NIS-2 und ISO 27001 in der Industrie parallel umsetzen: Wie Compliance-Software OT, Werke und Nachweise steuerbar macht

Wo Tools gewinnen: spürbarer Nutzen im Alltag

Gewinn 1: Weniger Abstimmungsschleifen zwischen Werk, IT, OT und Einkauf
Wenn Scope, Owner, Ausnahmen und Nachweise je Werk im System geführt sind, sinkt das Hin-und-her in Mails und Meetings. Entscheidungen werden nachvollziehbar getroffen, statt im Tagesgeschäft zu verschwinden.

Gewinn 2: Lieferkette wird steuerbar – proaktiv und mit Standardprozessen
Eine Software gewinnt, wenn Lieferanten- und Dienstleisteranforderungen als Prozess laufen: Tiering/Kritikalität, wiederkehrende Reviews, Nachweise, Findings/Maßnahmen, Subdienstleister, Exit-Artefakte. Das entlastet den Einkauf und verhindert, dass Security-Fragebögen jedes Mal bei Null starten.

Gewinn 3: OT-Kompromisse werden auditierbar (ohne den Betrieb zu blockieren)
In der OT sind Ausnahmen normal. Software gewinnen, wenn diese als genehmigte Objekte geführt werden (Begründung, Kompensation, Laufzeit, Freigabe). So bleibt „produktionstauglich“ zugleich „prüfbar“ – und das Stillstandsrisiko durch Audit-Findings wie unklare Remote-Zugänge oder nicht nachvollziehbare Patch-Workarounds sinkt.

Gewinn 4: NIS-2 läuft praktisch über das ISMS mit, statt parallel gepflegt zu werden
Wenn ISO-27001-Controls, Maßnahmenstatus und Nachweise zentral geführt und auf NIS-2 gemappt sind, entfällt Doppelpflege. Das Management sieht einen konsistenten Stand, und operative Teams arbeiten nicht gegen zwei Listen.

Gewinn 5: Nachweise sind exportierbar, ohne Sammelaktionen
Evidence Packs nach Werk/Scope reduzieren den Druck, „bis morgen“ irgendetwas zusammenzustellen. Entscheidend ist die Historie (Version, Gültigkeit, Review/Freigabe), damit der Export belastbar ist.
 

Typische Verluste beim „Weiter so“ ohne zentrale GRC-Software

• Maßnahmen und Nachweise liegen verteilt: Werk-spezifische Listen, Tickets, SharePoint, E-Mail.
• Unterschiedliche Begriffe und Kriterien je Werk: Priorisierung wird Diskussion statt Steuerung.
• Lieferantenreviews laufen unregelmäßig: Subdienstleister und Exit-Infos sind nicht konsistent verfügbar.
• OT-Ausnahmen sind nicht sauber genehmigt: im Ernstfall fehlt die Begründung und der Kompensationsnachweis.
• Incident-Dokumentation ist nicht meldefähig: Zeitlinie und Entscheidungspfad fehlen.
   

Wann Software in produzierenden Unternehmen „verliert“ – Warnsignale bei der Auswahl

• Keine echte Multi-Plant-Sicht (Werk/Scope) und keine Rollenlogik (Owner/Review/Freigabe).
• OT wird wie IT behandelt: keine Ausnahmen/Komensation/Laufzeit.
• Lieferkette ist nur „Lieferantenliste“ ohne Review-Rhythmus und Evidence.
• Exporte sind nicht reproduzierbar (jedes Mal neu zusammenstellen).
   

Was kann der audatis MANAGER für produzierendes Gewerbe und Industrie leisten?

• Werk- und Scope-Struktur (Multi-Plant): Standorte/Werke/Bereiche/Scopes abbilden, Verantwortliche zuweisen, Status je Werk vergleichen → weniger Sonderlogik pro Werk, bessere Steuerbarkeit.
• Control Library mit Richtlinien-Mapping (ISO 27001 ↔ NIS-2): ISO-Controls/SoA als Basis führen und NIS-2-Pflichten darauf mappen → keine zweite Maßnahmenwelt, weniger Doppelpflege, konsistenter Fortschritt.
• Maßnahmen-Backlog mit Zuständigkeiten und Abhängigkeiten: Owner, Fälligkeiten, Blocker, Wirksamkeitscheck pro Maßnahme → Priorisierung wird möglich (z. B. Fernwartung vor „nice to have“).
• Evidence als Baustein (Gültigkeit, Review/Freigabe, Version): Nachweise pro Werk/Scope pflegen und revisionsfähig halten → weniger Sucharbeit, weniger „wer hat’s freigegeben“.
• Evidence Packs als reproduzierbare Exporte: Exporte nach Werk/Scope/Zeitraum (inkl. Historie) → Anforderungen von Kunden/OEMs und Prüfungen schneller und konsistent bedienen.
• Lieferanten- und Dienstleistersteuerung als Prozess: Register, Kritikalität/Tiering, Review-Rhythmus, Nachweise, Findings/Maßnahmen, Exit-Infos → Lieferkette nicht mehr ad hoc, sondern nachweisbar gesteuert.
• OT-taugliche Ausnahmen als genehmigte Objekte: Abweichung, Begründung, Kompensation, Laufzeit, Freigabe → OT-Realität bleibt auditierbar, ohne den Betrieb zu blockieren.
• Incident- und Eskalationsablauf mit Zeitlinie und Entscheidungspfad: Dokumentation, Trigger, Verantwortlichkeiten, Fristen, Historie → ISO-27001-Incident-Management bleibt Basis, NIS-2-Meldeanforderungen laufen kontrolliert mit.
• Management- und Werk-Reporting: Kennzahlen wie ablaufende Nachweise, offene Maßnahmen, überfällige Reviews, Risiko-Schwerpunkte je Werk → weniger Bauchgefühl, schnellere Entscheidungen.
   

Stufe 1
Niedriger Reifegrad: Einzelwerk oder kleiner Verbund (hoher Druck von Kunden/OEMs, wenig Kapazität)

Fokus: schnell antwortfähig werden, ohne OT umzubauen

• Klarer Scope (z. B. 3 kritische Services) plus Evidence Set (20–30 Nachweise) mit Owner, Gültigkeit, Review/Freigabe
• Lieferanten-/Dienstleister-Tiering für die Top-10 und geplanter Review-Rhythmus (Nachweise, Subdienstleister, Exit-Infos)
• OT-Ausnahmen als genehmigte Objekte (Kompensation, Laufzeit) statt Werk-Notizen

Was wird besser: Nachweise und Antworten werden planbar, OT-Kompromisse sind begründbar, Einkauf/IT/OT arbeiten am selben Stand.
 

Stufe 2
Mittlerer Reifegrad: Mehrere Werke, mehrere Richtlinien (Standardisierung ohne Stillstandsrisiko)

Fokus: Vergleichbarkeit herstellen und Doppelpflege vermeiden

• ISO-27001-Controls als Basis führen und NIS-2 im selben System mappen (kein zweites To-do-Programm)
• Gemeinsames Strukturmodell (Werk/Scope/Service/Asset/Dienstleister) und Standortvergleich über dieselben Kriterien (ablaufende Nachweise, offene Maßnahmen, überfällige Reviews)
• Evidence Packs als Standardexport nach Werk/Scope

Was wird besser: Fortschritt wird über Werke sichtbar, Priorisierung wird datenbasiert, Nachweisanfragen werden reproduzierbar bedient.
 

Stufe 3
Hoher Reifegrad: Internationale Gruppe (Legacy-OT, hoher Prüfdruck, mehrere nationale Vorgaben)

Fokus: System of Record schärfen, internationale Anforderungen ohne Sonderlisten beherrschbar machen

• Verbindlich festlegen, wo Status, Nachweise, Freigaben und Historie geführt werden
• Gültigkeiten/Reviews/Erinnerungen automatisieren, damit Nachweise nicht ablaufen
• Speziallösungen (SecOps/OT) als Quellen verknüpfen, ohne den Prüfpfad zu verlieren
• Maximalprinzip für internationale Regelwerke: Definieren Sie eine gruppenweite Control-Baseline, die möglichst umfassend für die Breite der international zu beachtenden Richtlinien ausgelegt ist. Dann mappen Sie nationale Anforderungen als Mapping/Attribute. So vermeiden Sie werk- oder länderspezifische Ausnahmeprozesse.

Was wird besser: Weniger Reibung zwischen Software-Silos, konsistente Historie für Entscheidungen, weniger Ad-hoc-Aufwand vor Prüfungen und Lieferkettenprüfungen.