{"id":15292,"date":"2025-12-09T14:53:34","date_gmt":"2025-12-09T14:53:34","guid":{"rendered":"https:\/\/newestek.com\/?p=15292"},"modified":"2025-12-09T14:53:34","modified_gmt":"2025-12-09T14:53:34","slug":"nis2-umsetzen-ohne-im-papierkrieg-zu-enden","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15292","title":{"rendered":"NIS2 umsetzen \u2013 ohne im Papierkrieg zu enden"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?quality=50&strip=all 6173w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/12\/shutterstock_2082667993.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>
Die EU-Richtline NIS2 ist in Deutschland am\u00a006. Dezember 2025 in Kraft getreten. Dieser Beitrag zeigt, wie sich mit DevSecOps ein Gro\u00dfteil der Pflichtarbeit automatisieren l\u00e4sst.<\/figcaption><\/figure>\n

Vadi Fuoco \u2013 shutterstock.com<\/p>\n<\/div>\n

NIS2<\/a> ist symbolisch f\u00fcr das Kernproblem europ\u00e4ischer Richtlinien und Verordnungen: Sie erzeugen unn\u00f6tigen Papierkrieg und entfalten ihre Wirkung zu selten. Sei es das Lieferkettengesetz, die DSGVO<\/a>\u2011Folgenabsch\u00e4tzungen oder das IT\u2011Sicherheitsgesetz \u2013 sie haben gemeinsam, dass Unternehmen gigantische Dokumentationsberge produzieren m\u00fcssen. Diese erh\u00f6hen weder die tats\u00e4chliche Sicherheit, noch sind sie realistisch pr\u00fcfbar.<\/p>\n

Compliant ist in der Regel derjenige, der eine umfangreiche Dokumentation aller Prozesse und regelm\u00e4\u00dfigen Pr\u00fcfungen vorlegen kann. Diese sind zumeist so ausf\u00fchrlich, dass ihre Erstellung bereits nahezu unzumutbare Aufw\u00e4nde verursacht und ihre manuelle Pr\u00fcfung praktisch unm\u00f6glich wird. Selbst wenn man sie pr\u00fcfen w\u00fcrde, w\u00e4ren die Informationen nicht pr\u00e4zise genug, um echte Sicherheit zu belegen.<\/p>\n

Sicherheit geh\u00f6rt in die Planung<\/h2>\n

In vielen Unternehmen entsteht dadurch eine absurde Praxis: Das technische Team baut funktionierende Infrastruktur und losgel\u00f6st davon schreibt ein Compliance\u2011Beauftragter im Nachhinein eine seitenlange Rechtfertigung, warum die L\u00f6sung angeblich sicher sei.<\/p>\n

Das ist ungef\u00e4hr so, als w\u00fcrde Volkswagen ein Auto bauen und erst danach verfasst jemand 40 Seiten dar\u00fcber, warum dieses Auto den Sicherheitsstandards entsprechen sollte. In der realen Industrie l\u00e4uft es nat\u00fcrlich anders: Sicherheitsanforderungen flie\u00dfen bereits in die Planung ein, technologische Mindeststandards sind definiert, und Qualit\u00e4tsprozesse \u00fcberwachen die Umsetzung automatisch. Compliance ergibt sich aus Technik \u2013 nicht aus Leitz\u2011Ordnern.<\/p>\n

In anderen Bereichen, wie der Steuerpr\u00fcfung, hat man dieses Problem l\u00e4ngst erkannt und die Automatisierung relevanter Prozesse gesetzlich vorgeschrieben (Stichwort: elektronische Registrierkasse, revisionssichere Buchhaltungssoftware). Das erspart ehrlichen Unternehmern nicht nur enorme manuelle Arbeit, sondern reduziert vor allem das Missbrauchsrisiko.<\/p>\n

Leider werden in Deutschland nur wenige Dinge so konsequent umgesetzt wie das Eintreiben unserer Steuern.<\/p>\n

Anders als beim Thema Steuerlast sollten Unternehmen jedoch ein intrinsisches Interesse daran haben, ihre IT\u2011Sicherheit korrekt zu implementieren. Das Bu\u00dfgeld f\u00fcr einen NIS2\u2011Versto\u00df kann bis zu zehn Millionen Euro oder zwei\u202fProzent des weltweiten Jahresumsatzes betragen. Die wirtschaftlichen Sch\u00e4den erfolgreicher Cyberangriffe sind oft existenzbedrohend und summieren sich bereits heute auf dreistellige Milliardenbetr\u00e4ge pro Jahr.<\/p>\n

Auch wenn es nicht ausdr\u00fccklich gesetzlich vorgeschrieben ist, gibt es mittlerweile \u2013 nicht zuletzt durch AI\u2011gest\u00fctzte Werkzeuge \u2013 die M\u00f6glichkeit, Sicherheitsprozesse und ihre vollst\u00e4ndige Dokumentation so weit zu automatisieren, dass sich Security, Compliance und Auditierbarkeit in einem einzigen technischen Prozess vereinen lassen. Das spart nicht nur Ressourcen, sondern erh\u00f6ht auch die tats\u00e4chliche Sicherheit.<\/p>\n

Wie dies im Detail aussehen kann, zeigt ein Beispiel einer SaaS\u2011Applikation in der Cloud.<\/p>\n

\u00a0<\/h3>\n

IT im Wandel: von Textdokumenten zu deklarativer Technik<\/h2>\n

NIS2 verlangt im Kern drei Dinge: konkrete Sicherheitsma\u00dfnahmen, Prozesse und Richtlinien zur Steuerung dieser Ma\u00dfnahmen sowie belastbare Nachweise, dass sie im Alltag funktionieren. Die Prozessdokumentation \u2013 also Policies, Zust\u00e4ndigkeiten und Abl\u00e4ufe \u2013 ist f\u00fcr die meisten gr\u00f6\u00dferen Unternehmen nichts grunds\u00e4tzlich Neues. ISO\u201127001<\/a>\u2011basierte Informationssicherheits-Managementsysteme (ISMS<\/a>), HR\u2011Prozesse und Management\u2011Handb\u00fccher existieren oft seit Jahren. Entscheidend f\u00fcr NIS2 sind deshalb vor allem zwei Ebenen: die technischen Ma\u00dfnahmen und die Evidenz, dass sie wirksam sind.<\/p>\n

Genau hier zeigt sich der Umbruch der letzten Jahre. Fr\u00fcher wurden Konzepte, Ma\u00dfnahmen und Spezifikationen von Software\u2011 und IT\u2011Infrastrukturen \u00fcberwiegend in Textform dokumentiert. Programmcode war zu komplex, Konfigurationen lagen verstreut in Dateien, Ticketsystemen oder im Kopf einzelner Administratoren. Im Nachgang hat man Dokumente geschrieben \u2013 h\u00e4ufig durch fachfremde Kollegen. Dieses Vorgehen war vor allem aus zwei Gr\u00fcnden problematisch: Es skaliert nicht in wachsenden, verteilten Umgebungen, und es passt nicht zu dem Ziel, technische Prozesse konsequent zu automatisieren.<\/p>\n

In modernen Systemen setzt man deshalb auf Verfahren wie Test\u2011 oder Behaviour\u2011driven Development und Infrastructure as Code (IaC), die \u2013 konsequent angewendet \u2013 textuelle Dokumentation weitgehend ersetzen. Die von NIS2 geforderten technischen Spezifikationen k\u00f6nnen direkt auf diese Artefakte referenzieren: IaC\u2011Definitionen legen Verschl\u00fcsselung, Netzsegmente oder Backup\u2011Szenarien fest, und CI\/CD\u2011Pipelines spielen sie revisionssicher in die Produktion aus.<\/p>\n

\u00c4nderungen sind damit nicht nur technisch exakt beschrieben, sondern \u00fcber Commits und Deployments auch zeitlich nachvollziehbar. Die Evidenz f\u00fcr Aspekte, die sich nicht vollst\u00e4ndig deklarativ fassen lassen \u2013 etwa die Sicherheit der Software\u2011Supply\u2011Chain oder des Anwendungscodes \u2013 kann \u00fcber Security\u2011Checks in der CI\/CD\u2011Pipeline und eine laufende Bewertung durch SIEM\u2011 und CNAPP\u2011Systeme abgebildet werden.<\/p>\n

Wie das konkret aussehen kann, zeigt sich besonders deutlich in folgenden Bereichen:<\/p>\n