NIS-2 in der Praxis: Wie ein Managed SOC bei der Umsetzung regulatorischer Vorgaben unterstützt

Mit NIS-2 verschärfen sich die Anforderungen an die Cybersicherheit für rund 30.000 Unternehmen in Deutschland. Gleichzeitig zeigt sich eine deutliche Umsetzungslücke: Wie das IT-Fachmagazin Security Insider im Artikel „Run auf BSI-Registrierungsportal“ berichtete, haben sich bislang nur etwa 38,5 Prozent der betroffenen Unternehmen bis zum 6. März 2026 – dem Ende der Registrierungspflicht – beim BSI eingetragen. Diese Zahl ist vor allem deshalb bemerkenswert, da NIS-2 keine grundlegend neuen Anforderungen definiert. Vielmehr werden bestehende Empfehlungen und Standards jetzt zur regulatorischen Pflicht und damit überprüfbar.

Die NIS-2-Richtlinie macht bewusst keine Vorgaben zu konkreten Technologien. Sie orientiert sich am „Stand der Technik“ und definiert Fähigkeiten, die Unternehmen nachweisen müssen.

Im Kern lassen sich drei zentrale Anforderungen identifizieren:

• Frühzeitige Erkennung von Sicherheitsvorfällen
• Kontinuierliche Überwachung von IT-Systemen
• Strukturierte Reaktion auf Incidents

Standards wie ISO-27001 oder der BSI-Grundschutz betonen seit Jahren die Bedeutung von kontinuierlicher Überwachung, strukturiertem Incident Management und klar definierten Sicherheitsprozessen. Auch Veröffentlichungen zum „Stand der Technik“, etwa aus dem Umfeld des Branchenverbands TeleTrusT „Handreichung Stand der Technik in der IT-Sicherheit“, unterstreichen diese Notwendigkeit. Der „Stand der Technik“ beschreibt Sicherheitsmaßnahmen, die sich aktuell in der Praxis bewährt haben und als geeigneter Sicherheitsstandard gelten.

Die drei zentralen Vorgaben von NIS-2 sind eng miteinander verknüpft. Ohne kontinuierliche Überwachung lassen sich Vorfälle nicht frühzeitig erkennen. Und ohne klare Prozesse bleibt auch die Reaktion im Ernstfall unzureichend. Damit wird deutlich: NIS-2 fordert keine Tools, sondern die Fähigkeit, Sicherheitsvorfälle zuverlässig zu erkennen, zu bewerten und zu behandeln.

Doch genau hier liegt ein schwieriges Unterfangen für Firmen: die Anforderungen sinnvoll organisatorisch zu verankern und sie in funktionierende Abläufe zu überführen. Ein Beispiel ist die Meldepflicht bei IT-Sicherheitsvorfällen: Unter NIS-2 fallende Unternehmen müssen Vorfälle nicht nur erkennen, sondern innerhalb definierter Fristen bewerten und an die zuständigen Behörden melden. Ohne klare Prozesse, Verantwortlichkeiten und eine funktionierende Incident Response ist dies in der Praxis kaum umsetzbar. Der Fachkräftemangel, begrenzte interne Ressourcen, aber auch fehlendes Fachwissen in IT-Security stellen Unternehmen vor große Hürden.

Gerade weil diese Herausforderungen in der Praxis häufig nicht ausreichend adressiert werden, nimmt NIS-2 für den Bereich Cybersicherheit gezielt die Geschäftsleitung in die Verantwortung und macht sie auch für Versäumnisse haftbar. Angesichts der Bedrohungslage ist dies ein konsequenter Schritt, um IT-Sicherheit den geschäftskritischen Stellenwert zu geben, den sie verdient.

Cybercrime ist ein Milliardengeschäft und jedes Unternehmen ein potenzielles Ziel. Welche Folgen ein Angriff haben kann, zeigt ein Beispiel aus dem letzten Jahr: Der traditionsreiche Serviettenhersteller Fasana musste aufgrund einer Ransomware-Attacke Insolvenz anmelden. Aber auch weitere Unternehmen erholen sich nach einem schweren Cyberangriff nicht, wie im Security-Insider-Artikel „Cyberattacken treiben deutsche Unternehmen in den Ruin“ berichtet. Außerdem wird deutlich: Es hätte auch jede andere Organisation treffen können. Genau hier setzt NIS-2 an: Die Richtlinie soll sicherstellen, dass Unternehmen in der Lage sind, Angriffe frühzeitig zu erkennen, zu bewerten und wirksam darauf zu reagieren. Bevor es zu einem geschäftskritischen Zustand kommt.

An dieser Stelle wird ein Security Operations Center (SOC) relevant, insbesondere in der gemanagten Variante. Dieses adressiert genau die Lücke zwischen Anforderung und Umsetzung.

Ein Managed SOC übersetzt die abstrakten Anforderungen aus NIS-2 in konkrete operative Fähigkeiten:

• 24/7 Monitoring sicherheitsrelevanter Ereignisse
• Analyse und Priorisierung durch spezialisierte Analystenteams
• Erkennung von Angriffsmustern auf Basis definierter Use Cases
• Strukturierte Behandlung von Vorfällen mit klaren Prozessen und Eskalationswegen

Der entscheidende Mehrwert liegt dabei in der operativen Umsetzbarkeit: Unternehmen müssen nicht versuchen die genannten Anforderungen in einem intern betriebenen SOC aufzubauen, sondern greifen auf die bestehende Expertise und Infrastruktur von erfahrenen Dienstleistern zurück. Insbesondere für KMU ist der Aufbau und Eigenbetrieb eines SOC auch nicht wirtschaftlich, da der 24/7 Betrieb circa acht Fachkräfte erfordert, die zunächst gefunden oder entsprechend qualifiziert werden müssen. Durch die Unterstützung von externen Experten werden die internen IT-Teams entlastet. Natürlich ist dabei eine vertrauensvolle Zusammenarbeit die Grundlage. Verantwortlichkeiten müssen definiert, relevante Datenquellen angebunden und Prozesse abgestimmt werden. Ohne diese Basis kann auch ein SOC seine Wirkung nicht entfalten.

Wichtig anzumerken ist, dass ein Managed SOC keine regulatorische Pflicht ist. In der Praxis ist das häufig aber der effizienteste Weg, die geforderten Fähigkeiten zuverlässig zu erfüllen.

Ein SOC oder Managed SOC ist für die operative Sicherheit zentral, gleichzeitig kann es sich nur um einen Baustein innerhalb einer umfassenden Sicherheitsstrategie handeln.

Für eine nachhaltige Umsetzung von NIS-2 sind zusätzlich erforderlich:

• Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS)
• Systematisches Risikomanagement
• Business Continuity Management (BCM)
• Sensibilisierung und Schulung von Mitarbeitenden und der Geschäftsführung

Beste Technik entfaltet ihren Wert erst im Zusammenspiel mit den Menschen. Auch alle Mitarbeitenden spielen eine entscheidende Rolle bei der IT-Sicherheit. Sie lernen durch Schulungen, wie sie ihren Teil zu mehr Sicherheit beitragen können. In Trainings für Mitarbeitende geht es beispielsweise um Social Engineering und Phishing, wohingegen die Geschäftsführungsebene in Schulungen primär ihr Wissen in Risikomanagement und Notfallprozesse erweitert.

NIS-2 definiert einen verbindlichen Rahmen für Cybersicherheit. In der Praxis zeigt sich jedoch, dass die größte Herausforderung nicht in der Technologie liegt, sondern in der operativen Umsetzung – Verantwortlichkeiten und reibungslosen Abläufe sind hier das Stichwort. Dies spiegelt sich auch in der zum Zeitpunkt der Veröffentlichung relativ niedrigen Registrierungsquote wider. Sie zeigt, dass viele Unternehmen noch am Anfang stehen, wenn es darum geht, regulatorische Anforderungen in belastbare Prozesse zu überführen.

Ein Managed SOC leistet einen Beitrag, um NIS-2 zu erfüllen. Sicherheit entsteht jedoch nicht durch die Einführung einzelner Lösungen, sondern durch ein Zusammenspiel verschiedener Sicherheitsmaßnahmen im Alltag. NIS-2 definiert dabei den Mindeststandard. Ob Unternehmen darüber hinaus echte Resilienz erreichen, zeigt sich in der konsequenten operativen Umsetzung ihrer IT-Sicherheitsstrategie, die aus unterschiedlichen Bausteinen besteht. Und dann, wenn es zu einem Angriff kommt, der bereits im Keim erstickt wird, dank einer 24/7-Überwachung von Security-Fachleuten.