EU-Richtlinie 2022/2555 · NIS2UmsuCG
NIS2-Software – Pflichten, Maßnahmen, Meldewege
NIS2 lässt sich nicht mit einer Excel-Tabelle und einem Ordner erfüllen. Gefordert sind technische und organisatorische Maßnahmen nach Art. 21, ein belastbarer Nachweis ihrer Wirksamkeit und eine Meldekette, die im Ernstfall in 24 und 72 Stunden funktioniert. MGMSYS ist das Werkzeug, das diese Pflichten an einem Ort zusammenführt.
Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.
Art. 21 NIS2
Risikomanagement-Maßnahmen verwalten
Art. 21 verlangt einen Katalog technischer und organisatorischer Mindestmaßnahmen nach dem Stand der Technik. In MGMSYS hat jede dieser zehn Maßnahmen einen festen Platz – mit Verantwortlichem, Status und Wirksamkeitsnachweis.
- Risikoanalyse und Konzepte für Informationssicherheit
- Bewältigung von Sicherheitsvorfällen (Incident Handling)
- Business Continuity, Backup-Management und Krisenmanagement
- Sicherheit der Lieferkette und der Zuliefererbeziehungen
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT
- Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
- Grundlegende Cyberhygiene und Schulung des Personals
- Konzepte für Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Asset-Management
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Maßnahmenverwaltung
Von der Maßnahme zum Nachweis
Eine Maßnahme zu beschließen reicht nicht – die Aufsicht erwartet, dass Sie ihre Umsetzung und Wirksamkeit belegen können. MGMSYS macht aus losen Maßnahmen einen revisionssicheren, jederzeit prüfbaren Stand.
| Funktion | Was die Software leistet |
|---|---|
| Maßnahmenregister | Jede Art.-21-Maßnahme als Eintrag mit Verantwortlichem, Frist, Status und Bezug zur Risikoanalyse. |
| Wirksamkeitsbewertung | Wiederkehrende Prüfung mit Bewertungsskala, Re-Audit-Intervall und Eskalation bei Überschreitung. |
| Nachweisablage | Dokumente, Screenshots, Protokolle und Übungsnachweise revisionssicher und versioniert hinterlegt. |
| Lieferantenbewertung | Dienstleisterregister mit Risikoprofil und Re-Assessment-Zyklus für die Lieferkettensicherheit. |
| Schulungsnachweise | Pflichtkurse für Personal und Geschäftsleitung mit Teilnahmenachweis und Wiederholungslogik. |
| Cross-Reporting | Eine gepflegte Maßnahme zählt zugleich für ISO 27001, TISAX und DSGVO – ohne Doppelpflege. |
Art. 23 NIS2
Die 24/72-Stunden-Meldekette
Bei einem erheblichen Sicherheitsvorfall läuft die Uhr. NIS2 schreibt eine dreistufige Meldung an das BSI vor. MGMSYS führt den Meldeprozess strukturiert und überwacht die Fristen, damit im Ernstfall niemand improvisieren muss.
Stufe 1
24 Stunden
Frühwarnung an das BSI: erste Einschätzung, ob ein rechtswidriges oder böswilliges Handeln zugrunde liegt und ob grenzüberschreitende Auswirkungen möglich sind.
Stufe 2
72 Stunden
Vorfallmeldung mit einer ersten Bewertung von Schweregrad, Auswirkungen und – soweit verfügbar – Kompromittierungsindikatoren.
Stufe 3
1 Monat
Abschlussbericht mit ausführlicher Ursachenanalyse, Schweregrad, Auswirkungen und den ergriffenen Abhilfemaßnahmen.
Der Fristenwächter im NIS2-Modul startet die Uhren automatisch, sobald ein Vorfall erfasst wird, und erinnert die Verantwortlichen vor jeder Frist. Vorformulierte Meldetexte beschleunigen die Übermittlung an das BSI. Wie sich das in die Gesamtumsetzung einfügt, zeigt die NIS2-Hauptseite.
Kontinuierlicher Nachweisstand
Compliance, die nicht jedes Jahr neu beginnt
Der größte Effizienzgewinn liegt nicht in der Ersterfüllung, sondern darin, den erreichten Stand zu halten. MGMSYS macht aus dem NIS2-Nachweis einen lebenden, jederzeit vorzeigbaren Zustand statt eines jährlichen Kraftakts.
Immer prüfbereit
Maßnahmenstatus, Wirksamkeitsbewertungen und Nachweise sind jederzeit abrufbar. Eine Aufsichtsprüfung oder ein Kundenaudit beginnt nicht mit wochenlangem Zusammensuchen, sondern mit dem Export des aktuellen Stands.
Erinnerungen statt Lücken
Fällige Re-Audits, auslaufende Schulungen und überfällige Lieferantenbewertungen werden automatisch angestoßen. So entstehen keine stillen Nachweislücken, die im Audit teuer werden.
Häufige Fragen
- Welche Maßnahmen schreibt NIS2 konkret vor?
Art. 21 NIS2 nennt zehn Bereiche von Mindestmaßnahmen – darunter Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Wirksamkeitsbewertung, Cyberhygiene und Schulung, Kryptografie, Zugriffskontrolle sowie Multi-Faktor-Authentifizierung. MGMSYS bildet jede dieser Maßnahmen einzeln ab.
- Wie unterstützt die Software die BSI-Meldung?
Das NIS2-Modul führt den dreistufigen Meldeprozess (24 Stunden Frühwarnung, 72 Stunden Vorfallmeldung, 1 Monat Abschlussbericht) mit einem Fristenwächter und vorformulierten Meldetexten. So bleibt im Ernstfall keine Frist unbemerkt.
- Wie werden Nachweise revisionssicher geführt?
Jede Maßnahme erhält Dokumente, Protokolle und Wirksamkeitsbewertungen in einer versionierten, nachvollziehbaren Ablage. Änderungen sind nachvollziehbar, der Stand ist jederzeit exportierbar – testat- und auditfähig.
- Brauche ich zusätzliche Tools für ISO 27001 oder TISAX?
Nein. Über das Cross-Reporting zählt eine gepflegte Maßnahme zugleich für NIS2, ISO 27001, TISAX und DSGVO. Das vermeidet Doppelpflege und hält den Aufwand gering.
- Wie bleibt der Nachweisstand dauerhaft aktuell?
Die Software stößt fällige Re-Audits, auslaufende Schulungen und überfällige Lieferantenbewertungen automatisch an. So bleibt der Nachweisstand kontinuierlich gepflegt, statt einmal im Jahr mühsam rekonstruiert zu werden.
Maßnahmen, Nachweise und Meldewege in einem Werkzeug
MGMSYS verwandelt die NIS2-Pflichten in einen strukturierten, kontinuierlich gepflegten Nachweisstand – inklusive Fristenwächter für die BSI-Meldekette. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.