NIS2-Bereitschaft

NIS2 verlangt keinen Bericht. Es verlangt einen Nachweis.

NIS2 schreibt nicht vor, welche Firewall Sie betreiben. Es schreibt vor, dass Sie jede Änderung daran belegen können: wer sie beantragt hat, wer sie genehmigt hat, wann sie lief und warum. Diese Seite erklärt die Pflichten an die Firewall-Ebene, und gibt Ihnen eine Checkliste, mit der Sie sich selbst prüfen, bevor es eine Behörde tut.

Geltungsbereich

Wesentliche oder wichtige Einrichtung, die erste Frage

NIS2 unterscheidet zwei Klassen betroffener Organisationen. Beide tragen dieselben Risikomanagementpflichten; sie unterscheiden sich in der Aufsicht und in der Höhe der Bußgelder. Die Einstufung folgt aus Sektor und Größe, nicht aus Selbsteinschätzung.

Wesentliche Einrichtungen

Energie, Verkehr, Bankwesen und Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur und ICT-Dienstleister, öffentliche Verwaltung, Weltraum. Regel: ab 250 Beschäftigten oder mehr als 50 Mio. € Jahresumsatz. Diese Klasse unterliegt proaktiver Aufsicht.

Wichtige Einrichtungen

Post- und Kurierdienste, Abfallwirtschaft, Chemie und Lebensmittel, verarbeitendes Gewerbe (Medizintechnik, Elektronik, Maschinen, Kraftfahrzeuge), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung. Regel: ab 50 Beschäftigten oder mehr als 10 Mio. € Jahresumsatz. Aufsicht erfolgt anlassbezogen.

Die Schwellenwerte sind ein Filter, kein Freibrief. Liegen Sie knapp darunter, kann eine Lieferkettenanforderung Sie trotzdem in die Pflicht nehmen: Ihr regulierter Kunde muss Ihre Sicherheit nachweisen und reicht die Anforderung an Sie weiter. Im Zweifel sollten Sie sich so dokumentieren, als wären Sie betroffen.

Pflichten an der Firewall

Die Artikel, die in der Rulebase landen

Der größte Teil von NIS2 betrifft Governance und Meldewesen. Vier Stellen schlagen aber direkt bis auf die Firewall-Regel durch, und genau dort versagen die meisten Audits, weil der Nachweis nie sauber geführt wurde.

Art. 21 Abs. 1, Risikomanagement

Geeignete und verhältnismäßige Maßnahmen zur Beherrschung von Risiken für Netz- und Informationssysteme. Für die Firewall heißt das, jede Änderung läuft durch eine Risikoeinschätzung und eine Genehmigung, bevor sie produktiv wird, nicht erst im Nachhinein dokumentiert.

Art. 21 Abs. 2 (e), Beschaffung & Wartung

Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen, einschließlich Schwachstellenmanagement. An der Rulebase bedeutet das laufende Konflikt- und Schwachstellenanalyse: verdeckte Regeln, redundante Policy und zu weit gefasste any/any-Freigaben müssen erkannt werden, bevor sie zum Risiko werden.

Art. 21 Abs. 2 (i), Zugangskontrolle

Konzepte für Zugangskontrolle und Asset-Management. Übersetzt: rollenbasierte Rechte und Funktionstrennung. Niemand genehmigt seine eigene Änderung. Mehrstufige Freigabeketten je Umgebung sind die technische Antwort auf diese Pflicht.

Art. 23, Meldepflichten

Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Diese Fristen sind nur einzuhalten, wenn die Änderungshistorie lückenlos vorliegt: Wer hat was, wann und warum geändert, lässt sich dann in Minuten rekonstruieren statt in Tagen.

Vom Ticket zum Nachweis

Der Nachweis entsteht beim Ändern, nicht beim Audit

Die meisten Teams scheitern an NIS2 nicht, weil ihre Firewall schlecht konfiguriert ist, sondern weil die Begründung für jede Regel verloren gegangen ist. Ein Freitext-Ticket und eine CLI-Sitzung hinterlassen keinen prüfbaren Pfad. Ein strukturierter Änderungsprozess schon.

  • Strukturierte Anträge, Quelle, Ziel, Port, Aktion und Zweck werden vorab erfasst, also genau die Felder, die ein Prüfer braucht.
  • Lückenloser Audit-Trail, jede Regel trägt ihr Wer, Was, Wann und Warum, über jeden Hersteller hinweg auf einer Spur.
  • Ablaufverfolgung, temporäre Freigaben werden mit Verfallsdatum geführt, damit aus „nur für heute“ kein Dauerzustand wird.
Partner-VPN → App-Ebene 443Genehmigt
Internet → DMZ 8443In Prüfung
Altregel SMB 445 sperrenGenehmigt
any/any-Freigabe erkanntRisiko hoch
NIS2-NachweispaketEntwurf

Selbstprüfung

Acht Fragen, die ein Prüfer Ihnen stellt

Gehen Sie die Liste ehrlich durch. Können Sie zu jedem Punkt einen Beleg vorlegen: kein „wir machen das“, sondern eine Spur, die ein Dritter nachvollzieht? Wo Sie zögern, liegt Ihre Lücke.

  • Dokumentierter Änderungsprozess mit Genehmigung, jede Firewall-Änderung durchläuft denselben, nachvollziehbaren Pfad.
  • Lückenloser Audit-Trail für alle Konfigurationsänderungen, nicht nur für die geplanten.
  • Konflikt- und Schwachstellenanalyse der Rulebase: verdeckte, redundante und zu weit gefasste Regeln werden erkannt.
  • Abgleich gegen genehmigte Baselines, Abweichungen vom Sollzustand werden sichtbar, bevor sie ein Prüfer findet.
  • Rollenbasierte Rechte mit Funktionstrennung, Antrag und Genehmigung liegen nie in einer Hand.
  • Ablaufverfolgung temporärer Regeln, jede Ausnahme hat ein Enddatum und wird daran gemessen.
  • Meldefähige Änderungshistorie, die 24/72-Stunden-Fristen lassen sich aus dem Protokoll bedienen, nicht aus dem Gedächtnis.
  • Exporte für Prüfer, der Nachweis wird zur Datei, nicht zur Excel-Nacht vor dem Audit-Termin.

Einordnung

NIS2 ist nicht das einzige Regime an Ihrer Rulebase

Wer NIS2 sauber löst, hat den größten Teil der anderen Rahmenwerke schon erledigt. Es ist dieselbe Frage, lässt sich jede Regel belegen?, nur in unterschiedlicher Sprache. Ein Änderungsprozess, mehrere Exporte.

RahmenwerkKernanforderung an die FirewallGeteilt mit NIS2
NIS2Risikomanagement, Zugangskontrolle, Meldefristen,
KRITISNachweis der Maßnahmenumsetzung für kritische AnlagenAudit-Trail, Baseline-Abgleich
ISO 27001Änderungssteuerung und nachvollziehbare KontrollenGenehmigung, Historie
DORAIKT-Risikomanagement für FinanzdienstleisterRisikoanalyse, Meldewesen
PCI-DSSgeprüfte Rulebase, Trennung der UmgebungenFunktionstrennung, Reviews

Konsequenz

Warum der Nachweis vor dem Bußgeld steht

10 Mio. €

oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, die Geschäftsleitung haftet persönlich für Pflichtverletzungen. NIS2, Art. 34

7 Mio. €

oder 1,4 % des weltweiten Jahresumsatzes für wichtige Einrichtungen, Aufsichtsbehörden können Prüfungen und Abhilfemaßnahmen anordnen. NIS2, Art. 34

24 / 72 h

Fristen für Frühwarnung und Meldung eines Sicherheitsvorfalls, ohne lückenlose Historie nicht zu halten. NIS2, Art. 23

NIS2-Konformität beginnt an der Firewall-Regel

Die Pflicht ist nicht, eine bestimmte Software zu kaufen. Sie ist, jede Änderung belegen zu können. Der ausführliche Beitrag zeigt, wie die Nachweise im Detail aussehen; die Methodik-Seite zeigt das Verfahren dahinter: mehrere Hundert Migrationen, in einen prüfbaren Prozess gegossen.