Ein praxisnaher NIS2-Leitfaden für Netzwerkmanager und IT-Direktoren

Die Einführung der NIS2-Richtlinie stellt keinen grundlegenden technologischen Wandel dar, markiert jedoch eine klare Veränderung der Erwartungen und Verantwortlichkeiten. Für Netzwerkmanager und IT-Direktoren ändert NIS2 die technischen Anforderungen nicht wesentlich, hebt jedoch die Anforderungen an das, was nachweisbar sein muss, deutlich an. In den Niederlanden wird dieser Wandel konkret, sobald die Richtlinie in nationales Recht überführt wird und sich die Aufsichtspraxis herausbildet.

NIS2 verlangt keine perfekten Netzwerke. Gefordert ist ein explizites, verhältnismäßiges und kontinuierliches Risikomanagement. In großen Organisationen, in denen Netzwerke über Jahre gewachsen und zwangsläufig heterogen sind, stellt dies eine praktische Herausforderung dar. Legacy-Umgebungen sind dabei nicht die Ausnahme, sondern der Ausgangspunkt.

NIS2: Stärkung der Sorgfaltspflicht, nicht der Technologie

Im Kern baut NIS2 auf bekannten Prinzipien auf: Risikomanagement, Vorfallerkennung, Resilienz und Governance. Neu sind die formalisierte Sorgfaltspflicht, strengere Anforderungen an die Meldung von Sicherheitsvorfällen sowie die Einführung persönlicher Haftung für Vorstandsmitglieder. Diese Haftung wird häufig technisch interpretiert – eine Fehlannahme.

Vorstandsmitglieder sind nicht für einzelne Konfigurationsentscheidungen verantwortlich. Sie sind dafür verantwortlich, nachweisen zu können, dass angemessene Maßnahmen umgesetzt wurden, Risiken bewertet wurden und sie ausreichend informiert waren. Die Qualität dieser Informationslage entscheidet maßgeblich darüber, ob die Sorgfaltspflicht erfüllt werden kann.

Die Rolle des Netzwerkmanagers und IT-Direktors

Für Netzwerkmanager und IT-Direktoren verlagert NIS2 Verantwortung vom Impliziten ins Explizite. Sie bleiben für Verfügbarkeit und Stabilität verantwortlich, werden jedoch zugleich zur zentralen Quelle für Einblicke in technische Risiken auf Vorstandsebene.

Ihre Aufgabe ist es nicht, jedes Risiko zu eliminieren, sondern Risiken sichtbar, priorisiert und erklärbar zu machen. Konkret bedeutet dies, in der Lage zu sein:

• zu identifizieren, welche Teile des Netzwerks kritisch sind,
• die Auswirkungen von Konfigurations- und Designentscheidungen zu verstehen und
• Risiken aus Legacy-Systemen oder betrieblichen Einschränkungen explizit zu benennen.

Fehlt diese Übersetzungsebene, entsteht eine Governance-Lücke, in der Haftungsfragen nur schwer zu steuern sind.

Inventarisierung und Kontrolle der Netzwerklandschaft

Ein dauerhaftes Problem in vielen Organisationen ist das Fehlen eines aktuellen, zentralen Überblicks über die Netzwerkumgebung. Geräte, Softwareversionen und Konfigurationszustände sind häufig auf verschiedene Teams, Tools und unvollständige Dokumentationen verteilt.

NIS2 macht diese fehlende Transparenz zu einem compliance-relevanten Thema. Risikobasiertes Management setzt Einblick voraus. Automatisierte Inventarisierung und Konfigurationskontrolle sind daher keine Optimierungsmaßnahmen, sondern grundlegende Fähigkeiten. Managed-Network-Services, die dies strukturell unterstützen, ermöglichen es, bestehende heterogene Umg

Konfigurationsmanagement und Nachweisbarkeit

Während der Netzwerkbetrieb traditionell stark auf Erfahrung und manuelle Prozesse gestützt war, verlangt NIS2 Nachweisbarkeit. Änderungen müssen nachvollziehbar, Abweichungen erklärbar und Kontrollen überprüfbar sein.

Damit werden Konfigurationsmanagement, Änderungsprotokollierung und regelmäßige Validierung von operativen Best Practices zu einer Governance-Notwendigkeit. Ziel ist nicht die Erfüllung von Audits um ihrer selbst willen, sondern die glaubhafte Demonstration der Kontrolle über das Netzwerk – selbst dann, wenn Komplexität oder technische Altlasten unvermeidbar sind.

Verfügbarkeit und Resilienz als Sicherheitsaufgaben

NIS2 definiert Verfügbarkeit ausdrücklich als Teil der Cybersicherheit. Netzwerkarchitektur, Redundanz und Wiederherstellungsfähigkeiten werden damit unmittelbar compliance-relevant. Viele Netzwerke sind technisch redundant, aber operativ fragil: Failover-Mechanismen existieren auf dem Papier, wurden jedoch nie unter realen Bedingungen getestet.

Eine systematische Analyse der Exponierung hilft, diese Schwachstellen sichtbar zu machen. Dabei geht es nicht nur um klassische Schwachstellen, sondern auch um Design-, Konfigurations- und Abhängigkeitsrisiken. Exponierungsmanagement fokussiert sich auf Auswirkungen und Wechselwirkungen statt auf isolierte technische Befunde.

Legacy: explizite Akzeptanz und kontrolliertes Risiko

Ein zentraler und häufig missverstandener Aspekt von NIS2 ist der Umgang mit Legacy-Systemen. Die Richtlinie verlangt keine Modernisierung um der Modernisierung willen, sondern Risikokontrolle. Legacy-Komponenten sind zulässig, sofern ihre Risiken verstanden und angemessen mitigiert werden.

Für Netzwerkmanager bedeutet dies, dass Legacy offen dokumentiert und adressiert werden muss, nicht verdeckt. Kompensierende Maßnahmen wie intensiveres Monitoring, Segmentierung, erweitertes Konfigurationsmanagement oder eingeschränkter Zugriff sind oft realistischer und wirksamer als umfassende Austauschprogramme. Zielgerichtete Assessments und Security-Consulting helfen, diese Entscheidungen belastbar zu formalisieren.

Vorstandsverantwortung, Haftung und Informationslage

Die persönliche Haftung unter NIS2 verändert vor allem die Beziehung zwischen Vorstand und IT. Vorstandsmitglieder müssen nachweisen können, dass sie über wesentliche Risiken informiert waren und Entscheidungen auf dieser Basis getroffen wurden. Voraussetzung dafür ist ein reifer und verlässlicher Informationsfluss aus IT- und Netzwerkmanagement.

Hier ist die Verantwortung von IT-Direktoren und Netzwerkmanagern eindeutig: konsistente, verständliche und realistische Risikoinformationen bereitzustellen. Nicht vereinfacht, sondern übersetzt in Auswirkungen, Eintrittswahrscheinlichkeiten und Steuerbarkeit. Unabhängige Audits und Assessments übernehmen dabei häufig die Rolle einer objektiven Brücke zwischen technischer Realität und Governance-Anforderungen.

Ausblick: vom Compliance-Projekt zur dauerhaften Disziplin

Mit der Umsetzung von NIS2 wird Compliance von einer projektbasierten Aufgabe zu einem Thema kontinuierlicher Kontrolle. Der Fokus der Aufsicht dürfte auf Nachweisbarkeit, Verhältnismäßigkeit und der Reife der Managementprozesse liegen – nicht auf einmaligen Maßnahmen.

Für Netzwerkmanager und IT-Direktoren bedeutet dies: NIS2 ist kein Endpunkt, sondern eine strukturelle Veränderung in der Art und Weise, wie Netzwerke betrieben, dokumentiert und verantwortet werden. In komplexen, heterogenen Umgebungen ist das keine triviale Aufgabe – aber eine, die sich durch pragmatisches Risikomanagement und nachhaltige operative Disziplin bewältigen lässt.