Blog

Der Begriff NIS-2 hat Einzug in unseren Alltag erhalten und viele Unternehmen befassen sich damit, die erhöhten Anforderungen umzusetzen. Nicht selten fühlt man sich an das Jahr 2018 erinnert, als die DSGVO in Kraft trat und viele Unternehmen hektisch reagierten. Umso erfreulicher ist es, dass die VdS Schadenverhütung GmbH (VdS) einen pragmatischen Weg einschlägt und seit einiger Zeit an einer spezifischen Richtlinie arbeitet.

Die VdS 10100.

Am 27.03.2026 ist die Richtlinie erschienen und steht seitdem im Webshop der VdS zur Verfügung. Die Besonderheit der VdS-10100-Richtlinie liegt in ihrem praxisnahen, ganzheitlichen Ansatz, der zeigt, wie die Anforderungen der NIS-2 sinnvoll erfüllt werden können. Das ist eine gute Nachricht für Unternehmen und Organisationen, die nach einer möglichst praktikablen und ressourcenschonenden Umsetzung der NIS-2 suchen.

Die VdS 10100 kann zudem extern auditiert werden und bietet damit eine zertifizierbare Möglichkeit, um die Umsetzung der NIS‑2‑Anforderungen nachzuweisen.

Die Grundlage auf der die VdS 10100 aufbaut ist die bewährte VdS-10000-Richtlinie. Nach dieser Richtlinie beraten wir von der SIEVERS-GROUP seit Jahren zahlreiche Kunden. Dies lässt sich durch die erfolgreichen Zertifizierungen bestätigen.

Es ist hervorzuheben, dass beide VdS-Richtlinien voll aufwärtskompatibel zur ISO27001 oder dem BSI-Grundschutz sind und somit einen sinnvollen Start in den Aufbau und Betrieb eines ISMS darstellen.

Wer sich bereits mit strategischer Informationssicherheit im Unternehmen und dem Betrieb oder Aufbau eines ISMS beschäftigt, deckt wahrscheinlich bereits einen Teil der Anforderungen der NIS-2 ab. Jedoch setzt die NIS-2 und damit auch die VdS 10100 weitere Maßnahmen voraus. Die Umsetzung sollte gut geplant und frühzeitig begonnen werden. Die Themenfelder, die von der NIS-2 über denen eines regulären ISMS nach VdS10000 betrachtet werden müssen, sind u.a. folgende:

• Risikomanagement von der Analyse bis zur Behandlung
  • Identifizierung und Bewertung der Risiken für die Informationssicherheit
  • Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu Risikominderung nach dem Stand der Technik
• Vorbereitung auf die Bewältigung von Krisenund Sicherheitsvorfällen
  • Dabei sicherstellen, dass erhebliche Sicherheitsvorfälle gemeldet werden
  • Maßnahmen zum Wiederanlauf des Betriebs nach einem Notfall festlegen
  • Etablieren von autarken Kommunikationswegen
• Regelmäßige Überprüfung der Backups durch Wiederherstellungstests
• Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren
• Prozesse zur Erkennung und Beseitigung von Schwachstellen
• Sicherheit für externe IT-Ressourcen regeln und vertraglich festhalten
• Definition von Schutzkategorien für IT-Ressourcen
• Erweiterte Anforderungen und Auflagen an das Topmanagement
  • Regelmäßige Teilnahme an Schulungsmaßnahmen
  • Wirksamkeit und Effizienz der Risikomanagementmaßnahmen überwachen und bewerten
• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung