8. April 2025

Wirksamkeit in NIS-2: Bringt das wirklich was?

Von Joachim Reinke

April 8, 2025

Effektivität, NIS-2, Wirksamkeit

Viele Unternehmen setzen Sicherheitsmaßnahmen um und haken das Thema danach innerlich ab. Firewall da, Backup da, Richtlinie da, MFA da. NIS-2 denkt genau an dieser Stelle weiter. Die Richtlinie verlangt nicht nur Maßnahmen, sondern auch Verfahren, um deren Wirksamkeit zu bewerten: Relevante Einrichtungen müssen Richtlinien und Verfahren einführen, um zu prüfen, ob ihre Cybersicherheitsmaßnahmen wirksam implementiert und aufrechterhalten werden.

Die kurze Antwort

Ja, das bringt etwas! Und zwar genau deshalb, weil viele Sicherheitsmaßnahmen auf dem Papier viel besser aussehen als in der Realität. NIS-2 will verhindern, dass Unternehmen sich mit schöner Dokumentation zufriedengeben. Das BSI betont in seinem Infopaket zur Wirksamkeitsbewertung, dass der PDCA-Zyklus der Motor für Verbesserungen ist: Nur wer prüft, kann Maßnahmen anpassen und Informationssicherheit nachhaltig verbessern.

NIS-2 meint nicht: "Maßnahme eingeführt, Thema erledigt"

Das ist der Kern des Ganzen. Eine Maßnahme kann formal existieren und trotzdem wenig bringen. Ein Backup kann eingerichtet sein und nie getestet worden sein. MFA kann aktiviert sein, aber nur für einen Teil der kritischen Konten. Eine Richtlinie kann freigegeben sein, aber niemand kennt sie. Genau deshalb sagt die bloße Existenz von Maßnahmen wenig aus. Es braucht ausdrücklich Verfahren zur Bewertung, ob Maßnahmen etwas bringen.

Was "Wirksamkeit" praktisch bedeutet

Wirksamkeit heißt in diesem Zusammenhang nicht, dass jede Maßnahme perfekt sein muss. Es heißt viel nüchterner: Erreicht die Maßnahme den Zweck, für den sie gedacht war? Wenn Sie Patch-Management betreiben, sollte sich das in geringeren Verzögerungen und weniger offenen kritischen Schwachstellen zeigen. Wenn Sie Incident Handling aufgesetzt haben, sollten Vorfälle schneller erkannt und sauberer bearbeitet werden. Wenn Sie Zugriffskontrollen eingeführt haben, sollten unnötige Rechte abgebaut und Rechteentzüge bei Rollenwechseln sauberer funktionieren.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Wenn wir etwas umgesetzt haben, wird es schon wirksam sein."

Das ist zu bequem. NIS-2 ist gerade deshalb strenger, weil es genau diesen Automatismus nicht akzeptiert. Die Europäische Kommission hat in ihren Leitlinien zur NIS-2-Logik betont, dass die Maßnahmen risikobasiert sein und Vorfälle verhindern oder deren Auswirkungen minimieren können müssen. Eine Maßnahme, die diesen Effekt nicht erreicht oder nie überprüft wird, ist in genau diesem Sinn zu schwach.

Wirksamkeit braucht eine Methode, nicht nur ein Bauchgefühl

Wirksamkeitsbewertung kann nicht "mal eben so" passieren. Verschiedene Menschen würden hier unweigerlich zu unterschiedlichen Bewertungen kommen, ob etwas "wirksam" ist oder nicht. Es braucht eine Policy oder ein Verfahren, damit eine Wirksamkeitsbewertung verlässlich zu konsistenten Ergebnissen kommt. Dazu gehört laut Leitlinie ausdrücklich, dass Ergebnisse aus der Risikoanalyse und frühere erhebliche Vorfälle berücksichtigt werden. Außerdem muss festgelegt werden:

  • was überwacht und gemessen wird,
  • mit welchen Methoden,
  • wann das geschieht,
  • und wer dafür verantwortlich ist.

Das ist wichtig, weil Wirksamkeit sonst schnell zur Meinungsfrage wird.

Nicht alles braucht dieselbe Messlogik

Auch hier gilt Augenmaß. NIS-2 verlangt keine Kennzahlen-Orgie. Es verlangt eine angemessene Bewertung. Manche Themen lassen sich gut mit Zahlen greifen, andere besser mit Tests, Reviews oder Übungen. Sinnvolle Beispiele können bspw. sein:

  • Restore-Tests bei Backups;
  • Zeit bis zur Schließung kritischer Schwachstellen;
  • Entzug von Rechten nach Austritt oder Rollenwechsel;
  • Reaktionszeit im Incident Management;
  • Ergebnisse von Security-Tests;
  • Auffälligkeiten aus Monitoring und Logging.

Gute Wirksamkeitsprüfung ist keine Bürokratie, sondern Selbstschutz

Viele Unternehmen lesen das Thema zunächst als zusätzliche Last. In Wirklichkeit ist es oft ein Selbstschutz gegen Scheinsicherheit. Denn wenn Sie erst im Vorfall merken, dass Ihre Maßnahme nicht trägt, ist es zu spät. Das BSI empfiehlt daher, dass die Bewertung der Wirksamkeit der Motor für Verbesserung ist. Das ist nicht nur Aufsichtssprache, sondern betriebswirtschaftlich sinnvoll: Lieber früh merken, dass etwas nicht funktioniert, als später teuer lernen.

Was man lieber nicht tut

Schwache Wirksamkeitsbewertung sieht in der Praxis oft so aus:

  • es gibt nur „ja/nein“-Häkchen ohne Aussage;
  • man misst nur, ob etwas existiert, nicht ob es wirkt;
  • Ergebnisse haben keine Folgen;
  • oder man sammelt Zahlen, die mit dem eigentlichen Risiko nichts zu tun haben.

Ein pragmatischer Start für Unternehmen

Wenn Sie das Thema sinnvoll angehen wollen, reicht oft schon eine klare Linie:

1. Kritische Maßnahmen identifizieren

Nicht alles gleichzeitig, sondern zuerst die Maßnahmen, bei denen ein Versagen besonders weh tut. Das folgt aus der risikobasierten Logik von NIS-2.

2. Für jede Maßnahme die Wirksamkeitsfrage stellen

Nicht: "Haben wir das?" sondern: "Woran merken wir, dass das was bringt?" Diese Frage entspricht direkt der ENISA-Logik der Wirksamkeitsbewertung.

3. Passende Methoden festlegen

Messwert, Test, Review, Übung oder Audit - Hauptsache, die Methode passt zum Ziel. Tipp aus der Praxis: Wenn sie die Umsetzung von Maßnahmen in einem Ticket-System nachhalten, fügen Sie ein Feld "Akzeptanzkriterium" hinzu und schreiben Sie dort schon ganz zu Anfang hinein, wann die Maßnahme als "fertig" anzusehen ist.

4. Verantwortlichkeit benennen

Wenn niemand zuständig ist, wird Wirkung schnell zum Zufall. Schreiben Sie an den Arbeitsauftrag klar dran, wer ihn ausführen soll.

5. Ergebnisse tatsächlich nutzen

Wenn eine Maßnahme nicht trägt, muss sie angepasst werden. Daher kann es sinnvoll sein, Wirksamkeitsprüfungen für die ein oder andere Maßnahme zu automatisieren und eine Kennzahl zu erheben.

Was will der Auditor oder Prüfer sehen?

Ein Auditor oder Prüfer will in diesem Thema nicht hören: „Wir gehen davon aus, dass das schon passt.“ Er will erkennen, dass Ihr Unternehmen strukturiert prüft, ob die eingeführten Maßnahmen wirklich funktionieren. Also: dokumentierte Verfahren, klare Verantwortliche, nachvollziehbare Methoden, Ergebnisse aus Messungen oder Tests und sichtbar abgeleitete Verbesserungen. Genau das verlangt ENISA, und das BSI rahmt es als Grundlage nachhaltiger Informationssicherheit.

FAQ

Unser Tipp

Ja, die Wirksamkeit von Maßnahmen zu prüfen, bringt etwas. Sogar sehr viel. Sie trennt nämlich Sicherheitsmaßnahmen, die nur gut aussehen, von Maßnahmen, die im Ernstfall wirklich tragen. Genau deshalb verlangt NIS-2 nicht nur Umsetzung, sondern auch Bewertung und Verbesserung. Wer das ernst nimmt, baut nicht nur für die Aufsicht besser - sondern vor allem für die eigene Realität.

Interesse geweckt?

Wenn Sie Ihre NIS-2-Maßnahmen nicht nur aufschreiben, sondern so aufsetzen wollen, dass ihre Wirksamkeit auch wirklich nachweisbar ist, dann lassen Sie uns sprechen oder schreiben Sie uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments