Leitfaden zur NIS2-Compliance – Zero Networks mit 5-Punkte Checkliste

Anstatt zur Umsetzung der NIS2-Richtlinie zusätzliche Überwachungsmaßnahmen einzuführen, ist eine dynamische Eindämmungs- und Durchsetzungsebene innerhalb des Netzwerks nötig: Automatisierte, identitätsbasierte Mikrosegmentierung verhindert laterale Bewegungen in großem Maßstab

Von unserem Gastautor Kay Ernst, Manager DACH von Zero Networks

[datensicherheit.de, 01.03.2026] Die NIS2-Richtlinie der EU ist mehr als nur eine Dokumentationsaufgabe. Sie wurde entwickelt, um die Lücken von NIS1 zu schließen und der sich ständig weiterentwickelnden Bedrohungslandschaft Rechnung zu tragen. Die NIS2-Compliance erfordert von CISOs, dass sie Resilienz und Verantwortlichkeit gegenüber einmaligen Checkbox-Aufgaben priorisieren.

Kay Ernst, Manager DACH von Zero Networks, Foto: Zero Networks

Speziell für CISOs bedeutet NIS2 auch veränderte Compliance-Erwartungen. Kay Ernst, Manager DACH von Zero Networks erläutert Hintergründe und präsentiert eine 5-Punkte Checkliste:

NIS2 erhöht die grundlegenden Cybersicherheitserwartungen für wesentliche und wichtige Unternehmen: die Verantwortung der Geschäftsleitung und des Vorstands für das Cyber-Risikomanagement, nachweisbare operative Resilienz, nicht nur präventive Kontrollen, und nachweisbare Eindämmung und Reduzierung der Auswirkungen von Vorfällen. Im Gegensatz zu vielen anderen Vorschriften geht NIS2 davon aus, dass Sicherheitsverletzungen auftreten werden. Sie zielt darauf ab, die potenziellen Auswirkungen dieser unvermeidlichen Vorfälle zu mindern, und fordert die Führungskräfte auf, nachzuweisen, dass sie proaktive (und sinnvolle) Maßnahmen zur Verbesserung der Cyber-Resilienz ergriffen haben.

Umsetzung von NIS2 – Wo die meisten Unternehmen Probleme haben

Lücken, die die Resilienz von Unternehmen und die Einhaltung der NIS2-Vorschriften beeinträchtigen, treten in vielen Unternehmen tendenziell in denselben Betriebsbereichen auf:

• Unkontrollierte laterale Bewegung: Viele Unternehmen verfügen nach wie vor nicht über robuste interne Kontrollen und behandeln den Ost-West-Verkehr als implizit vertrauenswürdig. Für Angreifer ist es dadurch ein Leichtes, einen kleinen Einstiegspunkt in eine weitreichende Sicherheitsverletzung zu verwandeln.
• Privilegierte Zugriffspfade: Nur ein Prozent der Ports sind für 90 Prozent der Sicherheitsverletzungen verantwortlich, aber die meisten Unternehmen lassen privilegierte Admin-Ports wie SSH, RDP und RPC permanent offen, wodurch das Netzwerk anfällig bleibt.
• Übermäßiger Zugriff durch Anbieter und Dritte: Breiter VPN-Zugriff, persistente Anmeldedaten und unzureichende identitätsbasierte Zugriffskontrollen ermöglichen es externen Konten, sich frei zu bewegen und den Explosionsradius zu vergrößern.
• Ausufernde Altsysteme: Altsysteme, die moderne Identitätskontrollen nicht unterstützen können, werden häufig aus Zero-Trust-Initiativen ausgeschlossen, bleiben jedoch für den Betrieb von entscheidender Bedeutung und fallen eindeutig in den Geltungsbereich der Vorschriften.
• Erkennung ausgerichtete Strategien zur Reaktion auf Vorfälle: Viele Incident-Response-Strategien basieren nach wie vor auf Erkennung und Wiederherstellung statt auf Eindämmung, obwohl damit im Falle eines Angriffs ganze Umgebungen abgeschaltet werden müssen.

Aufbau einer resilienten Sicherheitsarchitektur

Um die Anforderungen von NIS2 zu erfüllen, müssen die Grundlagen der Sicherheit nicht neu erfunden werden. Stattdessen sollten sich CISOs darauf konzentrieren, ihre Netzwerkarchitektur widerstandsfähig zu gestalten, sodass die Einhaltung von Vorschriften zu einem Nebenprodukt und nicht zu einer wiederkehrenden Aufgabe wird. Durch die Priorisierung von vier Hauptzielen können Sicherheitsverantwortliche ihre Sicherheitslage verbessern, um sich an veränderte gesetzliche Anforderungen anzupassen:

Standardmäßig laterale Bewegungen verhindern

Laterale Bewegungen eskalieren kleinere Vorfälle zu vollständigen Ausfällen. Wenn Angreifer niemals über den Punkt des ersten Zugriffs hinauskommen, führen Sicherheitsvorfälle niemals zu Geschäftsunterbrechungen. In der Praxis bedeutet die Verhinderung lateraler Bewegungen, dass durch umfassende Mikrosegmentierung eine Kommunikation mit minimalen Berechtigungen zwischen allen Netzwerkressourcen durchgesetzt wird – und nicht nur Aktivitäten überwacht und Warnmeldungen verfolgt werden. Ost-West-Datenverkehr sollte nur auf der Grundlage ausdrücklicher geschäftlicher Anforderungen zugelassen werden.

Durchsetzung privilegierter Zugriffsrechte auf Netzwerkebene

Der Missbrauch von Anmeldedaten ist nach wie vor eine der zuverlässigsten Methoden, mit denen Angreifer sich ersten Zugriff verschaffen und die Auswirkungen eskalieren können. Granulare identitätsbasierte Kontrollen stellen sicher, dass Anmeldedaten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, selbst für Dienstkonten oder Altsysteme, die nicht mit den meisten modernen Identitäts- oder MFA-Technologien integriert werden können. Privilegierte Ports und administrative Aktivitäten sollten mit Just-in-Time-MFA gesichert werden, die die Berechtigungen nach der Überprüfung kurzzeitig erhöht, um sicherzustellen, dass ein gestohlenes Passwort oder ein zu freizügiges Dienstkonto Angreifern nicht mehr uneingeschränkten Zugriff auf das Netzwerk gewährt.

Zugriff durch Dritte und Lieferanten einschränken

Externer Zugriff umgeht oft interne Sicherheitsvorkehrungen. Dritte sollten nur auf die notwendigen internen Ressourcen zugreifen können – mehr nicht. Durch die Forderung nach einer Just-in-Time-MFA-Überprüfung für den Fernzugriff können Sicherheitsverantwortliche konsistente, detaillierte Zugriffsrichtlinien für Lieferanten, Auftragnehmer und andere Dritte durchsetzen.

Auf Eindämmung statt Abschaltung ausgelegt

Die Resilienz unter NIS2 wird an der Kontinuität gemessen. Wenn die Isolierung einer Bedrohung die Abschaltung großer Teile der Umgebung erfordert, bleibt das Ziel der Richtlinie, die Betriebskontinuität aufrechtzuerhalten, unerreichbar. Die Eindämmung von Bedrohungen sollte präzise, automatisch und mit minimalen Störungen erfolgen, wobei betroffene Ressourcen gezielt isoliert werden, ohne kritische Dienste zu unterbrechen.

NIS2-Checkliste: Prüfung der Betriebsbereitschaft

CISOs können die Strategie ihres Unternehmens schnell anhand der NIS2-Anforderungen messen, indem sie sich einige wichtige Fragen stellen:

1. Wird laterale Bewegung verhindert?
   Unbefugte Ost-West-Kommunikation sollte standardmäßig blockiert werden, um sicherzustellen, dass Angreifer nicht über die anfängliche Kompromittierung hinauskommen.
2. Wird privilegierter Zugriff im Netzwerk durchgesetzt?
   Anmeldedaten sollten nur auf ausdrücklich genehmigten Pfaden verwendet werden können, und MFA sollte durchgesetzt werden – auch für Dienstkonten und Altsysteme.
3. Ist die Eindämmung in die Umgebung integriert?
   Sicherheitsvorfälle sollten ohne manuelle Isolierung oder Abschaltung eingedämmt werden, um sicherzustellen, dass kritische Dienste dennoch betriebsbereit bleiben.
4. Ist der Zugriff durch Dritte eingeschränkt?
   Der Zugriff von Anbietern und Lieferanten sollte auf Netzwerkebene segmentiert werden, um den Zugriff auf nicht zugehörige Systeme zu blockieren.
5. Sind Kontrollen nachweisbar?
   Unternehmen müssen nachweisen können, wie Segmentierung und Zugriffskontrollen durchgesetzt werden, und Belege für deren Auswirkungen auf den Explosionsradius vorlegen.

NIS2-Compliance durch automatisierte, identitätsbasierte Mikrosegmentierung

Anstatt zusätzliche Überwachungsmaßnahmen einzuführen, ist eine dynamische Eindämmungs- und Durchsetzungsebene innerhalb des Netzwerks nötig. Unternehmen können damit nachweisen, dass sie die Ausbreitung und die betrieblichen Auswirkungen aktiv begrenzen können, was für die NIS2-Compliance von zentraler Bedeutung ist.

Automatisierte, identitätsbasierte Mikrosegmentierung verhindert laterale Bewegungen in großem Maßstab. MFA auf Netzwerkebene erzwingt privilegierten Zugriff für alle Systeme, einschließlich Legacy-Umgebungen. Dieser Ansatz minimiert die Auswirkungen von Sicherheitsverletzungen und blockiert laterale Bewegungen, indem sie Bedrohungen automatisch in Echtzeit eindämmt und gleichzeitig das Risiko in der Lieferkette und durch Dritte durch die Einschränkung externer Zugriffspfade reduziert. Nicht zuletzt bietet dieser Ansatz die erforderliche Sichtbarkeit hinsichtlich Zugriffspfaden, Segmentierungsgrenzen und Eindämmungszonen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen