Wirksamkeit in NIS-2: Bringt das was? Die NIS-2-Richtlinie fordert, dass Unternehmen den Nachweis erbringen, ob ihre Sicherheitsmaßnahmen tatsächlich wirksam sind. Doch wie stellt man das fest?
Was bedeutet Wirksamkeit in NIS-2?
Das Instrument Wirksamkeitsnachweis ist nicht neu – es stammt aus dem Qualitätsmanagement und wird auch in der ISO 27001 verwendet. Die Idee dahinter: Unternehmen sollen sich nicht nur Maßnahmen überlegen und umsetzen, sondern auch prüfen, ob diese das gewünschte Sicherheitsniveau tatsächlich verbessern.
Beispiel: Virenscanner-Implementierung
Angenommen, ein Unternehmen stellt fest, dass einige Rechner keinen Virenscanner haben. Die Maßnahme: Eine Firmenlizenz wird gekauft und an alle Mitarbeiter verteilt mit der Aufforderung zur Installation. Doch bringt das wirklich etwas? Mögliche Probleme:
- Mitarbeiter installieren den Scanner nicht sofort.
- Die Installation schlägt fehl.
- Der Scanner läuft, wird aber nicht aktualisiert und scannt in 2025 noch immer nach Patterns aus 2020. Natürlich wird kein Virus gefunden. Die 2020er Viren sind schon alle ausgestorben.
Wie könnte man hier einen Wirksamkeitsnachweis führen? Beispielweise, indem man nach drei Wochen eine Stichprobe von zehn Rechnern nimmt. Sind acht von den zehn Computern tatsächlich geschützt (Scanner ist aktiv, Konfiguration auch, Updates sind gelaufen), war die Maßnahme erfolgreich.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenWeiteres Beispiel: Mitarbeiterschulungen
Ein Unternehmen beschließt, eine Schulung zur Erkennung von Phishing-Mails für alle Mitarbeiter durchzuführen. Die Maßnahme: Ein Online-Kurs wird bereitgestellt, und alle müssen ihn absolvieren. Doch wie überprüft man die Wirksamkeit?
- Ein Test am Ende des Kurses zeigt, ob die Inhalte verstanden wurden.
- Einige Wochen später wird eine interne Phishing-Simulation durchgeführt: Wie viele Mitarbeitende klicken dennoch auf eine gefälschte Mail?
Wenn die Klickrate nach der Schulung deutlich sinkt, war die Maßnahme erfolgreich. Falls nicht, sollte der Schulungsansatz überdacht werden.
Warum ist der Wirksamkeitsnachweis wichtig?
- Verhindert Fehlinvestitionen: Maßnahmen kosten Zeit und Geld – ohne Überprüfung bleibt unklar, ob sie überhaupt einen Nutzen haben.
- Erhöht die Informationssicherheit: Nur wer überprüft, kann sicherstellen, dass Maßnahmen wirklich greifen.
- Erfüllt regulatorische Anforderungen: NIS-2 verlangt eine nachvollziehbare Erfolgskontrolle.
Unser Tipp
Wer Maßnahmen für mehr IT-Sicherheit umsetzt, sollte sie auch regelmäßig auf ihre Wirksamkeit überprüfen. Nur so lässt sich sicherstellen, dass sie den gewünschten Effekt haben – und nicht nur auf dem Papier gut aussehen.
Es bringt Ihnen ja nichts, zig tausend Euro in teure Sicherheitsmaßnahmen zu investieren, die auf dem Papier und auf LinkedIn richtig viel hermachen, wenn Sie am Folgetag problemlos gehackt und verschlüsselt werden.
Interesse geweckt?
Müssen Sie NIS-2 umsetzen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!
