Der Begriff „NIS-2“ bezeichnet die EU-Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union. Sie ist die Nachfolgerin der ursprünglichen NIS-Richtlinie und erweitert den Geltungsbereich, verschärft die Anforderungen an das Cyber-Risikomanagement sowie an die Meldung erheblicher Sicherheitsvorfälle und stärkt zugleich Aufsicht und Zusammenarbeit auf EU-Ebene. Im Softwarekontext steht „NIS-2“ daher nicht für ein einzelnes Softwaremodul, sondern für einen regulatorischen Anwendungsbereich. Betroffen sind vor allem mittlere und große Einrichtungen in kritischen bzw. besonders wichtigen Sektoren; Leitungsorgane müssen Schutzmaßnahmen billigen und überwachen, und Unternehmen müssen angemessene technische, operative und organisatorische Maßnahmen umsetzen.
Asset- und Systeminventar: Erfassung und Pflege von IT-Assets, Systemen, Anwendungen, Schnittstellen und kritischen Abhängigkeiten als Grundlage für Schutzbedarfs- und Risikobewertungen.
Risikoanalyse und Maßnahmenmanagement: Identifikation, Bewertung und Priorisierung von Cyberrisiken sowie Nachverfolgung geplanter und umgesetzter Gegenmaßnahmen.
Richtlinien- und ISMS-Unterstützung: Verwaltung von Sicherheitsrichtlinien, Kontrollen, Freigaben, Versionen und Nachweisen für interne und externe Prüfungen.
Incident Detection und Melde-Workflows: Erkennung, Klassifizierung und Bearbeitung von Sicherheitsvorfällen einschließlich Eskalations- und Meldeprozessen, um Fristen wie Frühwarnung, Vorfallmeldung und Abschlussbericht zu unterstützen.
Business-Continuity- und Backup-Management: Unterstützung von Notfallplanung, Backup-Verwaltung, Wiederanlauf- und Wiederherstellungstests sowie Krisenmanagement.
Schwachstellen- und Patchmanagement: Erkennung, Bewertung und Behebung von Schwachstellen sowie Steuerung von Updates, Patches und Disclosure-Prozessen.
Lieferanten- und Drittparteien-Risikomanagement: Bewertung von Dienstleistern, Cloud-Anbietern und sonstigen Lieferanten im Hinblick auf Sicherheitsanforderungen, Verträge und Risiken in der Lieferkette.
Identitäts- und Zugriffsmanagement: Steuerung von Rollen, Berechtigungen, Zugriffskontrollen und Multi-Faktor-Authentifizierung.
Logging, Nachvollziehbarkeit und Reporting: Protokollierung sicherheitsrelevanter Ereignisse, revisionssichere Nachweise sowie Dashboards und Berichte für Management, Compliance und Aufsichtsbehörden.
Schulungs- und Awareness-Management: Planung, Dokumentation und Auswertung von Schulungen für Mitarbeitende und Leitungsebene zu Cyberrisiken und Sicherheitsmaßnahmen.
Diese Funktionsbereiche leiten sich typischerweise aus den in NIS-2 genannten Anforderungen zu Risikomanagement, Incident Handling, Business Continuity, Supply-Chain-Sicherheit, Vulnerability Handling, Zugriffsschutz, Protokollierung sowie Governance und Schulung ab.
Ein Energieversorger nutzt eine GRC- oder ISMS-Software, um Cyberrisiken zu bewerten, Maßnahmen zu dokumentieren und den Umsetzungsstatus gegenüber der Geschäftsleitung transparent darzustellen.
Ein Rechenzentrumsbetreiber setzt ein SIEM- oder SOC-System ein, um Sicherheitsvorfälle frühzeitig zu erkennen und Meldeprozesse für NIS-2-konforme Berichte zu steuern.
Ein Krankenhaus verwendet eine Drittparteien-Risikomanagement-Lösung, um Cloud- und IT-Dienstleister nach Sicherheitskriterien zu bewerten und Lieferkettenrisiken zu dokumentieren.
Ein Industrieunternehmen plant und dokumentiert Backup-, Wiederherstellungs- und Notfalltests in einer Resilienz- oder BCM-Software.
Eine Organisation bündelt Schwachstellenmanagement, Maßnahmenverfolgung, Richtlinienverwaltung und Audit-Nachweise in einer zentralen Compliance-Plattform zur Vorbereitung auf Prüfungen und Aufsicht.