senn-techsenn-tech
Zurück zum Blog
Security2027-02-02

NIS2 und der Eigenbetrieb: Compliance durch Kontrolle

NIS2 ist kein Zukunftsthema mehr. Die EU-Richtlinie gilt, die nationale Umsetzung läuft, und der Kreis der betroffenen Unternehmen ist deutlich grösser als bei der Vorgängerin NIS1. Wer IT-Infrastruktur selbst betreibt, hat einen Vorteil: Er weiss, wo seine Daten sind.

Wen NIS2 betrifft

NIS2 gilt nicht nur für KRITIS-Betriebe. Mittelgrosse und grosse Unternehmen aus Sektoren wie Energie, Transport, Gesundheit, digitale Infrastruktur, Abwasser, öffentliche Verwaltung und — neu — auch IT-Dienstleister fallen darunter.

Die Faustregel: ab 50 Mitarbeitern oder 10 Mio. € Umsatz ist Vorsicht geboten. Für KMU mit kritischen Dienstleistungen kann NIS2 ebenfalls greifen.

Was gefordert wird

Die Richtlinie verlangt Risikomanagement-Massnahmen und Meldepflichten:

  • Technische Sicherheit: Zugriffskontrollen, Netzsegmentierung, Verschlüsselung, Patch-Management
  • Vorfallerkennung: Monitoring, Logging, Alarmierung — genau das, was Uptime Kuma, Graylog und CrowdSec im Eigenbetrieb liefern
  • Meldepflicht: erhebliche Sicherheitsvorfälle binnen 24 Stunden an die zuständige Behörde
  • Lieferkettensicherheit: Sie haften für Sicherheitslücken bei Dienstleistern — und das ist der Punkt, an dem unkontrollierte SaaS-Nutzung zum Risiko wird

Warum Self-Hosting die Compliance vereinfacht

Wer einen Dienst selbst betreibt, kann jede geforderte Massnahme umsetzen. Wer ihn als SaaS einkauft, ist auf die Zusicherungen des Anbieters angewiesen — und auf dessen Bereitschaft, im Ernstfall forensische Daten herauszurücken.

Ein Beispiel: NIS2 verlangt, dass Sie Sicherheitsvorfälle erkennen und dokumentieren können. Auf Ihrer eigenen Proxmox-Infrastruktur mit zentralem Monitoring haben Sie Logs, Metriken und Zugriffs-Audits. Bei einer SaaS-Plattform bekommen Sie — bestenfalls — ein Status-Dashboard.

Die Pflicht zur Sorgfalt

NIS2 ist kein Grund zur Panik, aber einer zur Bestandsaufnahme:

  • Welche Dienste betreiben wir selbst? Welche sind SaaS?
  • Haben wir für die selbst betriebenen Dienste ein funktionierendes Monitoring?
  • Sind Meldeprozesse definiert — wer informiert wen innerhalb der 24-Stunden-Frist?

Was NIS2 nicht ist

Kein Zertifizierungswahn. Die Richtlinie schreibt kein bestimmtes Framework vor, kein ISO-27001-Zwang, kein BSI-Grundschutz per Gesetz. Sie schreibt Ergebnisse vor: Risiken managen, Vorfälle melden, Lieferkette im Griff haben. Wie Sie das erreichen, bleibt Ihnen überlassen.

Fazit

NIS2 belohnt, wer Infrastruktur versteht und kontrolliert. Eigenbetrieb mit sauberem Monitoring, Netzsegmentierung und dokumentierten Prozessen erfüllt die Anforderungen besser als ein Sammelsurium an SaaS-Diensten, deren Innereien Sie nicht kennen.