Ohne prüffähige Dokumentation keine NIS2-Compliance. Segmentierung, Redundanz und Messprotokolle müssen nachweisbar sein.
NIS2 (Network and Information Security Directive 2) ist keine abstrakte EU-Vorgabe, sondern eine konkrete Liste technischer Maßnahmen, die Ihre Netzwerk-Infrastruktur direkt betreffen: Segmentierung, Zugangskontrolle, Redundanz, Monitoring und vollständige Dokumentation. Unternehmen in kritischen und wichtigen Sektoren, die bisher nichts unternommen haben, stehen unter gesetzlichem Handlungsdruck. Als regionaler Netzwerk-Spezialist in Bremen und Niedersachsen unterstützt baconnect bei Bestandsaufnahme, Planung und normgerechter Umsetzung der physischen und strukturellen Netzwerk-Infrastruktur.
Was NIS2 von Ihrer Netzwerk-Infrastruktur verlangt
Artikel 21 der NIS2-Richtlinie benennt zehn Risikomanagement-Maßnahmen, von denen mehrere direkt die physische und logische Netzwerk-Infrastruktur betreffen. Das BSI konkretisiert diese Vorgaben für Deutschland im Rahmen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).
Welche Unternehmen sind betroffen
NIS2 gilt für "wichtige" und "besonders wichtige" Einrichtungen in 18 Sektoren: darunter Energie, Gesundheit, Transport, Trinkwasser, digitale Infrastruktur, Maschinenbau und Chemie. Ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz sind viele mittelständische Unternehmen automatisch einbezogen. Wer unsicher ist, ob er betroffen ist, sollte die Sektorenliste im NIS2UmsuCG prüfen oder rechtliche Beratung einholen.
Konkrete Netzwerk-Pflichten aus Artikel 21
Die zentralen Netzwerk-Anforderungen lauten: Netz-Segmentierung mit dokumentiertem Zonenkonzept (z.B. DMZ, VLANs), Zugangskontrolle zu internen Netz-Domänen, Netzwerk-Überwachung mit zentralem Log-Management, Redundanz für kritische Verbindungen, vollständige Netzwerk-Dokumentation sowie normgerechte Abnahme der physischen Infrastruktur. Ohne prüffähige Unterlagen sind diese Maßnahmen gegenüber Behörden und Auditoren nicht nachweisbar.
Meldepflichten und persönliche Haftung der Geschäftsleitung
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Die Geschäftsleitung haftet persönlich für die Umsetzung der NIS2-Maßnahmen. Das schafft konkreten Handlungsdruck: Ohne nachweisbare Maßnahmen, also ohne Dokumentation und Protokolle, drohen für besonders wichtige Einrichtungen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Netz-Segmentierung als Fundament der NIS2-Compliance
Segmentierung ist die Maßnahme, die NIS2-Prüfer zuerst abfragen. Ein ungetrenntes Flachnetz, in dem jeder Arbeitsplatz-PC direkt mit Servern, Produktionssteuerungen und Datenbanken kommunizieren kann, gilt als nicht compliant und als erhöhtes Risiko.
Warum Segmentierung Schäden begrenzt
Segmentierte Netze verhindern, dass sich Schadsoftware oder ein kompromittiertes Endgerät ungehindert im gesamten Unternehmensnetz ausbreitet. Ein infizierter Büro-PC erreicht dann weder die Produktionssteuerung noch den zentralen Dateiserver. Das ist der Kerngedanke von NIS2 im Netzwerk-Kontext: Schadensbegrenzung durch strukturelle Trennung.
VLANs, DMZ und physische Netz-Trennung
Logische Trennung per VLAN und eine konsequente DMZ für extern erreichbare Dienste sind der Mindeststandard nach NIS2. Für hochsensible Bereiche wie die Produktions-OT in Industriebetrieben oder Serverbereiche mit besonders schutzwürdigen Daten empfiehlt sich zusätzlich physische Netz-Trennung auf Verkabelungsebene. baconnect plant und verlegt solche Infrastrukturen normgerecht, mit vollständiger Dokumentation als Compliance-Nachweis.
Physische Netzwerk-Infrastruktur unter NIS2
Die Güte der physischen Verkabelung ist die Basis für alle logischen Sicherheitsmaßnahmen. Ein schlecht dokumentiertes oder unsauber aufgebautes Netz macht Segmentierung, Zugangskontrolle und Monitoring deutlich aufwändiger und fehleranfälliger.
Strukturierte Verkabelung und Patchfeld-Ordnung
NIS2 verlangt eine dokumentierte Netzarchitektur. Das setzt saubere physische Strukturen voraus: beschriftete Patchfelder im Netzwerkschrank, eindeutige Trassenführung und korrekt aufgebaute Etagenverteiler. Wildgewachsene Verkabelung ohne Beschriftung ist für Auditoren ein deutliches Warnsignal, das den Prüfaufwand und das Haftungsrisiko erhöht.
Redundanz für kritische Verbindungen
NIS2 fordert Maßnahmen zur Aufrechterhaltung des Betriebs (Business Continuity) im Falle eines Sicherheitsvorfalls. Im Netz bedeutet das: redundante Uplinks, unterbrechungsfreie Spannungsversorgung für aktive Komponenten und reservierte Glasfaser-Strecken für kritische Verbindungen. baconnect dimensioniert Redundanzen nach tatsächlichem Schutzbedarf, nicht nach Einheitslösung.
Messprotokoll und Bestandsdokumentation als Nachweis
Ohne prüffähige Dokumentation keine NIS2-Compliance. baconnect erstellt OTDR-Messprotokolle nach EN 50173 für Glasfaser-Strecken und übergibt vollständige Bestandspläne, Beschriftungskonzepte und Übergabeordner. Diese Unterlagen sind der Nachweis, den Auditoren und Behörden anfordern, und bilden gleichzeitig die Grundlage für spätere Erweiterungen und Wartung.
Was baconnect für Ihre NIS2-Umsetzung leistet
baconnect ist kein IT-Security-Berater, sondern der Spezialist, der die physische und strukturelle Netzwerk-Infrastruktur normgerecht plant, baut und dokumentiert. Das ist die Grundlage, auf der alle weiteren NIS2-Maßnahmen, Firewalls, SIEM, IAM, aufbauen.
Infrastruktur-Audit vor Ort
Wir erfassen den Ist-Zustand Ihrer Netzwerk-Infrastruktur: Verkabelung, Patchfelder, vorhandenes Segmentierungskonzept, bestehende Dokumentation. Sie erhalten eine klare Lückenanalyse, was für NIS2-Compliance fehlt oder nachgerüstet werden muss, ohne Schaufensterlösung.
Planung, Umsetzung und Übergabe
Von der Netz-Segmentierung auf Verkabelungsebene über den Ausbau redundanter Glasfaser-Strecken bis zur normgerechten strukturierten Verkabelung mit vollständiger Übergabe-Dokumentation: alles aus einer Hand, regional in Bremen und Niedersachsen, termintreu und mit messbarem Ergebnis.