Zum Inhalt

NIS 2 – Überblick🔗

Das Modul NIS 2 in GRASP unterstützt dich dabei, die Anforderungen der NIS-2-Richtlinie systematisch in deiner Organisation umzusetzen.

Es nutzt – wie die Module ISO 27001, IT-Grundschutz und BCM – die gemeinsame Datenbasis:

  • Organisation (Personen, Teams, Rollen)
  • Inventarisierung (Assets, Prozesse, Dienstleister, Abhängigkeiten)
  • Richtlinien & Leitlinien sowie Dokumente
  • Feststellungen & Maßnahmen

Damit musst du Stammdaten nur einmal pflegen und kannst sie in allen Modulen wiederverwenden.

Voraussetzung

Bevor du mit NIS 2 arbeitest, sollten die wichtigsten Personen, Prozesse, Assets und Dienstleister sowie deren Abhängigkeiten gepflegt sein – idealerweise bereits aus ISO 27001 oder IT-Grundschutz übernommen.

Aufbau des NIS 2 Moduls🔗

Das NIS-2-Modul folgt bewusst dem gleichen Aufbau wie IT-Grundschutz: IT-Grundschutz – Überblick.

  1. Geltungsbereich (Scope)
  2. Risikomanagement
  3. Audit-Management

Zusätzlich profitierst du vom globalen:

  • Maßnahmen- und Feststellungsmanagement
  • Task- und Kalenderbereich für Fristen und Erinnerungen

Geltungsbereich (Scope)🔗

Im Geltungsbereich legst du fest, welche Teile deiner Organisation du für NIS 2 betrachtest:

  • Geschäftsprozesse (z. B. kritische Services)
  • Infrastruktur, Hardware, Software
  • Dienstleister / Service Provider
  • Daten / Informationsverbünde
  • ggf. relevante Personen

Du verknüpfst diese Objekte mit einem NIS-2-Scope. Nur was im Scope liegt, taucht später im NIS-2-Risikomanagement und im Audit-Management auf.
Details findest du auf der Seite NIS 2 – Geltungsbereich.

Risikomanagement in NIS 2🔗

Das NIS-2-Risikomanagement nutzt dieselbe Risikoengine wie ISO 27001, IT-Grundschutz und BCM. NIS 2 – Risikomanagement

Typischer Ablauf:

  1. Konfiguration (Risiken zuordnen)

    • Zuweisung von Risiken zu Kategorien (Daten, Dienstleister, Hardware, Infrastruktur, Personal, Prozesse, Software).
    • Nutzung eines gemeinsamen oder NIS-2-spezifischen Risikokatalogs.

  2. Risikoanalyse (Bewertung)

    • Bewertung von Eintrittswahrscheinlichkeit und Auswirkung je Ressource im NIS-2-Scope.
    • Ermittlung von Initialrisiko und Akzeptanzlevel nach BSI-Logik.

  3. Behandlungsplan & Maßnahmen

    • Auswahl der Behandlungsoption (vermeiden, reduzieren, transferieren, akzeptieren).
    • Anlage und Verknüpfung von Maßnahmen mit Verantwortlichen, Genehmigern und Fristen.

  4. Restrisiko & Abschluss

    • Bewertung des Restrisikos nach Umsetzung bzw. Planung von Maßnahmen.
    • Abschluss und – bei Bedarf – spätere Fortschreibung der Bewertung.

  5. Risikomatrix & Übersicht

    • Grafische Darstellung aller NIS-2-Risiken nach Eintrittswahrscheinlichkeit und Auswirkung.
    • Filter nach Scope, Ressourcentyp und Status.

Die entsprechenden Detailseiten findest du im Navigationsbereich unter NIS 2 → Risikomanagement.

Audit-Management für NIS 2🔗

Mit dem Audit-Management planst und dokumentierst du NIS-2-Audits (z. B. interne Überprüfungen oder Vorbereitungen auf externe Prüfungen). NIS 2Audit-Management

Typische Schritte:

  1. Planung im Auditkalender

    • Anlegen von Audits mit Zeitraum, Scope, Zielsetzung und genehmigender Person.
    • Verknüpfung von Prüfpunkten und Auditgegenständen (Prozesse, Assets, Dokumente).

  2. Durchführung

    • Bewertung der Prüfpunkte mit Erfüllungsgrad und Implementierungsbeschreibung.
    • Dokumentation von Beobachtungen und Abweichungen.

  3. Freigabe & Auswertung

    • Freigabe durch die genehmigende Person.
    • Anlage von Feststellungen und Maßnahmen je Prüfpunkt.
    • Auswertung nach Scope, Kritikalität, Status und Fälligkeiten.

Alle Feststellungen und Maßnahmen aus NIS-2-Audits landen im globalen Bereich Feststellungen & Maßnahmen und können dort gemeinsam mit Ergebnissen aus anderen Modulen gesteuert werden.

Zusammenspiel mit anderen Modulen🔗

NIS 2 ist kein isoliertes Modul, sondern baut auf denselben Strukturen wie:

  • ISO 27001 (Managementsystem für Informationssicherheit)
  • IT-Grundschutz (BSI-Vorgehensmodell)
  • BCM (Business Continuity)

Beispiele:

  • Ein Scope kann gleichzeitig für IT-Grundschutz und NIS 2 genutzt werden, indem du in der fachlichen Relevanz mehrere Module auswählst.
  • Risiken und Maßnahmen kannst du modulübergreifend verwenden.
  • Dokumente, Richtlinien und Pläne musst du nur einmal hinterlegen und kannst sie in NIS 2 referenzieren.

So reduzierst du Doppelarbeit und kannst Anforderungen aus verschiedenen Normen und Regulierungen konsistent auf derselben Datenbasis nachweisen.