Können Sie NIS 2 überleben, wenn Ihre wichtigste IT weder MFA noch Protokollierung unterstützt?
Legacy-IT ist ein Problem, das jeder sieht, aber nur wenige wollen es besitzen. Ob Sie Städte mit Wasser versorgen, Fabriken mit Strom versorgen oder klinische Geräte betreiben – Ihr Unternehmen ist höchstwahrscheinlich auf Endpunkte oder Server angewiesen, die seit Jahren keinen Sicherheitspatch mehr erhalten haben. Die unbequeme Wahrheit: NIS 2 rückt diese „nicht migrierbaren“ Vermögenswerte aus dem operativen Hintergrund ins Rampenlicht und weist jedem nicht verwalteten Lebenszyklus und jeder Kontrolllücke ein persönliches Risiko zu (ENISA, 2023). Es reicht nicht mehr aus, diese Probleme mit der Geschäftskontinuität oder den Einschränkungen der bestehenden Lieferanten zu erklären. Die Verordnung verlangt aktive Governance und durchsetzbare Kontrollen – auch wenn Sicherheitsgrundlagen wie Multi-Faktor-Authentifizierung (MFA) oder nutzbare Ereignisprotokolle technisch nicht möglich sind.
Die Auswirkungen haben Sie bereits erlebt: Vertragsverlängerungen stocken, Versicherungsanfragen häufen sich, Vorstandsetagen sind besorgt und Kunden verlangen Beweise. Plötzlich fühlt sich die Tabelle mit den „alten Servern“ weniger wie technische Schulden an, sondern eher wie eine Strafe für die nächste Audit-Prüfung. Das zentrale Paradoxon ist klar: Wie sichern und beweisen Sie die Kontrolle über die Vermögenswerte, die Sie am schwersten ändern können?
Jedes Altlastenrisiko ist eine offene Frage, die eine dokumentierte Antwort erfordert, und keine passive Entschuldigung.
Die Risiken sind nicht nur theoretisch. Wer bei Altsystemen kein Risikomanagement betreibt, muss nicht nur mit Bußgeldern rechnen; er kann auch den Ruf des Vorstands schädigen, Deals in der Due Diligence platzen lassen oder Versicherungen nach einem Vorfall ungültig machen. Und wenn die Verantwortung für diese Risiken vom IT-Team auf den Vorstand übergeht, verschwinden alte Komfortzonen. NIS 2 greift jedes Gerät, jedes System und jede Schattentabelle an, die im Verborgenen sicher schien. Dafür ist ein Drehbuch erforderlich, in dem „nicht reparierbar“ kein blinder Fleck ist, sondern ein Aufruf zu Führung, Entschlossenheit und glaubwürdiger Vorwärtsbewegung.
Warum traditionelle Ausnahmen Ihnen weder Zeit noch Vertrauen verschaffen
Wenn Sie seit über einem Jahr Compliance-Frameworks verwalten, kennen Sie wahrscheinlich den Tanz: Lücken im Altbestand aufdecken, in einem Register vermerken, ein fiktives Upgrade für die Zukunft vorschlagen und hoffen, dass Aufsichtsbehörden, Versicherer oder Kunden die Notlösung akzeptieren. NIS 2 verwandelt diesen Tanz in eine Choreografie der Verantwortlichkeit. Artikel 21(2) ist eindeutig: Jedes Risiko, einschließlich der Risiken, die auf veraltete oder veraltete Systeme zurückzuführen sind, muss einem Eigentümer zugewiesen, auf Vorstandsebene formell überprüft und nachgewiesen werden, dass es entweder aktiv gemindert oder mit Ressourcen für die Schließung ausgestattet wird. (EUR-Lex). Wenn Sie diesen Thread nicht anzeigen können-Ausnahme erzogen, Eigentümer genannt, Steuerung abgebildet, Plan angemeldet, bewertet vom Vorstand - Ihre Compliance-Haltung ist objektiv ungeeignet.
Das neue Objektiv: Ausnahmen sind keine „Erlaubnis zum Stillstand“ mehr – sie sind brennende Zündschnüre. Versicherer haben dies bemerkt; ebenso Beschaffungsteams und Prüfer. Wenn Sie ein risikoreiches Altvermögen ohne nächsten Meilenstein oder vom Vorstand bestätigte Prüfung präsentieren, müssen Sie mit höheren Prämien, Deckungsklauseln oder einem vollständigen Geschäftsverlust rechnen. Der Grund ist einfach: Ohne Struktur gilt das Altrisiko als unkontrollierbar, und unkontrollierte Risiken sind nicht versicherbar (AGCS).
Die Regulierungsbehörde betrachtet das Ausnahmeprotokoll als ein lebendiges Versprechen und nicht als einen Friedhof der Untätigkeit.
Audit-Fehler in der Praxis beruhen zunehmend auf mangelnder Klarheit – wer das Risiko trägt, welche Zwischenkontrolle besteht und wie die Dynamik zum Abschluss vorangetrieben wird. Betrachten Sie diese Momentaufnahme der Risikoinventur:
| Vermächtnisvermögen | Eigentümer | Risiko-Score | Sanierungs-/Migrationsplan | Überprüfung durch den Vorstand/Unterzeichnet |
|---|---|---|---|---|
| Windows-Server 2003 | IT-Betrieb | Hoch | „Stilllegung Q2 2025“ | Ja (protokolliert) |
| End-of-Life-SPS | Werksleiter | Mittel–Hoch | Netzwerksegment + Monitor | Ja (2024) |
| Ungepatchter Röntgen-PC | Klinische | Hoch | Doppelte Abmeldung, ersetzt '26 | Gekennzeichnet |
Jede Zeile, in der ein benannter Eigentümer, ein tragfähiger Plan oder eine Freigabe fehlt, ist heute ein unmittelbarer Auslöser für einen Prüfungsmangel. Keine noch so große technische Rechtfertigung kann ein Vakuum in der Governance-Eigentümerschaft kompensieren.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Was zählt – und was scheitert – wenn Kontrollen wie MFA oder Protokollierung nicht möglich sind
Moderne Regulierungen berücksichtigen die Einschränkungen der Betriebstechnologie (OT), des Gesundheitswesens, der Versorgungswirtschaft und der Fertigung. Es wird nicht erwartet, dass jedes Altgerät automatisch MFA, vollständige SIEM-Integration oder sofortige Außerbetriebnahme unterstützt. Allerdings Die Leitlinien von NIS 2 und ENISA machen deutlich: Wenn Sie keine Standardkontrolle (wie MFA oder Protokollierung) einsetzen können, müssen Sie eine temporäre, mehrschichtige Kompensationskontrolle dokumentieren und ein Ablaufdatum festlegen, das eine aktive Governance anstelle einer technischen Kapitulation beweist. (ENISA).
Häufige Auditfallen:
- Manuelle Zugriffsprotokolle ohne Prüfer: „Schichtleiter unterschreiben ein Blatt Papier.“ Pässe nur kurzfristig if es gibt Hinweise darauf, dass es geprüft und unterzeichnet wird und auslaufen wird.
- Netzwerkisolierung ohne Aufsicht: „Wir haben es in ein VLAN verschoben.“ Funktioniert nur, wenn es dokumentiert, regelmäßig validiert und den Einträgen im Risikoregister zugeordnet wird.
- Nicht überprüfte Ausnahmeregister: „Wir führen eine Kalkulationstabelle.“ Ohne klare Überprüfungszyklen, Eigentümerzuweisung und Abschlussmeilensteine scheitert es.
Wichtige Ausgleichskontrollen, wenn „modern“ nicht passt:
- *Netzwerksegmentierung mit regelmäßiger Prüfung und Zugriffsüberprüfung.*
- *Doppelkontrolle (Unterzeichnung durch zwei Personen) für alle Änderungen oder privilegierten Zugriffe.*
- *Videoüberwachung von Zugangszonen, insbesondere in OP-Umgebungen.*
- *Manuelle Logbücher, die in vorgeschriebenen Abständen vom Management überprüft und unterzeichnet werden.*
- *Mehrschichtige Kontrollen – verlassen Sie sich nie auf eine einzige Notlösung.*
| Vermögenswert | MFA? | Protokollierung? | Kompensierende Steuerung | Review Date | Schließungsplan |
|---|---|---|---|---|---|
| Legacy-Abrechnungs-App | Nein | Nein | Schichttagebuch + Doppelabmeldung | Q2 2024 | Ersetzen Q1 2025 |
| Industrielle SPS | Nein | Teilweise- | Segmentierte Supervisor-Zugriffsprotokolle | Monatlich | Firmware-Update im Jahr 25 |
Erinnern Sie sich: Manuelle oder alternative Kontrollen sind immer „vorübergehend und unterliegen einer obligatorischen Überprüfung“. Die Haltung der ENISA ist unverblümt: Workarounds verschaffen Zeit, aber keine Absolution der Compliance. Je älter oder anfälliger die Anlage, desto strenger die Prüfung und desto dringlicher der Schließungsplan.
Eine Notlösung ist ein Countdown, kein Sicherheitsnetz. Ihr Signal ist der Ehrgeiz des Managements, nicht die operative Trägheit.
So strukturieren Sie Kompensationskontrollen: Zuordnung zu ISO 27001 und NIS 2
Es ist verlockend, Abstriche zu machen und eine Ausnahme als „akzeptiert“ zu erklären, wenn die IT MFA oder Protokollierung nicht implementieren kann. In der Praxis geht es bei der regulatorischen und versicherungstechnischen Prüfung jedoch darum StrukturISMS.online und ISO 27001:2022 geben Ihnen einen Plan: Jede Kontrolllücke muss Folgendes widerspiegeln:
- Ein Risikoregistereintrag (mit expliziter Beschreibung des Vermögenswerts, der Lücke und der wahrscheinlichen Auswirkungen).
- Ein Eintrag in der Anwendbarkeitserklärung (SoA) (Identifizierung der betroffenen Kontrolle und des Grundes, warum sie nicht erfüllt wird).
- Kompensierende Kontrolle(n) angewendet, dokumentiert und geschichtet (mehr als eine Verteidigungslinie).
- Benannter Vermögenseigentümer und Prüfer oder leitender Prüfer.
- Nachweis regelmäßiger Überprüfungen, Fortschritte und endgültiger Abhilfemaßnahmen oder Risikoakzeptanz auf Vorstandsebene.
Beispiel einer ISO 27001-Brücke:
| Erwartung | Operationalisierung | ISO 27001 / Anhang A Ref |
|---|---|---|
| Rechenschaftspflicht des Vorstands | Benannte Genehmigung, Risikobewertung | 5.3, A.5.4, A.5.36 |
| Anlagenspezifisches Risiko-Tracking | Systemstatus + expliziter Besitzer im Register | 6.1, A.5.9, A.8.10 |
| Kompensierende Kontrollen | Dokumentiert, vielschichtig, temporär | 6.1.3, A.8.15, A.8.34 |
| Überprüfungs- und Abschlusszyklus | Meilenstein registrieren, vom Vorstand geprüfte Beweise | A.5.35, A.8.34 |
| Beweisspur | Genehmigungsprotokolle, SoA-Update, Abschlussprotokoll | A.5.19–A.5.21 |
Minitabelle zur Rückverfolgbarkeit:
| Auslösen | Risiko-Update | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| NIS 2 Artikel, Audit | Ausnahme geöffnet | A.5.19, A.8.15 | Ausnahme, Abmeldung |
| Personalwechsel, System hochgefahren | Besitzerwechsel | Risikoregister, SoA | Vorstandsprotokolle, Plan |
| Anlage aufgewertet | Ausnahme geschlossen | SvA-Update | Migrationsplan, Zeichen |
Bei starker Kontrolle geht es weniger um technische Perfektion als vielmehr um dokumentierter, überprüfter Fortschritt in Richtung Risikoschließung, mit Nachweisen an jedem Link für Wirtschaftsprüfer, Versicherer und Vorstände.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Praktisches Audit-Überleben: Von der Ausnahme zur Beweisspur
Keine Geschichte der Legacy-IT-Compliance endet mit einer klaren Absichtserklärung. Die Audit-Vorbereitung ist die Summe einer lebendigen Beweisspur, die belegt, dass jede Ausnahme erfasst, überprüft, mit Ressourcen ausgestattet und in einem festgelegten Rhythmus zur Schließung gezwungen wird. (BSI). ISMS.online baut diesen Zyklus direkt in Plattform-Arbeitsbereiche und Dashboards ein:
1. Identifizierung und Eigentum
- Jedes Altvermögen wird in ein nachverfolgbares Register eingetragen und vom technischen Eigentümer und Vorstandsprüfer gekennzeichnet.
- Ausgleichssteuerungen, egal wie manuell, werden explizit zugewiesen und geschichtet.
2. Dokumentation und zeitliche Kontrolle
- Alle Kontrollen werden als „vorübergehend“ aufgeführt, wobei Ablauf-, Überprüfungs- und Eskalationsdaten in die Plattform codiert sind.
- Für jede Ausnahme ist ein SoA mit Verweisen auf Vermögenswerte, Risiken und Beweise verknüpft.
3. Aktive Überprüfung und Unterschrift
- Die Genehmigung durch das Management ist nicht nur während der Risikoaktualisierung, sondern bei jedem Überprüfungszyklus erforderlich – keine „stillen“ Protokolle.
- Für jede Ausnahme muss ein Schließungsplan vorhanden sein. Unbefristete Ausnahmen werden standardmäßig gekennzeichnet und nicht ausgeblendet.
4. Schließung oder Risikoakzeptanz
- Die Migration oder Außerbetriebnahme von Vermögenswerten wird nachweislich protokolliert.
- Wenn eine Migration nicht möglich ist, muss die Risikoakzeptanz die Genehmigung des Vorstands oder der Geschäftsführung einholen und sowohl im SoA als auch im Risikoregister protokolliert werden, um die Rückverfolgbarkeit bei Audits zu gewährleisten.
Checkliste zum Überleben einer Betriebsprüfung oder Versicherungsprüfung:
- Ist jede Lücke im Risikoregister, SoA und Genehmigungsprotokollund stimmen Daten, Unterschriften und Meilensteine überein?
- Werden manuelle Protokolle oder Workarounds überprüft, unterzeichnet und an das geplante Ablaufdatum gebunden?
- Können Sie diese Nachweise sofort an Prüfer, Versicherer oder Kunden exportieren?
Die überzeugendste Compliance-Geschichte basiert auf den Beweisen und nicht auf der Absicht.
Verwalten der Haltbarkeit manueller Protokolle und Kompensationen
Manuelle Protokolle, Tabellenkalkulationen und Ausweisblätter sind keine Compliance-Pläne, sondern Countdown-Timer. Ihre Haltbarkeit wird durch Sichtbarkeit, Überprüfung und Verschlusskraft bestimmt.
Auditgeprüfte Akzeptanz für manuelle Nachweise:
| Manueller Nachweistyp | Haltbarkeitsdauer prüfen | Annahmebedingung |
|---|---|---|
| Unterschriebenes Logbuch | ≤ 12 Monate (max) | Mit Risikokontrolle verknüpft, überprüft, Abschlussplan |
| Ausweis-/Zugangsblätter | ≤ 6 Monate | Doppelte Kontrolle, regelmäßige Überprüfung, Schließung geplant |
| Checkliste für Tabellenkalkulationen | 1 Auditzyklus | Bei jeder Überprüfung aktualisiert, unterzeichnet und umgesetzt |
| Nicht überprüfte Protokolle/Dateien | Keine Präsentation | Sofortige rote Flagge/Fehler |
Jedes Mal, wenn eine Ausnahme zur Überprüfung durchläuft und nicht abgeschlossen wird – oder zumindest nicht auf einen Abschluss zusteuert –, verliert sie an Beweiskraft. Eine nicht überprüfte Ausgleichskontrolle verwandelt sich innerhalb eines Quartals von einem Aktivposten in eine Belastung. Der „Beweis“ besteht immer darin, wie nahe Sie dem Abschluss sind – und nicht darin, wie gut Sie Ihre Untätigkeit rechtfertigen.
Fragen Sie im Zweifelsfall: Wenn unser Versicherungsanspruch oder unser Kundengeschäft auf diesem Protokoll beruhen würde, würde ein externer Prüfer den Weg bis zum Abschluss sehen?
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Sektorale und nationale Overlays: Wenn NIS 2 nur die Basislinie ist
Die Realität ist einfach: Branchen- und nationale Vorschriften übertreffen oft die grundlegenden EU-Vorgaben. Für Energie, Gesundheitswesen, kritische Fertigung und bestimmte nationale Anbieter (Deutschland, Spanien, Großbritannien) liegt die Messlatte deutlich höher. Ihr Ausnahmeprotokoll muss sowohl die strengste lokale Vorlage und NIS 2-Kern.
Beispiele für nationale Overlays:
| Fachbereich | Nationale Regel | Häufigkeit der Ausnahmeprüfung | Eigentümer | Vorlagenquelle |
|---|---|---|---|---|
| NHS (Großbritannien) | NCSC NHS Digital | Jährliches Minimum, Genehmigung durch den Vorstand | CIO | nhsdigital.nhs.uk |
| Deutsche Energie | BSI IT-SiG3 | Jährliche + monatliche Kontrolle | KKV | bsi.bund.de |
| Spanische Versorgungsunternehmen | Königliches Dekret 43/2021 | Monatlich, regulatorische Leitung | Regulatorisches | mincotur.gob.es |
Ihr ISMS muss diese Strukturen zusätzlich zu den europäischen Kernanforderungen importieren, erweitern oder anpassen. Gehen Sie davon aus, dass Audits und Versicherer die strengsten lokal relevanten Overlays anwenden – nicht nur die NIS 2-Standards.
Erstellen einer vertretbaren Legacy-IT-Roadmap: Ersetzen, Isolieren oder Dokumentieren der Schadensbegrenzung
Ein moderner Legacy-Risikoplan ist ein lebendes System, keine Tabellenkalkulation zum Jahresende. Die erforderliche operative Disziplin:
- Katalogisieren Sie alle Vermögenswerte: Nach Eigentümer, Risiko, Ausgleichskontrolle, Überprüfungsplan und Schließungsplan.
- Zuordnung zu Steuerelementen: Verknüpfen Sie alle Vermögenswerte und Ausnahmen mit Verweisen auf ISO 27001 oder NIS 2 Artikel 21(2).
- Kadenz der Force-Review: Die Überprüfung, Bereitstellung von Ressourcen oder Migration muss mithilfe systemgesteuerter Erinnerungen auf Vorstandsebene im Zeitplan erzwungen werden.
- Automatisieren Sie die Beweisprotokollierung: Jede Eigentümerabzeichnung, Prüfermarkierung oder Planaktualisierung ist in einem digitalen Prüfprotokoll sichtbar – und nicht in E-Mails oder verstreuten Dateien vergraben.
- Vorlagenaktualisierungen: Nationale Overlay-Pläne und sektorspezifische Berichte müssen mit Ihrem ISMS verknüpft sein und dürfen nicht als Schattenprozesse existieren.
Wenn es zu Überprüfungen durch den Vorstand oder die Aufsichtsbehörde kommt, muss sich Ihr Fahrplan in einer Reihe von aktuellen, vom Eigentümer zugewiesenen und durch Schließungen bedingten Ausnahmen entfalten, die Dynamik und Verantwortlichkeit beweisen. Herrenloses Erbe stellt heute eine vertragliche, finanzielle und strategische Belastung dar.
Das Risk Loop Board sichtbar und belastbar machen: Der ISMS.online-Vorteil
Es besteht ein operativer Unterschied zwischen „konform auf dem Papier“ und „auditbereit in der Praxis“. ISMS.online bietet mehr als nur ein Risikoregister: Es automatisiert die Querverbindungen zwischen Vermögenswerten, Eigentümern, Minderungsschritten, Genehmigungsprotokollen, SoA-Einträgen und Abschlussnachweisen. Dadurch wird die Verantwortlichkeit gesichert und Ausnahmen werden zu einem zentralen Bestandteil des Compliance-Kreislaufs und nicht zu einem blinden Fleck..
Vorteile in der täglichen Praxis:
- Dashboards zeigen den Status aller Assets an – migriert, gemildert oder ausstehend zur Akzeptanz.
- Vorstand oder Aufsichtsbehörde können jede Ausnahme nach Eigentümer, Risiko, vorhandenen Kontrollen und Überprüfungszyklus zurückverfolgen, wobei alle Unterschriften und Meilensteine mit einem Zeitstempel versehen und sofort verfügbar sind.
- Crosswalking-Sektor-Overlays und NIS 2 werden über verknüpfte Register, Beweisbanken und vorlagengesteuerte Benachrichtigungen verwaltet.
- Bei Audits und Versicherungsprüfungen wird aus Panik ein Schaufenster – eine Karte der Widerstandsfähigkeit, keine Entschuldigung für Ausnahmen.
Letzter CTA:
Ihre veraltete IT wird nicht nur toleriert, sondern ist integraler Bestandteil Ihres Firmennamens und Rufs. Behalten Sie den Ausnahmezyklus im Blick. Machen Sie jedes Risiko nachvollziehbar, sichtbar und schließen Sie es ab – nicht ewig in der Wartung stecken. Beweisen Sie jedem Prüfer, Kunden und Vorstandsmitglied, dass Ihr Ausnahmemanagement aktiv und strukturiert ist und das Risiko in jedem Zyklus reduziert. Moderne Compliance wird nicht anhand technischer Utopien gemessen, sondern anhand Ihres überprüfbaren Weges von der Lücke bis zur Schließung – machen Sie diesen Weg mit ISMS.online real, messbar und für den Vorstand sichtbar.
Wenn Altlasten nicht mehr beachtet werden, ist das Risiko das Hauptverantwortliche für das Unternehmen. Wenn Sie die Ausnahmeschleife beherrschen, wird das Risiko zu Ihrem Kontrollnachweis.
Häufig gestellte Fragen (FAQ)
Wer ist für die Compliance-Lücken in der Alt-IT gemäß NIS 2 verantwortlich – und welche Änderungen ergeben sich für Vorstände und Management?
NIS 2 weist Vorstand und Geschäftsführung – nicht nur der IT-Leitung – die direkte Verantwortung für IT-Altrisiken zu. Jede ungelöste Lücke wird so zum Chefsache. Artikel 21(2) der Richtlinie schreibt vor, dass jedes „nicht mehr reparierbare“ Altsystem (nicht mehr unterstützte Server, veraltete SPS, veraltete Netzwerkausrüstung) einen benannten Eigentümer, einen Überprüfungsrhythmus und einen auf Managementebene formal protokollierten Minderungs- oder Risikoakzeptanzplan haben muss. Dies ist mehr als nur eine Verfahrensanweisung: Sind Eigentumsverhältnisse oder Fortschritt unklar, müssen Aufsichtsbehörden und Prüfer nun das Management und nicht die IT zu anhaltenden Risiken befragen.
Führung wird nicht mehr an der Unterschrift unter einer Richtlinie gemessen, sondern an transparenten Fortschritten bei allen offenen Lücken.
Das traditionelle Risikomanagement ist zu einem Test für sichtbare Führung geworden. Tabellenkalkulationen oder unsignierte Logbücher reichen nicht aus – jede Ausnahme muss auf die spezifische Verantwortung der Führungskraft zurückgeführt werden, wobei Aktionspläne regelmäßig dokumentiert und überprüft werden müssen. Von den Vorständen wird nun erwartet, dass sie von der passiven Genehmigung von Ausnahmen zu einer proaktiven Überprüfung übergehen, wobei die Beseitigung von Ausnahmen und der Fortschritt bei deren Behebung Teil der laufenden Compliance-Leistung sind.
Tabelle der Eigentümerschaft von Legacy-Assets
| Vermächtnisvermögen | Eigentümer | Nächste Bewertung | Schadensbegrenzungsplan |
|---|---|---|---|
| 2010 Zahlungsserver | CTO | 2024-10-01 | Segregation; keine MFA möglich |
| Fabrik-SPS (Linie 2) | Leiter des Betriebs | 2024-07-15 | Geplanter Ruhestand Q1 2025 |
| Legacy-Router | Netzwerkleiter | 2024-09-01 | Nur mit Ausweis zugänglich, Netzwerkisolation |
Die Quintessenz? Die Vorstände müssen für jede Ausnahme nachverfolgbare und überprüfbare Verantwortungs- und Aktionspläne vorhalten, andernfalls besteht das Risiko einer direkten Offenlegung bei Audits oder Vorfallsprüfungen.
Welche Ausgleichskontrollen gelten als stark genug für Altsysteme – und wo liegen die Grenzen?
Echte kompensierende Kontrollen für Altanlagen werden nur dann akzeptiert, wenn sie als zeitlich begrenzte Überbrückung und nicht als dauerhafte Schlupflöcher behandelt werden. Sowohl Prüfer als auch Aufsichtsbehörden erwarten heute einen mehrstufigen, vertretbaren Ansatz, der unter anderem folgende Punkte umfasst:
- Strenge physische Zugangskontrollen (Ausweise, Biometrie, verschlossene Räume),
- Gehärtete Netzwerksegmentierung (isolierte VLANs mit Firewall-Einschränkungen),
- Zwei-Personen-Genehmigung (duale Genehmigung) für kritische Administratoraktionen,
- Manuelle Logbücher mit geplanter Managementprüfung und -abnahme,
- Erzwungene regelmäßige Passwortänderungen,
- Geplante Überprüfungen auf Vorstandsebene und protokollierte Aktualisierungen zu jeder Ausnahme.
Diese Kontrollen werden jedoch nur akzeptiert, wenn der Nachweis erbracht wird, dass:
- Jede Ausnahme ist formal begründet, nicht nur IT-administrativ,
- Kontrollen werden in geplanten Abständen überprüft und entweder erweitert oder außer Kraft gesetzt.
- Schließungs- oder Migrationspläne sind vorhanden und werden verfolgt,
- Die Managementaufsicht ist überprüfbar, nicht implizit.
Prüfer vertrauen auf das, was sie nachverfolgen können: Kompensationskontrollen ohne zeitliche Begrenzung werden zu Compliance-Schwachstellen.
Ausgleichskontroll-Schnappschuss
| Vermögenswert | Angewendete Steuerung | Speicherort der Prüfnachweise | Nächste Bewertung |
|---|---|---|---|
| Gehaltsabrechnungsserver (Legacy) | Verschlossener Serverraum | Ausweisprotokoll, Abmeldung | 2024-11-01 |
| Veralteter Switch | Segmentiertes VLAN | Netzwerkkonfigurationsdokumente | 2024-09-15 |
| SPS (Linie 2) | Manuelles Logbuch | Schichtprotokoll, unterschrieben | 2024-07-15 |
Die Vorstände sollten damit rechnen, dass die Kompensationskontrollen hinterfragt werden – und müssen regelmäßige Schritte in Richtung Risikoschließung oder Vermögensmigration nachweisen.
Wie sollten Ausnahmen für Legacy-Technologien für NIS 2-Audits und Cyber-Versicherungsprüfungen dokumentiert werden?
Das Ausnahmemanagement unter NIS 2 ist nun ein Test der Rückverfolgbarkeit und Vertretbarkeit. Anstelle statischer Genehmigungsprotokolle oder pauschalen Ausnahmen wird eine lebendige Aufzeichnung erwartet:
- Jedes Altsystem muss in Ihrem Risikoregister aufgeführt sein,
- Technische Lücke und Geschäftslogik müssen klar sein,
- Spezifische Kompensationskontrollen werden dokumentiert und getestet,
- Der benannte Eigentümer wird zugewiesen (idealerweise mit Sichtbarkeit für Vorstand/Management),
- Überprüfungstermine und Fortschrittsmeilensteine werden geplant und nachgewiesen (Unterschriften, Sitzungsprotokolle, exportierte Protokolle),
- Schließungs- oder Migrationsziele sind explizit und nicht nur eine „Roadmap“-Formulierung.
All dies ist mit Ihrer Anwendbarkeitserklärung (SoA) verknüpft und verknüpft Ausnahmen mit Kontrollen wie ISO 27001:2022 Anhang A.8.8 oder analogen Klauseln (ISO/IEC 27001:2022). Integrierte Plattformen wie ISMS.online können dies automatisieren, indem sie Anlagendaten, Risikoprotokolle, Aufzeichnungen zu Ausgleichskontrollen, Genehmigungen und Belege an einem Ort zusammenführen und Ausnahmen sofort auditfähig machen.
Die Einhaltung der Vorschriften wird anhand der Anzahl der geschlossenen Ausnahmen und nicht der protokollierten Entschuldigungen gemessen.
Ausnahmerückverfolgbarkeitstabelle
| Auslösen | Risikoprotokoll-Referenz | SvA Link | Angewendete Steuerung | Beweisbar |
|---|---|---|---|---|
| Ende der Lebensdauer von Vermögenswerten | A.8.8 Lücke | Asset_x123 | VLAN, manuelle Protokolle | Vorstand min., Auditpaket Q2 |
Das Fehlen aktiver, geprüfter Ausnahmedatensätze ist mittlerweile ein Warnsignal sowohl für Prüfer als auch für Cyberversicherer. Jede Ausnahme sollte auf ein geplantes Schließungs- oder Migrationsdatum hinweisen.
Wie verändern nationale oder branchenspezifische Vorschriften die Konformität von NIS 2-Altsystemen?
Compliance macht nicht an den Grenzen der EU halt – die meisten Länder und regulierten Sektoren fügen mittlerweile Overlays oder strengere Regeln zu NIS 2 hinzu. Einige wichtige Beispiele:
- UK NHS Digital: Erfordert eine jährliche Genehmigung durch den Vorstand, Stilllegungspläne und eine vollständige Vermögens-/Fortschrittsdokumentation für Gesundheitssysteme.
- Das deutsche BSI: Erfordert monatlich vom Vorstand geprüfte Nachweise und eine eindeutige Eigentümerzuweisung für die Energie-/Infrastruktursektoren.
- Königliches Dekret 43/2021 in Spanien: Verpflichtet Versorgungsunternehmen/Anbieter zu einer monatlichen Ausnahmeprüfung und zur Vorlage behördlicher Nachweise.
Was ein Land als „bestanden“ bewertet, kann in anderen Ländern scheitern, insbesondere wenn Branchenprüfungen häufiger durchgeführt werden und zusätzliche Dokumentation oder spezielle Berichtsvorlagen erforderlich sind. Halten Sie versionskontrollierte Pakete bereit, um sowohl EU- als auch Branchen-/nationale Audits zu erfüllen, und prüfen Sie regelmäßig, ob sich die Vorschriften ändern.
Nationale Overlays sind keine wünschenswerten Compliance-Ergänzungen, sondern stellen mittlerweile ein Kernrisikogebiet dar.
Overlay-Vergleichstabelle
| Vermögenswert | Land | Fachbereich | Überprüfungszyklus | Regulatorische Vorlage |
|---|---|---|---|---|
| MRT-Scanner | UK | Gesundheitswesen | Jahr | NHS Digital Compliance |
| SCADA-Mainframe | Deutschland | Energie | Monatlich | BSI KritisV |
| Utility-Server | Spanien | Versorgungsunternehmen | Monatlich | Königliches Dekret 43/2021 |
Bei multinationalen Organisationen sollte die Integration von Overlays Teil Ihres SoA und Ihres internen Überprüfungszyklus sein.
Werden manuelle Protokolle oder Tabellenkalkulationen noch als Nachweis für die Legacy-Kontrolle akzeptiert – und wo liegt die Prüfschwelle?
Manuelle Protokolle und Tabellen werden unter NIS 2 nur akzeptiert als kurzfristige Übergangsbeweise-niemals als dauerhafte Compliance-Maßnahmen. Prüfer verlangen:
- Direkte Anbindung an das Risikoregister und SoA,
- Genehmigung und Überprüfung durch das Management (nicht nur die IT) in jedem festgelegten Intervall (mindestens vierteljährlich),
- Ein festgelegter Schließungsplan mit einer konkreten Frist für die Migration auf automatisierte, sichere Lösungen,
- Protokolle und Nachweise, die regelmäßig überprüft und deren Aktualisierung nachverfolgt wird (BSI Group, 2024).
Ungeprüfte, nicht mehr benötigte Tabellenkalkulationen stellen heute eine Compliance-Belastung dar und sind keine Lösung mehr. Die übliche Haltbarkeitsdauer beträgt einen Auditzyklus oder sechs bis zwölf Monate. Ablauf, Überprüfung und die Weiterentwicklung zu einer robusteren Lösung müssen dokumentiert und die Nachweise für den Vorstand sichtbar gemacht werden.
Bei Tabellenkalkulationen, die dauerhaft bestehen, entsteht die Haftung für jedes fehlende Protokoll und jede nicht unterzeichnete Genehmigung.
Manuelle Beweistabelle
| Beweistyp | Überprüfungsintervall | Auslöser für geplante Schließung |
|---|---|---|
| Abzeichen-Protokollblatt | 3 – 6 Monate | Geplante Migration |
| Excel-Risikoblatt | Auditzyklus | Automatisierte Protokolle bereitgestellt |
| Signiertes Logbuch | <12 Monate | Anlage außer Betrieb genommen |
Verknüpfen Sie das Ablaufdatum jeweils mit einer Migration oder einer Vermögensänderung – lassen Sie es niemals als unbefristete Maßnahme stehen.
Wie sieht der Prozess auf Vorstandsebene zum Schließen von IT-Altrisiken aus und wie setzt ISMS.online die Maßnahmen gemäß NIS 2/ISO 27001 um?
Ein vertretbarer Plan für den Vorstand hinsichtlich der Risiken veralteter IT-Systeme kombiniert:
- Vollständiger Asset-Katalog mit einem Lücken-/Kritikalitätswert,
- Klare Zuordnung von technischem und geschäftsführendem Eigentümer zu jedem Altsystem,
- Ausnahmezuordnung zu spezifischen Kontrollen gemäß ISO 27001 / Anhang A und NIS 2 Artikel 21(2),
- Beweis-Workflow-Überprüfung von Meilensteinen, Aktionsprotokollen, Abschlussverfolgung und audit-/versicherungsbereiten Exporten,
- Automation– mit Plattformen wie ISMS.online, die Dashboards für die aktive Ausnahmeschließung, geplante Erinnerungen und exportierbare Fortschrittsnachweise bereitstellen ((https://de.isms.online/solutions/legacy-systems-and-isms/)).
Durch die vom Vorstand gesteuerte Compliance wird sichergestellt, dass jedes gefährdete Asset einen Namen, ein Überprüfungsdatum, eine Aktion und ein Abschlussprotokoll hat, das jede Prüfung voranbringt.
Tabelle der Compliance-Meilensteine
| Schritt | Ausgang |
|---|---|
| Anlageninventar | Registrierte Vermögenswerte, kritische Lücken |
| Eigentümerzuordnung | Live-Matrix mit geplanten Überprüfungen |
| Ausnahmezuordnung | SoA/Risiko-Verknüpfung zu jeder Ausnahme |
| Beweisverfolgung | Prüfprotokolle, auditfähige Exporte |
| Schließungsfortschritt | Status + Daten, Unterschrift der Geschäftsleitung |
ISMS.online macht jeden Schritt nachverfolgbar, papierlos und bereit für die Überprüfung durch den Vorstand oder die Revision – keine Ausnahmen mehr, die im Trubel übersehen werden.
Wie machen ISO 27001:2022 und NIS 2 das Ausnahmemanagement zu einem umsetzbaren, auditfähigen Prozess?
Sowohl ISO 27001:2022 als auch NIS 2 erfordern Rückverfolgbarkeit, rollenbasierte Verantwortlichkeit und Nachweise für jede technische Lücke und Ausnahme. Beginnen Sie mit der Zuordnung von Live-Ausnahmen und Anlagendatensätzen zu den entsprechenden Kontrollpunkten in Anhang A und NIS 2, weisen Sie Verantwortliche zu, legen Sie automatisierte Prüfzyklen fest und verknüpfen Sie jede Aktion mit Freigabe-/Exportprotokollen. Ziel ist die Schaffung einer Beweiskette, die sich unmittelbar von der Anlage über die Ausnahme bis zum Abschlussdatum erstreckt und für die dokumentarische Prüfung bei Audits, Vorstandssitzungen oder Versicherersitzungen bereitsteht (ISO/IEC 27001:2022).
Ihr nächster Schritt: Stellen Sie ein Ausnahmeregister bereit (oder aktualisieren Sie es), das allen relevanten Kontrollen zugeordnet ist, integrieren Sie es in Beweis-Workflows und Board-Review-Zeitpläne und automatisieren Sie Erinnerungen, damit der Ausnahmestatus nie veraltet. ISMS.online bietet sofort einsatzbereite Tools, um jede Lücke, Freigabe und Aktion mit einem einzigen, für den Vorstand sichtbaren Pfad zu verknüpfen.
Jede geschlossene Ausnahme verwandelt Altrisiken in Compliance-Führung – jede Aktion ist ein Beweispunkt.
Machen Sie Ihren Ausnahmeprozess öffentlich, binden Sie ihn in die Vorstandspläne ein und demonstrieren Sie kontinuierliche, abschlussorientierte Fortschritte. Das ist die neue Währung für Audits und das Vertrauen der Versicherer gemäß NIS 2 und ISO 27001:2022.
