Regulatory Compliance meistern am Beispiel von NIS-2 – zwei hilfreiche Tools im Überblick

Regulatory Compliance mit NIS-2

Stehen Sie auch vor der Herausforderung, rechtliche Vorgaben, interne Richtlinien und Datenschutzbestimmung effizient in Ihrem Unternehmen einzuhalten, ohne dabei die operative Effizienz zu beeinträchtigen? Denn eine manuelle Verwaltung von Compliance-Anforderungen bringen einige Risiken wie Intransparenz, ineffiziente Prozesse und hohe Fehleranfälligkeit mit sich. Vor allem in unserer zunehmend regulierten Geschäftsfeld ist Compliance kein einmaliges Projekt, sondern ein kontinuierlicher Prozess in Ihrem Unternehmen.

Damit Sie diese Herausforderungen mit Bravour meistern können, stellen wir Ihnen in diesem Blogartikel leistungsstarke Tools, wie den Microsoft Purview Compliance Manager und den Nintex Process Manager vor. Denn gemeinsam ermöglichen Ihnen diese Tools eine effiziente, transparente und automatisierte Compliance-Strategie, die Ihr Unternehmen widerstandsfähiger und handlungsfähiger macht!

Was bedeutet Regulatory Compliance?

Regulatory Compliance bedeutet allgemein, dass ein Unternehmen oder eine Organisation alle relevanten gesetzlichen, regulatorischen und normativen Vorgaben einhält. Im Hinblick auf die Cybersicherheit wären solche Compliance Richtlinien zum Beispiel die NIS-2 (Network and Information Security), die ISO 27001, das BSI Bundesamt für Sicherheit in der Informationstechnik) IT-Grundschutzgesetz und die DSGVO. Es geht darum, klare Sicherheitsabläufe zu definieren, Cyberrisiken frühzeitig zu identifizieren und robuste Schutzmaßnahmen zu implementieren.

Die NIS-2 Richtlinie und die Unterschiede zur NIS

NIS-2 ist eine Richtlinie, die die Cybersicherheit in Europa verbessern soll. Eine derartige Regelung gibt es schon seit 2016 mit der NIS. Im Januar 2023 trat die NIS-2 in Kraft und es gab eine Frist bis zum 17.10.2024 für die Mitgliedsstaaten, diese in das nationale Recht zu übernehmen (Quelle: GUTcert, NIS2-Umsetzungsgesetz verzögert sich).

Nach aktuellen Informationen konnte Deutschland die Frist nicht einhalten, daher wurde die Umsetzung auf März 2025 geplant. Laut Auskunft des BSI ist dieser nicht mehr zuständig für die Angelegenheiten mit NIS-2. Nun liegt diese Zuständigkeit in der Obhut des BMI (Bundesministeriums des Innern und für Heimat).

Die NIS-2-Richtlinie markiert einen deutlichen Fortschritt in der EU-Cybersicherheitsstrategie. Davon sind insbesondere kritische Sektoren betroffen, wie Energie, Gesundheitswesen und digitale Infrastruktur. Sie fordert Unternehmen dazu auf, ihre Netzwerke und Informationssysteme abzusichern und Sicherheitsvorfälle schnell zu melden. Es geht darum, Risiken zu minimieren und kritische Dienste verfügbar zu halten.

Die Unterschiede zwischen NIS und NIS-2

AspektNISNIS-2
GeltungsbereichBegrenzter Kreis von SektorenSektoren Ausweitung auf viele weitere
UmsetzungUneinheitlichEinheitliche Anforderungen
SicherheitsanforderungAllgemein gehaltenPräziser und umfassender
MeldepflichtenWeniger strenge VorgabenStrengere Fristen und Anforderungen
SanktionenSchwach durchgesetztHohe Bußgelder möglich

Bei der NIS-2 hat sich zum einen der Geltungsbereich deutlich erweitert, d. h. es wurden mehr Sektoren einbezogen, wie zum Beispiel die Lebensmittelproduktion, Raumfahrt, Abfallwirtschaft, Postdienste usw. 

Zum anderen sind die Vorgaben und die Standards bzgl. der Umsetzung klarer formuliert. Es müssen strengere Sicherheitsforderungen etabliert werden, wie z.B. die Schulungspflicht für leitenden Organe oder Sicherheitsbewertungen von Lieferketten. Die NIS-2 fordert zudem mehr Awareness und das Commitment des Top Managements. Die erhöhte Meldepflicht bedeutet, dass Ihr Unternehmen den Vorfall zuerst innerhalb von 24 h und Folgemeldungen nach 72 h und nach einem Monat mit verbindlichen Berichten einreichen muss. Bei nicht Einhaltung dieser Vorgaben drohen den Unternehmen hohe Strafen.

Um alle relevanten gesetzlichen, regulatorischen und normativen Vorgabeneinzuhalten, erfordert es oft eine umfangreiche Planung der einzelnen Kernpunkte. Hinzu kommt die fehlende Expertise bei der Umsetzung dieser Punkte. Auch bei der Ermittlung der Zuständigkeiten und Vergabe der Aufgaben wird auf alte Methoden zurückgegriffen. Oft schleichen sich an genau diesen Stellen Fehler ein, wenn es um die Nachverfolgbarkeit der umgesetzten Maßnahmen geht. Es braucht ein einheitliches Tool um die Vorgaben einschätzbar, planbar, messbar und nachverfolgbar zu machen.

Tool 1: Microsoft Purview Compliance Manager – Behalten Sie Ihre Compliance Integrationen im Überblick

Genau hier hilft der Microsoft Purview Compliance Manager. Der Compliance Manager bietet Ihnen eine Vielzahl an Möglichkeiten, um Ihre Compliance-Gesamtbewertung Ihres Tenants im Auge zu behalten. Sie können hier nicht nur die Vorgaben der NIS-2 Compliance gegenüberstellen, sondern auch weitere Standards abfragen. Wie in der folgenden Grafik abgebildet, erhalten Sie in der Übersicht einen Überblick über Ihre Compliance-Gesamtbewertung.

Microsoft Purview

Microsoft bietet Bewertungen von bis zu 389 unterschiedlichen Vorgaben, wie bspw. NIS-2, an. Diese werden von Microsoft eingepflegt und regelmäßig aktualisiert. Somit müssen Sie keinen weiteren Aufwand betreiben und sind auch für zukünftige Vorgaben bestens vorbereitet.

Purview Bestimmungen

Da das deutsche Umsetzungsgesetz zur NIS-2 aktuell noch verabschiedet werden muss, finden Sie dieses noch nicht im Compliance Manager. Wiederum orientiert sich dieses Umsetzungsgesetz an der im EU-Parlament entschiedenen Direktive.

Somit können Sie schon jetzt die Umsetzungsmaßnahmen im Compliance Manager angehen.

In den Vorgaben bzw. Bestimmungen können Sie alle Steuerelemente der Direktive mit den entsprechenden Artikelreferenzen finden. Microsoft analysiert hier Ihren Tenant und gibt bei Möglichkeit von direkter Verbesserung innerhalb Ihrer Umgebung, eine erreichbare Punkteanzahl an. Diese Punkteanzahl kann je nach Gewichtung bzw. Aufwand variieren.

NIS2 EU Directive

Um eine genaue Einschätzung der offenen Verbesserungsaktionen zu bekommen, bietet der Compliance Manager eine Assessment Funktion an.

Bewertungen im Compliance Manager

Sie können hier gezielt die von Ihnen gewünschte Richtlinie auswählen, die zu bewertende Gruppe und deren verknüpften Dienste. Sobald das Assessment durchgelaufen ist, bekommen Sie eine genau Übersicht über Ihren Umsetzungsstatus. Hier können Sie den Umsetzungsstatus für Ihren ausgewählten Dienst und deren Hauptverbesserungsaktionen einsehen. Viele Verbesserungsaktionen werden durch die Build-In Features der Microsoft 365 Umgebung bereits behandelt. Somit werden Verbesserungsaktionen, wie beispielsweise das Auditieren der Benutzeraktionen durch die Sign-In Logs im Entra ID überwacht.

Die noch zu behandelnden Aktionen können nun mithilfe des Assessments gezielt behandelt werden.

NIS2 Directive Assessment

Die Aktionen können Sie den zuständigen Personen zuweisen, die anschließend eine Informationsmail über die zugewiesenen Aufgaben erhalten. Somit können Sie eine klare Delegierung der Verbesserungsaktionen gewährleisten.

Verbesserungsaktionen

In der Aktion bekommen Sie eine genau Beschreibung zur Umsetzung und Vorgehensweise. Die Verlinkungen zu den passenden Portalen (z. B. Security Portal, Entra ID oder Purview Portal) und Learn Pages sind auch gegeben. Alle zugehörigen Reports, Dokumente und Hyperlinks können Sie zentral im „Beweis-Tab“ speichern. Der Status zur Implementierung der Aufgabe wird regelmäßig gepflegt, um eine Nachverfolgbarkeit zu gewährleisten.

Bearbeitung der Verbesserungsaktion

In unserem Beispiel wurde die Verbesserungsaktion zur automatischen Alarmierung bearbeitet. Wir haben Regularien und Tools, mit denen wir einzelne Komponenten mithilfe des Compliance Managers in unsere bestehende Systemlandschaft etablieren. Hierbei handelte es sich um eine technische Aktion. Jedoch sind nicht alle Szenarien technisch umsetzbar. Denken wir nun ein bisschen weiter bspw. wie der Umgang im Falle einer Vorfallsmeldung sein sollte? Wie richten wir unsere Kernprozesse so um, damit sie der Compliance entsprechen? Oft werden Prozesse hierbei vernachlässigt und nicht ordnungsmäßig durchgeführt.

Mit Tools wie dem Nintex Process Manager können Sie Prozesse interaktiver, planbarer und nachverfolgbarer technisch umsetzten.

Tool 2: Nintex Process Manager – Prozesse modellieren, automatisieren und optimieren

Mithilfe von Automatisierungslösungen wird der Fokus von einer starren Compliance hin zu einem dynamischen Ansatz verlagert, bei dem digitale Souveränität und individuelle Verantwortung im Mittelpunkt stehen. Jeder Einzelne trägt aktiv dazu bei, Compliance erfolgreich zu gestalten und somit eine selbstbestimmte, sichere und regelkonforme digitale Umgebung zu fördern.

Wie Sie bereits gesehen haben, begleitet der Compliance Manager Schritt für Schritt die Umsetzung der EU-Richtlinien im Tool direkt in die Systeme. In diesem Part wird ein Use Case behandelt, der eine übergreifende Lösung für Ihre Prozesslandschaft bietet. Abstrakte Szenarien wie „Wie melde ich einen Vorfall und pflege diesen an einer zentralen Stelle?“ und damit anknüpfend „Was für ein Prozess steckt hinter der Vorfallsmeldung?“. Diese Prozesse müssen effektiv, interaktiv, diszipliniert und effizient reibungslos funktionieren.

Der Nintex Process Manager ist das Werkzeug, um ein Prozessmodell für die NIS-2 Compliance-Richtlinie zu erstellen. Es ist ein cloudbasiertes Prozessmanagement-Tool, dass Ihrem Unternehmen hilft, Ihre Prozesse zu visualisieren, automatisieren und optimieren. Es ist mehr als nur eine einfache Modellierung der Prozesse. Es involviert Experten, etabliert den Prozess als Kommunikationsgrundlage und begleitet das Ausschöpfungspotenzial Ihrer vorhandenen Kerngeschäfte.

Was versteht man unter Prozessmodellierung und welche Features bietet Nintex?

Was tun Sie, wenn Sie ein Ziel haben und irgendwohin müssen? Sie öffnen den Routenplaner, sehen die Strecke im Überblick und schauen welche Strecke besser ist und wo Baustellen sind, oder? Genau das ist der Plan der Prozessmodellierung. Sie ist eine Mischung aus Routenplaner und Modellierung der Architektur.

Mit dem Nintex Process Manager kann das Prozessmodell mit allen essenziellen Rahmenbedingungen ausgestattet werden. In folgende Rubriken können Konfigurationen/Einrichtungen vorgenommen werden:

  • Dokumente: Ablage von Guides, Screenshots, Infos, Videos, etc.
  • Systeme: Übersicht aller unternehmensrelevanten Systeme und Reports bei Cybersicherheitsangriffen möglich
  • Risiken: Verwaltung des Risikomanagements gemäß NIS-2 mithilfe von individuellem Risikoprofil, Erfassung und Erweiterung von Risiken mit adäquaten Maßnahmen
  • Schulung: Konzeption, Zuweisung und Überwachung von Trainings zur Erfüllung der Schulungspflicht gemäß NIS-2
  • Automatisierung: Integration von digitalen Formularen und Workflowprozessen

Alle diese Features lassen sich an gewünschten Prozessschritten kompakt einbetten und verlinken.

Zusätzlich:

  • RACI: Verwaltung von Rollen und Usern
  • Glossar & Tags: Unternehmensspezifische Kürzel pflegen und einsetzen bspw. #microsoft, #entra, #nintex, #automated usw.
  • Tags: Optimierungspotenziale in einzelnen Prozessschritten markieren bspw. mit #improvement, #opportunity-automation usw.
  • Feedbackfunktion: Austausch zu Aktivitäten und einzelnen Prozessschritten

Das Prozessmodell im Process Manager – Meldung von Cybersecurity-Vorfällen gemäß NIS-2

Nachdem Sie den Vorfall im Process Manager Formular eingereicht haben, startet das Incident Report Team damit, den Vorfall zu bewerten und zu kategorisieren (Schritt eins). Der Teamleader legt danach die Reaktionsprioritäten fest (Schritt zwei). Das Team wiederum kümmert sich um die Eindämmungsmaßnahmen (Schritt drei). Diese können bspw. bei einem Phishing-Angriff die folgenden Aktivitäten sein: Ändern des Passworts, Wiederherstellen der Daten oder Trainingszuweisung. Das IT-Operationsteam kümmert sich in Schritt vier um das Business Continuity Management. Also alle notwendigen Maßnahmen damit das Weiterarbeiten ermöglicht wird. Schritte fünf, sechs und acht sind automatisiert, wie in der Grafik abgebildet. Mithilfe eines digitalen Formulars wird ein Automatismus integriert, bei dem ein Workflow die Meldepflicht an die Behörde mit den Iterationen 24h, 72h und ein Monat inklusive der vollständigen Berichte übernimmt.

Es gibt Reminder- und Eskalationsfunktionen, die dabei unterstützen, die Verantwortlichen rechtzeitig zu kontaktieren. Des Weiteren werden die internen und externen Parteien, wie Lieferanten und andere Stakeholder von dem Vorfall per E-Mail kontaktiert. Dies umfasst der automatisierte Workflow. Bei Schritt sieben geht es um parallele Aktivitäten, wie die Durchführung der Analysen und den Schulungen. Nach dem Abschlussbericht (Schritt acht) erfolgt der letzte Schritt. Der zuständige Compliance Beauftragte muss alle vorherigen Schritte überprüfen und gewährleisten, dass diese sorgfältig durchgeführt worden sind. Anknüpfend an die Prozessschritte gibt es die Möglichkeit, die eingesetzten Ressourcen im Überblick zu betrachten.

Prozessmodell

Wie überwache ich meine Ressourcen im Prozessmodell?

In diesen Abbildungen wird ersichtlich, dass Sie im Process Manager Anzeigeoptionen auswählen können, wie der zeitliche Aufwand in Sekunden, Minuten oder Stunden (links) und die Kosten (rechts) je Prozessschritt aussehen.

Ressourcenüberwachung des Zeitaufwands und Kosten

Wie pflegen wir den Vorfall mit all den Aktivitäten?

Der Vorfall wird wie in der folgenden Abbildung angelegt und es gibt im Hinblick auf die Dokumentation eine systematische Begleitung durch die Menüpunkte „Overview“, „Investigation“, „Action“ und „Close“. Unter „Recommended Actions“ werden alle notwendigen Maßnahmen angelegt. In dieser Grafik sind drei beispielhafte Sicherheitsvorgehen dokumentiert, die mit Informationen und Kommentaren ausgestattet werden damit der Vorfall geschlossen werden kann. Jede digitale Fallakte kann erneut für die Bearbeitung eröffnet werden.

Digitale Fallakte Vorfalls Meldung

So sieht das Ergebnis der digitalen Fallakte aus

Ein Highlight des Nintex Process Managers ist das Ergebnis dieser Dokumentationsart. Durch den PDF-Button werden die notierten Inhalte zu einem sauberen Dokument mit allen Details komprimiert. Nun kann dieser Bericht an die zuständige Behörde verschickt werden. So wurde die Vorfallsmeldung als Prozess und als detaillierte Dokumentation im Tool vorgestellt.

Report als PDF

Unsere Empfehlung: Regulatory Compliance meistern am Beispiel von NIS-2 mit zwei hilfreichen Tools

Um die Herausforderungen der NIS-2-Compliance zu bewältigen, bieten der Microsoft Purview Compliance Manager und der Nintex Process Manager leistungsstarke Lösungen für Sie. Während der Compliance Manager Ihrem Unternehmen hilft, Regelkonformität zu überwachen, Risiken zu minimieren und Audits zu erleichtern, unterstützt Sie der Nintex Process Manager bei der strukturierten Dokumentation, Automatisierung und Optimierung von Compliance-Prozessen. Gemeinsam ermöglichen diese Tools eine effiziente, transparente und automatisierte Compliance-Strategie, die Ihr Unternehmen widerstandsfähiger und handlungsfähiger macht.

Durch resiliente Strukturen und Technologien stärken Sie die Widerstandsfähigkeit gegenüber Cyberrisiken und regulatorischen Veränderungen. So wird Ihr Unternehmen befähigt, die richtigen Aktivitäten auch im Rahmen der Compliance richtig umzusetzen.

Die in diesem Beitrag vorgestellten Lösungen unterstützen Sie auf dem Weg zur Cybersicherheit. Eine starke Security erhöht nicht nur den Schutz, sondern auch die Resilienz und Stabilität Ihres Unternehmens. So sind Sie definitiv startklar für die nächste Compliance-Richtlinie!

AUTOR
Elias Heberle, ORBIS Modern Work GmbH
AUTOR Elias Heberle Security Consultant, ORBIS Modern Work GmbH
Ähnliche Beiträge