Zum Inhalt springen
Eine Person mit Brille, kurzen, braunen Haaren und braunem Bart sitzt an einem weißen Tisch. In den Händen hält sie ein Tablet, auf das sie blickt. Links vor der Person ist ein aufgeklappter Laptop
© Tetiana | stock.adobe.com

Rollen und Aufgaben für wesentliche und wichtige Einrichtungen nach NIS-2

Umsetzungsbeispiele für mittelgroße Organisationen und Empfehlungen zur internen Rollenverteilung

Lesedauer: 1 Minute

02.07.2025

Die ENISA (Europäische Agentur für Cybersicherheit) hat eine Leitlinie für wesentliche und wichtige Einrichtungen veröffentlicht.

Sie bietet eine strukturierte und praxisnahe Unterstützung, um die Anforderungen der NIS-2-Richtlinie in konkrete Aufgaben und Rollen innerhalb des Unternehmens zu übersetzen. Grundlage dafür ist das European Cybersecurity Skills Framework (ECSF), das 12 standardisierte Rollenprofile definiert. Die Leitlinie ist rechtlich nicht bindend.

Warum das für NIS-2-Unternehmen wichtig ist 

Die Umsetzung der NIS-2-Richtlinie erfordert nicht nur technische Maßnahmen, sondern auch eine gezielte Personal- und Ressourcenplanung. Die Leitlinie zeigt anhand von konkreten Beispielen, wie die Organisation strukturiert aufgestellt und die richtigen Kompetenzen und Rollen intern oder extern zugeordnet werden können.

Inhalt

  • Übersicht über die zentralen NIS-2-Pflichten (z. B. Risikomanagement, Meldepflichten)
  • Zuordnung dieser Pflichten zu konkreten ECSF-Rollen (z. B. CISO, Incident Responder, Legal Officer)
  • anschauliche Umsetzungsbeispiele für mittelgroße Organisationen
  • Empfehlungen zur internen Rollenverteilung, zum Upskilling und Outsourcing
  • Detaillierte Mapping-Tabelle mit Aufgaben, Verantwortlichkeiten und Deliverables

Welche Ressourcen sind gesetzlich erforderlich?

Die NIS-2-Richtlinie verlangt von wesentlichen und wichtigen Einrichtungen, „angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zu ergreifen, um Risiken für Netz- und Informationssysteme zu managen und die Auswirkungen von Sicherheitsvorfällen zu minimieren:

Art. 21 Abs. 1: „Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Risikoexposition der Einrichtung, die Größe der Einrichtung und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend zu berücksichtigen.“

In der Durchführungsverordnung zur NIS-2-Richtlinie (DVO) ist die Verpflichtung zur Bereitstellung erforderlicher Ressourcen an mehreren Stellen explizit geregelt.