungen treffen darf und wer für Umsetzung und Kontrolle zuständig ist.
• Ergebnis: Im Vorfallfall zeigt jeder auf jeden.

Keine Verknüpfung zum Risikomanagement

• Risikofragen werden situativ beantwortet („machen wir schon irgendwie“) statt auf Basis einer gemeinsamen Linie, die in der NIS2 Security-Policy beschrieben ist.
• Ergebnis: Inkonsistente Entscheidungen, schwer verteidigbar bei Aufsicht und Haftungsfragen.

Policy ohne gelebten Prozess

Die NIS2 Security-Policy existiert nur als Dokument, aber niemand arbeitet damit. Ergebnis: „Schönes Paper“, aber kein Beitrag zur NIS2-Compliance.

4. In 5 Schritten zur NIS2 Security-Policy

Sie müssen dafür kein 50-Seiten-Monster erstellen. Eine schlanke, klare NIS2 Security-Policy reicht – sofern sie zur Praxis passt und tatsächlich gelebt wird.

Schritt 1: Ausgangslage klären

• Welche Richtlinien und Policies existieren bereits (z. B. ISO 27001, BSI-Standard, interne Compliance-Dokumente)?
• Gibt es schon Beschlüsse der Geschäftsleitung zu Informationssicherheit oder NIS2, an die die NIS2 Security-Policy andocken kann?

Schritt 2: Scope & Ziele der NIS2 Security-Policy definieren

• Festlegen, welche Systeme und Dienste im Fokus stehen (z. B. NIS2-relevante Services, kritische Prozesse).
• die wichtigsten Schutzziele formulieren und mit der Geschäftsleitung abstimmen.

Schritt 3: Governance und Rollen schärfen

• Verantwortlichkeiten in der NIS2 Security-Policy benennen (inkl. Vertretungen).
• Reporting-Linien festlegen (z. B. regelmäßiger Bericht des ISB/CISO an die Geschäftsleitung).

Schritt 4: Struktur der weiteren Richtlinien festlegen

• Entscheiden, welche thematischen Richtlinien folgen sollen (z. B. Risikomanagement, Incident-Management, BCP, Lieferkette).
• Diese Struktur bereits in der NIS2 Security-Policy als „Dokumentenlandkarte“ verankern.

Schritt 5: Beschluss & Kommunikation

• Entwurf der NIS2 Security-Policy mit der Geschäftsleitung finalisieren.
• formalen Beschluss einholen (Protokoll genügt).
• Policy im Intranet oder in der Wissensplattform veröffentlichen und gezielt kommunizieren.

Im Rahmen einer NIS2-Gap-Analyse oder eines NIS2-Coachings kann dieser Prozess sehr effizient gestaltet werden – inklusive Mustertexten, Review und Klarstellung der NIS2 Security-Policy gegenüber Management und Prüfern.

5. Wie es mit der NIS2 Security-Policy weitergeht

Dieser Beitrag bildet den Auftakt unserer Reihe: NIS2 Security-Policy & Governance.

In Teil 2 geht es weiter mit der Risikomanagementrichtlinie:

• wie Sie Risikobereitschaft, Risikotoleranz und Risikoakzeptanz greifbar machen,
• wie Sie ein NIS2-fähiges Risikomanagement an bestehende ISO- oder BSI-Rahmen andocken,
• und wie aus einer Excel-Liste ein wirklich nutzbares Steuerungsinstrument wird.

Mit einer klar definierten NIS2 Security-Policy und einer sauberen Risikomanagementrichtlinie schaffen Sie die Grundlage für ein strukturiertes, prüfbares und gesetzeskonformes NIS2-Informationssicherheits-Management.