Vorlage · NIS2
NIS2-Maßnahmenkatalog — Vorlage und Aufbau
Ein NIS2-Maßnahmenkatalog ist kein PDF, das man einmal befüllt und in einen Ordner legt. Er ist ein lebendes Steuerungs-Dokument mit Mapping auf die zehn Mindest-Pflichten, klarer Ownership und periodischer Wirksamkeits-Messung. So sieht der Aufbau in der Praxis aus.
Was ein NIS2-Maßnahmenkatalog leisten muss
Der Begriff Maßnahmenkatalog taucht im Gesetzestext nicht wörtlich auf, ist aber die etablierte Übersetzung der Pflicht aus § 30 Abs. 1: „geeignete, verhältnismäßige und wirksame technische, operative und organisatorische Maßnahmen". Diese Maßnahmen müssen identifiziert, dokumentiert, beschlossen, umgesetzt und überwacht werden.
Damit ein Maßnahmenkatalog vor BSI/BNetzA besteht, muss er fünf Dinge können:
- Vollständigkeit nachweisen — Mapping auf alle 10 Pflichten aus § 30 plus § 31 (Angriffserkennung).
- Priorisierung begründen — Risiko-basiert, nicht „Bauchgefühl".
- Verantwortlichkeiten klären — pro Maßnahme genau ein Owner.
- Wirksamkeit messen — KPIs, Stichtage, Nachprüfung.
- Aktualität dokumentieren — Versionsstand, Beschlussdatum, Review-Zyklus.
Eine Excel-Liste mit 30 Zeilen kann ein gültiger Maßnahmenkatalog sein — eine 80-seitige Word-Datei ohne Ownership und KPIs ist es nicht. Form folgt Funktion.
Aufbau der Vorlage — 10 Domänen, ein Tracker
Die Vorlage, die wir bei unseren Mandaten ausliefern, hat eine einzige Tracker-Tabelle als Kern. Drumherum sechs Begleit-Tabs, die Kontext und Nachweise sammeln:
- Stammdaten — Einrichtungs-Klasse, Sektoren, BSI-Reg-Nr., Ansprechpartner, Versionsstand.
- Asset-Register (light) — kritische IT- und OT-Systeme mit Schutzbedarf VIV.
- Risiko-Register — Top-10-Risiken, Eintrittswahrscheinlichkeit, Auswirkung, Behandlung.
- Maßnahmen-Tracker — das Herzstück, eine Zeile pro Maßnahme.
- Lieferanten-Register — Dienstleister, Kritikalität, Vertragsstatus, letzte Prüfung.
- Vorfalls-Log — Ereignis-ID, Klassifizierung, Meldepfad, Status, Lessons Learned.
- Beschluss-Log — Datum, Beschluss-Text, beschließende Gremium, Anlage.
Im Maßnahmen-Tracker hat jede Zeile mindestens diese Spalten:
| Spalte | Zweck |
|---|---|
| ID | eindeutig, z. B. M-001 |
| Domäne | eine der 10 Pflichten aus § 30 oder „§ 31" |
| Titel | kurzer Maßnahmen-Name |
| Beschreibung | 1–3 Sätze: was wird konkret getan |
| Owner | eine Person, nicht „die IT" |
| Status | geplant / in Umsetzung / produktiv / verworfen |
| Priorität | P1–P4 (siehe Priorisierung) |
| Zieltermin | realistisches Datum |
| Aufwand-Schätzung | PT extern + PT intern + Lizenz/Hardware |
| Wirksamkeits-KPI | messbarer Indikator |
| Letzte Prüfung | Datum + Ergebnis |
Mapping auf § 30 und § 31
Jede Maßnahme im Tracker bekommt eine Domäne zugeordnet. Die Auswahl-Liste ist fix vorgegeben — das ist wichtig, damit beim Audit das Mapping per Filter auswertbar ist.
| Code | Domäne (§ 30 Abs. 2 + § 31) |
|---|---|
| D01 | Risikoanalyse und Sicherheit für Informationssysteme |
| D02 | Bewältigung von Sicherheitsvorfällen |
| D03 | Aufrechterhaltung des Betriebs (BCM, Backup, Krise) |
| D04 | Sicherheit der Lieferkette |
| D05 | Sicherheit bei Erwerb, Entwicklung und Wartung |
| D06 | Bewertung der Wirksamkeit (KPI, interne Audits) |
| D07 | Cyberhygiene und Schulungen |
| D08 | Kryptografie und Verschlüsselung |
| D09 | Personal, Zugriff, Asset-Management |
| D10 | MFA, sichere Kommunikation |
| D11 | § 31 — Systeme zur Angriffserkennung (KRITIS-relevant) |
Eine Pflicht ohne Maßnahme im Katalog ist eine Lücke, die auditfest begründet werden muss („gleichwertige Maßnahme an anderer Stelle" oder „nicht anwendbar mit Begründung"). Leere Felder sind kein gültiger Status.
Priorisierung nach Risiko und Aufwand
Wir nutzen ein Vier-Stufen-Schema, das in vier Workshops pro Mandat konsistent Konsens herstellt:
- P1 — Sofort: Hohes Risiko und niedriger Aufwand. Quick Wins. Beispiel: MFA für administrative Zugänge, dokumentierter Backup-Test, Phishing-Awareness.
- P2 — In 90 Tagen: Hohes Risiko und mittlerer Aufwand. Beispiel: Incident-Response-Prozess, Logging-Architektur, kritische Vertragsanpassungen.
- P3 — In 12 Monaten: Mittleres Risiko oder hoher Aufwand mit klarem Compliance-Nutzen. Beispiel: SIEM-Vollausbau, OT-Segmentierung, Krypto-Inventar.
- P4 — Beobachten: Niedriges Risiko, hoher Aufwand. In Roadmap belassen, nicht aktiv bearbeiten. Beispiel: PQC-Migration, ZTNA-Vollausbau.
Realistischer Schnitt aus unseren Audits: ca. 30–50 Maßnahmen pro Mandat, davon 5–10 in P1, 10–15 in P2, der Rest verteilt.
25 konkrete Maßnahmen mit Aufwandsschätzung
Auswahl aus unserer Standard-Vorlage. Aufwand jeweils in Personentagen (PT) intern bzw. extern, plus geschätzte Drittkosten:
| ID | Maßnahme | Domäne | PT int / ext | 3rd-Party |
|---|---|---|---|---|
| M-001 | MFA für alle Admin-Zugänge (Cloud + on-prem) | D10 | 5 / 2 | 0–4 T€ |
| M-002 | Dokumentierter Restore-Test je Backup-Klasse, halbjährlich | D03 | 3 / 0 | 0 |
| M-003 | Incident-Response-Playbook (5 Top-Szenarien) | D02 | 4 / 3 | 0 |
| M-004 | Tabletop-Übung pro Halbjahr | D02 | 3 / 1 | 0 |
| M-005 | Phishing-Awareness Pflicht-Modul + 1 simulierte Kampagne / Quartal | D07 | 2 / 1 | 2–6 T€ |
| M-006 | Asset-Inventar IT (CMDB-light) | D09 | 10 / 3 | 0–8 T€ |
| M-007 | Asset-Inventar OT (Leitstand, RTUs, Engineering-Workstations) | D09 | 8 / 5 | 0–6 T€ |
| M-008 | Schutzbedarf VIV pro kritischem Asset | D01 | 5 / 2 | 0 |
| M-009 | Top-10-Risiko-Register mit Behandlungs-Plan | D01 | 4 / 2 | 0 |
| M-010 | Lieferanten-Klassifizierung kritisch/wichtig/normal | D04 | 3 / 1 | 0 |
| M-011 | Vertragsanpassung mit den 3 kritischsten Dienstleistern | D04 | 4 / 2 | 2–6 T€ (Anwalt) |
| M-012 | Patch-Management-Policy + Stichprobe | D05 | 3 / 1 | 0 |
| M-013 | Schwachstellen-Scan Quartal (Außen + Innen) | D05 | 2 / 2 | 4–10 T€/a |
| M-014 | Logging-Architektur (zentrale Sammlung, 90 Tage) | D11 | 10 / 5 | 4–20 T€ |
| M-015 | SIEM-Use-Cases Top-10 (Brute Force, Privilege Escalation, …) | D11 | 8 / 8 | 0–30 T€ |
| M-016 | OT-Segmentierung Layer-3 (Purdue 0–3) | D05 | 15 / 10 | 10–40 T€ |
| M-017 | Krypto-Inventar (TLS, VPN, Code-Signing, Storage) | D08 | 4 / 2 | 0 |
| M-018 | Schlüssel-Verwaltung (KMS oder HSM-Strategie) | D08 | 5 / 3 | 0–15 T€ |
| M-019 | RBAC-Review aller administrativen Rollen, halbjährlich | D09 | 3 / 1 | 0 |
| M-020 | Onboarding/Offboarding-SOP mit Identity-Lifecycle | D09 | 3 / 1 | 0 |
| M-021 | Awareness-Modul für Geschäftsleitung (Pflicht § 38) | D07 | 1 / 1 | 0–3 T€ |
| M-022 | Wirksamkeits-KPIs Dashboard (mind. 8 KPIs) | D06 | 5 / 3 | 0 |
| M-023 | Internes Mini-Audit gegen § 30/§ 31 jährlich | D06 | 5 / 2 | 0 |
| M-024 | Krisen-Kommunikationsplan (intern + extern) | D03 | 3 / 1 | 0 |
| M-025 | Notfall-Sprechkanal außerhalb der Firmen-IT (Out-of-Band) | D10 | 2 / 1 | 0–2 T€ |
Modul: Lieferketten- und Vertragsklauseln
Im Lieferanten-Register pro Dienstleister mindestens:
- Name, Rolle, Vertragsnummer, Vertragsende.
- Kritikalität (kritisch / wichtig / normal) mit Begründung.
- Zugriffsumfang (welche Systeme, welche Daten).
- Sicherheits-Anforderungen im Vertrag (ja/nein, Anhang-Referenz).
- Letzter Sicherheits-Nachweis (ISO 27001, SOC 2, Eigenbeurteilung) mit Datum.
- Meldepflicht des Dienstleisters bei eigenen Vorfällen (ja/nein, Frist).
- Sub-Unternehmer-Transparenz (ja/nein, Liste).
- Nächste Überprüfung.
Musterklauseln aus unserer Vorlage adressieren u. a. Meldepflicht binnen 24 h ab Kenntnis, Audit-Recht mit 20 PT/Jahr, Pflicht zur Unterstützung bei eigenen Meldungen an die Behörde und Haftung für Sub-Unternehmer. Diese Klauseln ersetzen keinen Anwalt — sie geben Ihrem Anwalt aber einen sauberen Ausgangspunkt.
Ownership, Reporting, Wirksamkeit
Eine Maßnahme ohne Owner ist keine Maßnahme. Ein Owner muss:
- die Umsetzung steuern (nicht zwingend selbst durchführen),
- den KPI definieren und melden,
- Eskalation an die Lenkungsgruppe vornehmen, wenn der Zieltermin reißt.
Reporting-Rhythmus: monatlicher Maßnahmen-Status an die Lenkungsgruppe, quartalsweiser KPI-Report an die Geschäftsleitung, jährlicher Wirksamkeits-Bericht mit interner Audit-Note.
Wirksamkeits-KPIs müssen automatisierbar sein, sonst werden sie nicht gemessen. Beispiel: „MFA-Abdeckung der Admin-Konten" → Powershell-Skript, wöchentlich, in den Tracker exportiert. Nicht: „MFA-Konzept ist umgesetzt" — das ist kein KPI.
Tooling — Excel, Notion, GRC?
Für die meisten Stadtwerke und Mittelständler bis ca. 500 MA reicht eine strukturierte Excel- oder Notion-Vorlage — vorausgesetzt, sie ist versioniert abgelegt (SharePoint, Git, Confluence-Anhang). Vorteile: kein Lizenzaufwand, keine Lock-in-Risiken, schnelle Anpassbarkeit.
Spezialisierte GRC-Tools (z. B. ISMS-Suiten) lohnen sich ab ca. 250 MA und/oder mehreren Standorten/Töchtern. Die Lizenzkosten beginnen bei ~10 T€/Jahr, der Implementierungsaufwand ist mit 30–60 PT realistisch.
Entscheidungs-Heuristik: Wenn Sie nach 12 Monaten weniger als 50 Maßnahmen aktiv steuern und kein zweites Audit-Regime (ISO 27001, TISAX, KRITIS-Prüfung) bedienen müssen, bleibt Excel/Notion die richtige Wahl.
Vorlage anfordern
Die hier beschriebene Vorlage liefern wir im Rahmen unseres NIS2-Quick-Audits fertig befüllt für Ihre Organisation aus — inklusive Asset-Inventory-Skizze, Top-10-Risiko-Register und priorisiertem Maßnahmenkatalog mit Aufwandsschätzungen. Festpreis ab 4.000 €, Lieferung in 5–7 Werktagen.
Eine reine Blanko-Vorlage zum Selbst-Befüllen veröffentlichen wir bewusst nicht — sie wäre ohne den Erkenntnis-Schritt aus der Vorab-Analyse mehr Last als Hilfe. Wenn Sie einen Erst-Eindruck wollen, sehen Sie sich den Stadtwerke-Leitfaden oder die DORA-Schwester-Seite an.
Bereit für die Umsetzung?
Dieser Leitfaden gibt Ihnen die Theorie. Den priorisierten Maßnahmenkatalog für Ihre Organisation liefern wir in 5–7 Werktagen zum Festpreis ab 4.000 €. Inklusive Asset-Inventory-Skizze, 50 % Zahlung erst bei Übergabe.
30-Min-Erstgespräch — Cal.com-Slot wählenLieber zur Übersichts-Seite mit Preisen und Methodik →