Aktuelles
Datum: 

Cyber-Sicherheit im Fokus: NIS-2 technisch umsetzen mit der ENISA-Leitlinie


Die ENISA-Leitlinie und NIS-2 als regulatorische Pflicht 

Die Frage ist nicht mehr ob, sondern wann: Cyber-Angriffe sind zur Realität geworden. Ob Krankenhäuser, Mittelständler, Hidden Champion oder Konzern: Wer digitale Dienste nutzt oder kritische Prozesse steuert, steht verstärkt im Mittelpunkt regulatorischer Aufmerksamkeit. Verstöße werden teuer. 

Die EU-Agentur ENISA (European Network and Information Security Agency) hat am 26. Juni 2025 einen praktischen Leitfaden zur Umsetzung der Verordnung (EU) 2024/2690 zur NIS-2-Richtlinie veröffentlicht. Dieser dient Unternehmen als technisches Umsetzungshandbuch. Ein idealer Zeitpunkt, um sich zu fragen: Sind unsere technischen und organisatorischen Maßnahmen ausreichend, um den Anforderungen zu genügen? 

 

Wie hilft die ENISA-Leitlinie bei der Umsetzung der NIS-2-Anforderungen? 

Die ENISA-Leitlinie vom Juni 2025 konkretisiert die Anforderungen des Artikels 21 der NIS-2-Richtlinie in Form von 13 technisch-methodischen Maßnahmenbereichen. Diese dienen als strukturierter Handlungsrahmen für Organisationen, um Risiken zu erkennen, zu minimieren und die eigene Cyber-Resilienz gezielt zu stärken. 

Zu den Handlungsfeldern zählen unter anderem: 
  • Risikomanagement 
  • Schutz vor Cyber-Angriffen 
  • Zugangskontrollen und Verschlüsselung 
  • Schwachstellenmanagement und Vorfallreaktion 
  • Sicherheitsbewusstsein  
  • Lieferkettenmanagement und kontinuierliche Überwachung. 
 

Beispiele für Praxis-Handlungsfelder – Ansatzpunkte zur Umsetzung der Anforderungen 

  • Governance & Sicherheitsstrategie verankern: Cyber-Sicherheit muss als Führungsaufgabe verstanden werden. NIS-2 verlangt eine strategische Herangehensweise, klare Zuständigkeiten und nachweisbare Prozesse. 
  • Technische & organisatorische Maßnahmen etablieren: Grundschutz beginnt bei stabilen technischen Sicherheitsstandards. Dazu zählen unter anderem Systemhärtung, Zugriffsrechte, Verschlüsselung, Patch-Management und Awareness-Programme. 
  • Vorfallmanagement & Krisenreaktion aufbauen: NIS-2 verpflichtet zur Meldung erheblicher Sicherheitsvorfälle. Unternehmen müssen sowohl organisatorisch als auch technisch vorbereitet sein, um die gesetzlichen Meldefristen (24h/72h/1 Monat) einzuhalten. 
  • Lieferketten absichern: Die Verantwortung für Cyber-Sicherheit endet nicht an der Unternehmensgrenze. Dienstleister, insbesondere IT- und Cloud-Provider, müssen aktiv in die Sicherheitsarchitektur eingebunden werden. 
  • Überwachung & kontinuierliche Verbesserung sicherstellen: Cyber-Sicherheit ist ein dynamisches Feld. Regelmäßige Schwachstellenanalysen, Systemüberwachung und kontinuierliche Optimierung sind unerlässlich. 
 

Wo wir unterstützen können 

Die ENISA-Leitlinie bietet Unternehmen einen praxisnahen und detaillierten Rahmen zur technischen Umsetzung der NIS-2-Anforderungen. Die praktische Umsetzung stellt viele Organisationen jedoch vor technische und organisatorische Herausforderungen. Unsere Unterstützung basierend auf unserer Erfahrung aus Wirtschaftsprüfung und IT-Audit umfasst: 
  • Analyse und Bewertung der bestehenden technischen und organisatorischen Maßnahmen 
  • Entwicklung und Implementierung Cyber-Security-Prozesse und Kontrollmechanismen 
  • Prüfungsnahe Beratung/Prüfung zur systematischen Dokumentation und Nachweisführung 
  • Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter zur nachhaltigen Verankerung der Cyber-Security-Strategie 
 

Fazit: Cyber-Sicherheit als Verpflichtung und Chance zugleich

Mit der NIS-2-Richtlinie wird Cyber-Sicherheit zur Managementverantwortung – und die neue ENISA-Leitlinie liefert konkrete Handlungsempfehlungen. Sie übersetzt regulatorische Anforderungen in praktische Umsetzungshilfen – und wird so zur Chance für mehr Resilienz. 

Wer jetzt technisch und organisatorisch aufrüstet, sichert nicht nur die eigene Resilienz, sondern auch das Vertrauen von Aufsicht, Kundinnen und Kunden sowie Partnerinnen und Partnern. Dabei unterstützen wir Sie mit unserer Expertise aus den Bereichen Wirtschaftsprüfung, IT-Audit, Datenschutz sowie IT-Sicherheit praxisnah – von der Analyse bis zur erfolgreichen Umsetzung der Leitlinie. 



 

Die 13 Maßnahmenbereiche der ENISA-Leitlinie im Überblick 

Die ENISA-Leitlinie konkretisiert die Sicherheitsanforderungen aus Artikel 21 der NIS-2-Richtlinie in 13 strukturierte Maßnahmenbereiche. Diese bilden das technische Rückgrat der Richtlinie und beinhalten konkrete Umsetzungshinweise sowie Beispiele für Nachweise. 
  1. Richtlinien zur Risikoanalyse und Informationssicherheitssystemen 
  2. Vorfallbehandlung (Incident Handling) 
  3. Geschäftskontinuität und Krisenmanagement 
  4. Sicherheit in der Lieferkette 
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen 
  6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen 
  7. Grundlegende Cyber-Hygiene und Schulungen 
  8. Kryptografie und Verschlüsselung 
  9. Zugriffskontrolle, Identitätsmanagement und Personalsicherheit 
  10. Verwendung von Multi-Faktor-Authentifizierung und sicherer Kommunikation 
  11. Umgang mit Schwachstellen und Offenlegung 
  12. Informationsaustausch mit relevanten Akteuren 
  13. Informationsbereitstellung gegenüber Behörden 
 

Orientierung an etablierten Standards und Nachweisführung 

Die ENISA-Leitlinie verweist auf bewährte Standards und Frameworks, die Unternehmen als Referenzrahmen für die technische Umsetzung dienen. Hierzu zählen unter anderem: 

  • ISO/IEC 27001:2022 
  • NIST Cybersecurity Framework (CSF 2.0) 
  • COBIT 2019 
  • ENISA Threat Landscape 
  • European Cybersecurity Skills Framework (ECSF) 
  • In jedem Maßnahmenbereich enthält die ENISA-Leitlinie auch Beispiele für geeignete Nachweise ('Examples of Evidence'), wie z. B. Risikoanalysen, Protokolle über Schwachstellenmanagement, Sicherheitsrichtlinien, Schulungsnachweise oder Incident-Response-Pläne. Diese Dokumentation ist wesentlich für die Compliance-Nachweispflichten im Rahmen von Audits oder Aufsichtsprüfungen. 
 

Managementverantwortung gemäß Artikel 20 NIS-2 

Gemäß Artikel 20 der NIS-2-Richtlinie trägt das Top-Management die Verantwortung für das Risikomanagement im Bereich der Cyber-Sicherheit. Die ENISA-Leitlinie betont diese Rolle und fordert eine aktive Einbindung des Managements in: 

  • die Festlegung von Sicherheitsstrategien, 
  • die Bereitstellung personeller und technischer Ressourcen, 
  • die regelmäßige Überprüfung der Maßnahmen sowie 
  • die Teilnahme an Schulungs- und Awareness-Maßnahmen. 

Die Verpflichtung zur Rechenschaftspflicht ('Accountability') stellt sicher, dass Cyber-Sicherheit kein reines IT-Thema bleibt, sondern strategisch verankert wird. 

 

Dieser Artikel wurde verfasst von