NIS2 Wirksamkeitsbewertung – KPIs & Nachweise

In den bisherigen Teilen unserer Reihe „NIS2 in der Praxis“ ging es unter anderem um Security-Policy, Risikomanagement, Incident Management, Business Continuity und Lieferkettensicherheit.

Alle diese Maßnahmen haben eines gemeinsam:

Sie entfalten ihren Nutzen nur dann, wenn sie gelebt, überwacht und regelmäßig verbessert werden.

Genau hier setzt die NIS2-Umsetzungsverordnung an. Sie widmet der Bewertung der Wirksamkeit von Risikomanagementmaßnahmen ein eigenes Kapitel (Annex 7).

Die Botschaft ist eindeutig:

Es reicht nicht aus, Sicherheitsmaßnahmen einmal einzuführen. Organisationen müssen systematisch prüfen, ob diese Maßnahmen wirksam sind, die Ergebnisse dokumentieren und daraus Verbesserungen ableiten.

Der ENISA Technical Implementation Guidance ordnet diese Anforderungen in bekannte Governance-Modelle ein, wie sie aus ISO 27001, NIST CSF oder BSI-Standards bekannt sind. Grundlage ist der kontinuierliche Verbesserungszyklus:

Plan – Do – Check – Act.

Für die NIS2-Wirksamkeitsbewertung bedeutet das:

Neben technischen und organisatorischen Maßnahmen benötigen Sie einen klar definierten Prüf-, Steuerungs- und Verbesserungsprozess.

Nach Annex 7 der NIS2UmsVO müssen betroffene Einrichtungen die Wirksamkeit ihrer Risikomanagementmaßnahmen überwachen und bewerten.

Dazu gehören insbesondere:

• regelmäßige Bewertungen und interne Audits,

• Überwachung anhand geeigneter Indikatoren und Kennzahlen,

• Tests und Übungen wie Notfall-, Krisen- oder Incident-Response-Übungen,

• Berichte an die Leitungsebene, um Entscheidungen und Prioritäten zu steuern.

Wirksamkeitsbewertung ist damit kein einmaliges Projekt, sondern ein fortlaufender Prozess.

In der Praxis besteht die Wirksamkeitsbewertung aus mehreren sich ergänzenden Elementen:

• kontinuierliches Monitoring und Kennzahlen,

• interne Audits und Selbstbewertungen,

• technische Tests und Übungen,

• Management-Reviews,

• strukturierte Dokumentation und Nachweise.

Diese Bausteine sind eng an ENISA-Empfehlungen angelehnt und lassen sich gut in bestehende ISMS-Strukturen integrieren.

Ein häufiger Fehler in der Praxis ist das Sammeln zu vieler Kennzahlen ohne klare Aussagekraft. Für NIS2 reichen wenige, gut gewählte KPIs und KRIs aus.

Geeignete Beispiele sind:

Governance und Organisation

• Anteil der NIS2-relevanten Dienste mit aktueller Security-Policy

• Durchführung von Management-Reviews (z. B. mindestens einmal jährlich)

Risikomanagement

• Anteil identifizierter Risiken mit definierter Risikobehandlung

• Anzahl dokumentierter Risikoakzeptanzen durch die Geschäftsleitung

Incident Management

• durchschnittliche Zeit von Erkennung bis Reaktion (MTTD/MTTR)

• Anteil der Incidents mit vollständiger Dokumentation und Lessons Learned

Business Continuity und Backups

• Erfolgsquote von Restore-Tests

• Einhaltung definierter RTO- und RPO-Werte

Lieferkette

• Anteil kritischer Lieferanten mit vertraglich geregelten Sicherheitsanforderungen

• regelmäßige Sicherheitsbewertungen kritischer Anbieter

Schulungen und Awareness

• Schulungsquote Informationssicherheit/NIS2

• Ergebnisse von Phishing-Simulationen

Wichtig ist nicht die Menge der Kennzahlen, sondern deren regelmäßige Auswertung und Nutzung im Management.

Ein NIS2-konformer Prüf- und Auditplan sollte unter anderem enthalten:

• interne Audits zu ausgewählten Schwerpunktthemen,

• geplante technische Tests wie Penetrationstests oder Schwachstellenscans,

• Notfall- und Krisenübungen,

• einen festen Management-Review-Termin.

Dabei können etablierte Rahmenwerke wie ISO 27001 oder BSI-Standards direkt als Orientierung genutzt werden.

Damit Prüfungen und Audits nicht im Chaos enden, empfiehlt sich ein strukturierter Nachweisansatz:

• ein zentrales Nachweisverzeichnis mit Verantwortlichkeiten,

• standardisierte Templates für Auditberichte, Incident-Reports und Reviews,

• klare Versionierung und Freigabeprozesse,

• Zuordnung der Nachweise zu konkreten NIS2-Anforderungen.

So können Sie bei Anfragen von Aufsichtsbehörden oder Prüfern gezielt belegen, wie Sie die Wirksamkeit Ihrer Maßnahmen sicherstellen.

Die Wirksamkeitsbewertung erfordert klare Zuständigkeiten:

• Informationssicherheit / CISO: Konzeption von KPIs, Audit- und Prüfplänen

• Fachbereiche: Mitwirkung bei Bewertungen und Umsetzung von Maßnahmen

• IT / OT: technisches Monitoring, Tests und Kennzahlen

• Geschäftsleitung: Steuerung, Priorisierung, Ressourcenfreigabe und Risikoentscheidungen

ENISA betont hier besonders die Bedeutung des Management-Engagements.

1. Bestehende Kennzahlen und Audits erfassen

2. Zielbild für KPIs, Audits und Tests definieren

3. Prüf- und Reportingplan erstellen

4. Nachweisstruktur und Templates aufbauen

5. Pilotphase durchführen und das System kontinuierlich verbessern

Mit der Wirksamkeitsbewertung schlagen Sie die Brücke zwischen der Einführung von Maßnahmen und deren aktiver Steuerung.

In den folgenden Teilen der Reihe geht es um weitere operative Bausteine wie Schulungen, Kryptografie, Zugriffssteuerung und Asset-Management – immer mit derselben Leitfrage:

Woran messen wir, ob es wirklich wirkt?