Viele Unternehmen setzen Sicherheitsmaßnahmen um und haken das Thema danach innerlich ab. Firewall da, Backup da, Richtlinie da, MFA da. NIS-2 denkt genau an dieser Stelle weiter. Die Richtlinie verlangt nicht nur Maßnahmen, sondern auch Verfahren, um deren Wirksamkeit zu bewerten: Relevante Einrichtungen müssen Richtlinien und Verfahren einführen, um zu prüfen, ob ihre Cybersicherheitsmaßnahmen wirksam implementiert und aufrechterhalten werden.
Die kurze Antwort
Ja, das bringt etwas! Und zwar genau deshalb, weil viele Sicherheitsmaßnahmen auf dem Papier viel besser aussehen als in der Realität. NIS-2 will verhindern, dass Unternehmen sich mit schöner Dokumentation zufriedengeben. Das BSI betont in seinem Infopaket zur Wirksamkeitsbewertung, dass der PDCA-Zyklus der Motor für Verbesserungen ist: Nur wer prüft, kann Maßnahmen anpassen und Informationssicherheit nachhaltig verbessern.
NIS-2 meint nicht: "Maßnahme eingeführt, Thema erledigt"
Das ist der Kern des Ganzen. Eine Maßnahme kann formal existieren und trotzdem wenig bringen. Ein Backup kann eingerichtet sein und nie getestet worden sein. MFA kann aktiviert sein, aber nur für einen Teil der kritischen Konten. Eine Richtlinie kann freigegeben sein, aber niemand kennt sie. Genau deshalb sagt die bloße Existenz von Maßnahmen wenig aus. Es braucht ausdrücklich Verfahren zur Bewertung, ob Maßnahmen etwas bringen.
Was "Wirksamkeit" praktisch bedeutet
Wirksamkeit heißt in diesem Zusammenhang nicht, dass jede Maßnahme perfekt sein muss. Es heißt viel nüchterner: Erreicht die Maßnahme den Zweck, für den sie gedacht war? Wenn Sie Patch-Management betreiben, sollte sich das in geringeren Verzögerungen und weniger offenen kritischen Schwachstellen zeigen. Wenn Sie Incident Handling aufgesetzt haben, sollten Vorfälle schneller erkannt und sauberer bearbeitet werden. Wenn Sie Zugriffskontrollen eingeführt haben, sollten unnötige Rechte abgebaut und Rechteentzüge bei Rollenwechseln sauberer funktionieren.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Wenn wir etwas umgesetzt haben, wird es schon wirksam sein."
Das ist zu bequem. NIS-2 ist gerade deshalb strenger, weil es genau diesen Automatismus nicht akzeptiert. Die Europäische Kommission hat in ihren Leitlinien zur NIS-2-Logik betont, dass die Maßnahmen risikobasiert sein und Vorfälle verhindern oder deren Auswirkungen minimieren können müssen. Eine Maßnahme, die diesen Effekt nicht erreicht oder nie überprüft wird, ist in genau diesem Sinn zu schwach.
Wirksamkeit braucht eine Methode, nicht nur ein Bauchgefühl
Wirksamkeitsbewertung kann nicht "mal eben so" passieren. Verschiedene Menschen würden hier unweigerlich zu unterschiedlichen Bewertungen kommen, ob etwas "wirksam" ist oder nicht. Es braucht eine Policy oder ein Verfahren, damit eine Wirksamkeitsbewertung verlässlich zu konsistenten Ergebnissen kommt. Dazu gehört laut Leitlinie ausdrücklich, dass Ergebnisse aus der Risikoanalyse und frühere erhebliche Vorfälle berücksichtigt werden. Außerdem muss festgelegt werden:
- was überwacht und gemessen wird,
- mit welchen Methoden,
- wann das geschieht,
- und wer dafür verantwortlich ist.
Das ist wichtig, weil Wirksamkeit sonst schnell zur Meinungsfrage wird.
Nicht alles braucht dieselbe Messlogik
Auch hier gilt Augenmaß. NIS-2 verlangt keine Kennzahlen-Orgie. Es verlangt eine angemessene Bewertung. Manche Themen lassen sich gut mit Zahlen greifen, andere besser mit Tests, Reviews oder Übungen. Sinnvolle Beispiele können bspw. sein:
- Restore-Tests bei Backups;
- Zeit bis zur Schließung kritischer Schwachstellen;
- Entzug von Rechten nach Austritt oder Rollenwechsel;
- Reaktionszeit im Incident Management;
- Ergebnisse von Security-Tests;
- Auffälligkeiten aus Monitoring und Logging.
Gute Wirksamkeitsprüfung ist keine Bürokratie, sondern Selbstschutz
Viele Unternehmen lesen das Thema zunächst als zusätzliche Last. In Wirklichkeit ist es oft ein Selbstschutz gegen Scheinsicherheit. Denn wenn Sie erst im Vorfall merken, dass Ihre Maßnahme nicht trägt, ist es zu spät. Das BSI empfiehlt daher, dass die Bewertung der Wirksamkeit der Motor für Verbesserung ist. Das ist nicht nur Aufsichtssprache, sondern betriebswirtschaftlich sinnvoll: Lieber früh merken, dass etwas nicht funktioniert, als später teuer lernen.
Was man lieber nicht tut
Schwache Wirksamkeitsbewertung sieht in der Praxis oft so aus:
- es gibt nur „ja/nein“-Häkchen ohne Aussage;
- man misst nur, ob etwas existiert, nicht ob es wirkt;
- Ergebnisse haben keine Folgen;
- oder man sammelt Zahlen, die mit dem eigentlichen Risiko nichts zu tun haben.
Ein pragmatischer Start für Unternehmen
Wenn Sie das Thema sinnvoll angehen wollen, reicht oft schon eine klare Linie:
1. Kritische Maßnahmen identifizieren
Nicht alles gleichzeitig, sondern zuerst die Maßnahmen, bei denen ein Versagen besonders weh tut. Das folgt aus der risikobasierten Logik von NIS-2.
2. Für jede Maßnahme die Wirksamkeitsfrage stellen
Nicht: "Haben wir das?" sondern: "Woran merken wir, dass das was bringt?" Diese Frage entspricht direkt der ENISA-Logik der Wirksamkeitsbewertung.
3. Passende Methoden festlegen
Messwert, Test, Review, Übung oder Audit - Hauptsache, die Methode passt zum Ziel. Tipp aus der Praxis: Wenn sie die Umsetzung von Maßnahmen in einem Ticket-System nachhalten, fügen Sie ein Feld "Akzeptanzkriterium" hinzu und schreiben Sie dort schon ganz zu Anfang hinein, wann die Maßnahme als "fertig" anzusehen ist.
4. Verantwortlichkeit benennen
Wenn niemand zuständig ist, wird Wirkung schnell zum Zufall. Schreiben Sie an den Arbeitsauftrag klar dran, wer ihn ausführen soll.
5. Ergebnisse tatsächlich nutzen
Wenn eine Maßnahme nicht trägt, muss sie angepasst werden. Daher kann es sinnvoll sein, Wirksamkeitsprüfungen für die ein oder andere Maßnahme zu automatisieren und eine Kennzahl zu erheben.
Was will der Auditor oder Prüfer sehen?
Ein Auditor oder Prüfer will in diesem Thema nicht hören: „Wir gehen davon aus, dass das schon passt.“ Er will erkennen, dass Ihr Unternehmen strukturiert prüft, ob die eingeführten Maßnahmen wirklich funktionieren. Also: dokumentierte Verfahren, klare Verantwortliche, nachvollziehbare Methoden, Ergebnisse aus Messungen oder Tests und sichtbar abgeleitete Verbesserungen. Genau das verlangt ENISA, und das BSI rahmt es als Grundlage nachhaltiger Informationssicherheit.
FAQ
Gemeint ist, dass Cybersicherheitsmaßnahmen nicht nur existieren, sondern auch wirksam umgesetzt und aufrechterhalten werden. ENISA verlangt dafür eine Policy und Verfahren zur Bewertung dieser Wirksamkeit.
Nein. Dokumentation ist wichtig, aber allein nicht genug. Entscheidend ist, ob die Maßnahme den gewünschten Effekt in der Praxis erreicht.
Nein. NIS-2 verlangt keine Kennzahlensammlung um ihrer selbst willen. Es geht um passende Methoden zur Bewertung, nicht um Zahlenfriedhöfe. ENISA spricht ausdrücklich allgemein von Methoden für Monitoring, Messung, Analyse und Bewertung.
Vor allem solche mit hohem Risiko oder hoher Kritikalität, etwa Backup, Incident Handling, Zugriffskontrolle, Schwachstellenmanagement oder Angriffserkennung. Das ist eine praktische Ableitung aus der risikobasierten NIS-2-Logik und der ENISA-Struktur der Maßnahmenfelder.
Weil das BSI die wirksame Umsetzung der Informationssicherheit ausdrücklich als Sache der Leitungsebene beschreibt und NIS-2 insgesamt auf dokumentierte, geeignete und wirksame Maßnahmen abstellt.
Zu glauben, dass eingeführte Maßnahmen automatisch wirksam sind. Genau diese Annahme soll die NIS-2-Logik der Wirksamkeitsbewertung gerade durchbrechen.
Unser Tipp
Ja, die Wirksamkeit von Maßnahmen zu prüfen, bringt etwas. Sogar sehr viel. Sie trennt nämlich Sicherheitsmaßnahmen, die nur gut aussehen, von Maßnahmen, die im Ernstfall wirklich tragen. Genau deshalb verlangt NIS-2 nicht nur Umsetzung, sondern auch Bewertung und Verbesserung. Wer das ernst nimmt, baut nicht nur für die Aufsicht besser - sondern vor allem für die eigene Realität.
Interesse geweckt?
Wenn Sie Ihre NIS-2-Maßnahmen nicht nur aufschreiben, sondern so aufsetzen wollen, dass ihre Wirksamkeit auch wirklich nachweisbar ist, dann lassen Sie uns sprechen oder schreiben Sie uns etwas gleich hier rechts unten auf der Seite in den Chat!