Čeština English Deutsch
Kundenportal
New Telekom
Startseite Über uns Dienstleistungen Abdeckung Blog Kontakt

Sprache

🇨🇿 CZ 🇬🇧 EN 🇩🇪 DE
Kundenportal
Kontakt aufnehmen
Startseite Blog NIS2-Compliance für Technologieunternehmen: Wie New Telekom einen mittelständischen Softwarehersteller durch den gesamten Bewertungs- und Implementierungsprozess führte
NIS2-Compliance

NIS2-Compliance für Technologieunternehmen: Wie New Telekom einen mittelständischen Softwarehersteller durch den gesamten Bewertungs- und Implementierungsprozess führte

NT
New Telekom
Expertenteam von New Telekom
NIS2-Compliance für Technologieunternehmen: Wie New Telekom einen mittelständischen Softwarehersteller durch den gesamten Bewertungs- und Implementierungsprozess führte
Gesetz Nr. 264/2025 Slg. über die Cybersicherheit – die tschechische Umsetzung der NIS2-Richtlinie (EU 2022/2555) – erweiterte den Kreis der verpflichteten Unternehmen auf eine Weise, die viele Technologieunternehmen überraschte. Ein mittelständischer Anbieter von Softwarelösungen für industrielle Steuerungssysteme, der vor 2025 niemals damit gerechnet hätte, der Cybersicherheitsregulierung zu unterliegen, fand sich plötzlich im Regime der niedrigeren Pflichten gemäß Verordnung Nr. 410/2025 Slg. wieder – als ein gemäß NACE 16.9 (sonstige Verarbeitung und Haltbarmachung von Obst und Gemüse) klassifiziertes Unternehmen – genauer gesagt unter der relevanten Kennzahl für Anbieter von IKT-Lösungen für kritische Infrastrukturen. New Telekom s.r.o. erstellte für sie einen umfassenden NIS2-Compliance-Beratungsbericht und implementierte anschließend die erforderlichen technischen Maßnahmen – von der Netzwerksegmentierung über die Einführung eines Monitorings bis hin zur Vorbereitung der Dokumentation für eine mögliche NÚKIB-Kontrolle.

Warum fiel ein Technologieunternehmen unter NIS2 und was bedeutet das?

Das Gesetz Nr. 264/2025 Slg. unterscheidet zwei Regime für verpflichtete Unternehmen: grundlegende Pflichten für sogenannte Basisunternehmen und niedrigere Pflichten für wichtige Unternehmen. Der New Telekom-Kunde – ein mittelständisches Technologieunternehmen mit etwa 80 Mitarbeitern und einem Jahresumsatz unterhalb der Schwelle für Großunternehmen – wurde als mittelständisches Unternehmen im Regime der niedrigeren Pflichten gemäß Verordnung Nr. 410/2025 Slg. identifiziert. Die Einbeziehung in den Anwendungsbereich von NIS2 ergab sich aus zwei gleichzeitigen Gegebenheiten: Das Unternehmen liefert Software zur Steuerung von Produktionslinien an Kunden aus Branchen, die als kritische Infrastruktur gelten, und betreibt gleichzeitig eine eigene Cloud-Umgebung (Microsoft Azure) sowie ein Rechenzentrum (CIR – IKT-Lösungszentrum), das die NÚKIB-Klassifizierung als Element der digitalen Infrastruktur bewertete. Für das Unternehmen bedeutete dies in der Praxis, bestimmte Pflichten aus der Verordnung Nr. 410/2025 Slg. zu erfüllen: Einrichtung eines Informationssicherheits-Managementsystems (ISMS), Durchführung einer Risikoanalyse, Implementierung technischer Maßnahmen zur Erkennung und Bewältigung von Cyber-Vorfällen, Einrichtung von Prozessen zur Meldung von Vorfällen an die NÚKIB und Pflege einer aktuellen Dokumentation der Sicherheitsarchitektur. Frist zur Erfüllung der Pflichten: 18 Monate ab Benachrichtigung durch die NÚKIB – und der Kunde kam zu New Telekom, als bereits 6 Monate davon verstrichen waren.

Wie strukturierte New Telekom das NIS2-Beratungsprojekt?

Phase 1 – Erste Compliance-Bewertung (Gap-Analyse)

Der erste Schritt war die Durchführung einer Gap-Analyse – ein systematischer Vergleich des Ist-Zustands des Kunden mit den Anforderungen des Gesetzes Nr. 264/2025 Slg. und der Verordnung Nr. 410/2025 Slg. Das New Telekom-Team untersuchte vier Bereiche: Netzwerkarchitektur und -segmentierung: Der Kunde betrieb eine flache Netzwerktopologie ohne Trennung von Entwicklungsumgebung, Produktionsumgebung und Kunden zugriff auf das Support-Portal. Alle Umgebungen teilten sich ein einzelnes VLAN und nutzten einen einzigen Internetzugangspunkt ohne NGFW-Inspektion. Risiko: Die Kompromittierung einer Umgebung ermöglicht die laterale Bewegung eines Angreifers in alle anderen. Identität und Zugriffsrechte: Das Unternehmen hatte keine Multifaktorauthentifizierung (MFA) für den Fernzugriff von Entwicklern auf die Produktionsumgebung implementiert. Zugriffsrechte wurden nicht regelmäßig überprüft – einige Mitarbeiter, die das Unternehmen in den vorangegangenen zwei Jahren verlassen hatten, verfügten immer noch über aktive Konten in internen Systemen. Erkennung und Monitoring: Es gab weder ein zentrales Log-Management noch ein SIEM-System. Netzwerkgeräte erzeugten Logs lokal ohne Export oder zentrale Analyse. Die Erkennung anomalen Verhaltens oder eines Eindringens hing ausschließlich von manuellen, unregelmäßig durchgeführten Überprüfungen ab. Dokumentation und Prozesse: Das Unternehmen hatte weder eine Risikoanalyse, einen Vorfallswiederherstellungsplan (IRP – Incident Response Plan) noch eine Dokumentation der Sicherheitsarchitektur im von der NÚKIB geforderten Format erstellt. Interne Sicherheitsrichtlinien existierten in Form von E-Mail-Korrespondenz und nicht geteilten Word-Dokumenten. Ergebnis der Gap-Analyse: 23 identifizierte Lücken bei der Einhaltung der NIS2-Anforderungen – davon 4 kritische (sofortiger Handlungsbedarf), 11 schwerwiegende und 8 weniger schwerwiegende. Das Ergebnis war ein formelles Dokument – der NIS2-Compliance-Beratungsbericht, herausgegeben von New Telekom s.r.o. in einem Format, das den Dokumentationsanforderungen der Verordnung Nr. 410/2025 Slg. entspricht.

Phase 2 – Implementierung technischer Maßnahmen

Basierend auf den Ergebnissen der Gap-Analyse implementierte das New Telekom-Team technische Maßnahmen in der Prioritätsreihenfolge entsprechend dem Schweregrad der identifizierten Lücken. Netzwerksegmentierung und NGFW: Die flache Topologie wurde durch eine Drei-Zonen-Architektur mit separaten Bereichen für Entwicklungsumgebung, Produktionsumgebung und Kunden zugriff ersetzt. An den Netzwerk-Grenzpunkt wurde eine Fortinet FortiGate 200F eingesetzt – eine NGFW-Firewall mit IPS (Intrusion Prevention System), SSL/TLS-Inspektion, Anwendungskontrolle und Antiviren-Engine. Zwischen den Zonen wurden strikte Richtlinien festgelegt – keine implizite Kommunikation zwischen Entwicklungs- und Produktionsumgebung ohne explizite Regel. Multifaktorauthentifizierung und Identitätsmanagement: Microsoft Entra ID (früher Azure AD) wurde mit obligatorischer MFA für sämtlichen Fernzugriff eingeführt – Entwickler, Support, Management. Eine vollständige Überprüfung der Zugangskonten wurde durchgeführt: 34 inaktive Konten wurden deaktiviert, die Zugriffsrechte der verbleibenden Mitarbeiter nach dem Prinzip der geringsten Privilegien (Least Privilege) überprüft. Zentrales Log-Management und SIEM: Microsoft Sentinel wurde als cloudbasiertes SIEM mit Log-Export von allen Netzwerk elementen (Fortinet FortiGate, Juniper-Switches), Servern und der Azure-Cloud-Umgebung implementiert. Es wurden grundlegende Erkennungsregeln zur Identifizierung anomalen Verhaltens definiert – wiederholte fehlgeschlagene Anmeldungen, Zugriff aus unerwarteten geografischen Lagen, ungewöhnlich große übertragene Datenmengen. Backup-Konnektivität und Resilienz: Als Teil der NIS2-Anforderungen an die Betriebskontinuität wurde eine Backup-Verbindung implementiert – eine LTE-A Pro-Backup-Leitung über New Telekom eSIM mit automatischem Failover bei Ausfall der primären Glasfaserverbindung. Der Kunde erfüllt damit die Anforderung nach Maßnahmen zur Sicherstellung der Verfügbarkeit wichtiger IKT-Dienste auch bei Ausfall der Primäranbindung.

Phase 3 – Dokumentation und Vorbereitung auf die NÚKIB-Kontrolle

Technische Implementierung ohne entsprechende Dokumentation erfüllt die NIS2-Anforderungen nicht – die NÚKIB verlangt bei einer Kontrolle den Nachweis nicht nur der Existenz technischer Maßnahmen, sondern auch deren Intentionalität, Dokumentation und regelmäßige Überprüfung. New Telekom erstellte für den Kunden ein vollständiges Dokumentationspaket:
  • Risikoanalyse gemäß einer der ČSN ISO/IEC 27005 entsprechenden Methodik – Identifizierung von Assets, Bedrohungen, Verwundbarkeiten und Restrisiken nach der Maßnahmenimplementierung
  • Sicherheitsrichtlinie und ein Set dazugehöriger Anweisungen (Zugriffsrechte, Passwortverwaltung, Fernarbeit, Vorfallsmanagement)
  • Plan zur Bewältigung von Cyber-Vorfällen (IRP) mit definierten Rollen, Eskalationsverfahren und einer Kontaktmatrix für die Meldung von Vorfällen an die NÚKIB gemäß § 16 des Gesetzes Nr. 264/2025 Slg.
  • Dokumentation der Netzwerkarchitektur – topologische Diagramme in einem für Audits geeigneten Format, einschließlich Beschreibungen der Sicherheitszonen und Firewall-Regeln
  • Aufzeichnungen der Zugriffsrechtsüberprüfung und Deaktivierung inaktiver Konten
  • NIS2-Compliance-Beratungsbericht – ein zusammenfassendes Dokument, das die Ergebnisse der Bewertung, die implementierten Maßnahmen und die verbleibenden Risiken darstellt; herausgegeben von New Telekom s.r.o. am 25. April 2026

Was war das Ergebnis – was erfüllt das Unternehmen und was bleibt?

Nach Abschluss der drei Phasen des Beratungsprojekts ist der Kunde mit 22 der 23 identifizierten Lücken konform. Die einzige verbleibende Position – die Einführung regelmäßiger Penetrationstests der Produktionsumgebung – ist als wiederkehrende Aktivität mit der ersten Durchführung im Juni 2026 geplant. Aus Sicht der Verordnung Nr. 410/2025 Slg. und der Anforderungen für Unternehmen im Regime der niedrigeren Pflichten erfüllt der Kunde nun:
  • Ein implementiertes und dokumentiertes ISMS mit durchgeführter Risikoanalyse
  • Technische Maßnahmen zur Vorfalls erkennung (Microsoft Sentinel SIEM, Fortinet NGFW)
  • Einen dokumentierten Prozess zur Meldung von Vorfällen an die NÚKIB
  • MFA für sämtlichen Fernzugriff
  • Netzwerksegmentierung zur Trennung kritischer Umgebungen
  • Backup-Konnektivität zur Sicherstellung der Verfügbarkeit bei Ausfall der Primäranbindung
  • Vollständige, prüffähige Dokumentation der Sicherheitsarchitektur

Warum kann die NIS2-Compliance nicht allein mit Dokumentation ohne technische Implementierung gelöst werden?

Ein häufiger Fehler von Unternehmen, die sich erstmals mit NIS2 befassen, ist es, sich ausschließlich auf die Dokumentation zu konzentrieren – Sicherheitsrichtlinien und Risikoanalysen zu erstellen, ohne etwas an der tatsächlichen technischen Infrastruktur zu ändern. Die NÚKIB überprüft bei einer Kontrolle die Konformität nicht nur formal, sondern auch faktisch – eine Firewall ohne konfigurierte Regeln, eine nur für einige Benutzer implementierte MFA oder ein SIEM ohne aktive Erkennungsregeln sind Beispiele für Situationen, in denen die Dokumentation existiert, aber die technische Realität nicht entspricht. New Telekom kombiniert daher Beratung stets mit technischer Implementierung: Das Team der Sicherheitsberater erstellt die Dokumentation und die Prozesseinstellungen, während das Netzwerk- und Sicherheitsteam gleichzeitig technische Maßnahmen auf der physischen Infrastruktur implementiert. Das Ergebnis ist kein Ordner voller Papiere, sondern eine funktionierende und prüffähige Sicherheitsarchitektur.

Häufig gestellte Fragen zur NIS2-Compliance-Beratung

Wie finde ich heraus, ob mein Unternehmen unter NIS2 und das Gesetz Nr. 264/2025 Slg. fällt?

Ein verpflichtetes Unternehmen gemäß Gesetz Nr. 264/2025 Slg. wird durch eine Kombination aus der Branche, in der das Unternehmen tätig ist, und seiner Größe definiert. Die NÚKIB hat eine Liste der Branchen und Unternehmenstypen veröffentlicht, auf die das Gesetz Anwendung findet – darunter unter anderem Anbieter digitaler Dienste, Hersteller von IKT-Produkten, Betreiber kritischer Infrastrukturen und deren wichtige Lieferanten. Wenn Sie sich über Ihre Einstufung unsicher sind, führt New Telekom im Rahmen des ersten Beratungsgesprächs eine erste Bewertung durch – kostenlos und unverbindlich.

Wie lange dauert ein vollständiges NIS2-Compliance-Projekt?

Das hängt vom Ausgangszustand und dem Umfang der erforderlichen Maßnahmen ab. Für ein mittelständisches Technologieunternehmen (50–150 Mitarbeiter) im Regime der niedrigeren Pflichten sollten Sie mit 8–16 Wochen vom Beginn der Gap-Analyse bis zum Abschluss der Implementierung und der Dokumentationsübergabe rechnen. Das in diesem Artikel beschriebene Projekt dauerte 11 Wochen – der Kunde kam mit Dringlichkeit aufgrund einer näher rückenden Frist, weshalb das Projekt mit höherer Intensität in parallelen Phasen durchgeführt wurde.

Was genau gibt New Telekom als Ergebnis der NIS2-Beratung aus?

Das Ergebnis ist der NIS2-Compliance-Beratungsbericht – ein formelles Dokument, das die Ergebnisse der Bewertung der Konformität mit dem Gesetz Nr. 264/2025 Slg. und der Verordnung Nr. 410/2025 Slg. , die identifizierten Lücken, die implementierten Maßnahmen und die verbleibenden Risiken zusammenfasst. Darüber hinaus ein Dokumentationspaket: Risikoanalyse, Sicherheitsrichtlinie, IRP, Dokumentation der Netzwerkarchitektur und Aufzeichnungen der Zugriffsrechtsüberprüfung. Die gesamte Dokumentation ist in einem für eine mögliche NÚKIB-Kontrolle geeigneten Format vorbereitet.

Bietet New Telekom auch laufende Unterstützung nach Abschluss des NIS2-Projekts an?

Ja. Die NIS2-Compliance ist kein einmaliges Projekt – das Gesetz Nr. 264/2025 Slg. verlangt die regelmäßige Überprüfung der Risikoanalyse, die Aktualisierung der Dokumentation bei Infrastrukturänderungen und wiederholte Tests der Sicherheitsmaßnahmen. New Telekom bietet einen jährlichen NIS2-Retainer an – eine laufende Unterstützung, die vierteljährliche Überprüfungen, Dokumentationsaktualisierungen bei Änderungen und Unterstützung bei möglichen NÚKIB-Kontrollen umfasst. So ist der Kunde sicher, dass die Compliance auch nach Änderungen der Gesetzgebung oder der eigenen Infrastruktur erhalten bleibt.

Fazit

Die NIS2-Compliance für Technologieunternehmen ist keine bürokratische Formalität – sie ist eine reale Veränderung der Art und Weise, wie ein Unternehmen seine Netzwerkinfrastruktur, Zugriffsrechte und seine Fähigkeit zur Erkennung und Bewältigung von Cyber-Vorfällen verwaltet. Das von New Telekom für einen mittelständischen Anbieter von Softwarelösungen durchgeführte Projekt zeigt, dass die Erfüllung der Anforderungen des Gesetzes Nr. 264/2025 Slg. mit dem richtigen Ansatz in angemessener Zeit bewältigbar ist – ohne Betriebsunterbrechung und ohne die Notwendigkeit, ein internes Sicherheitsteam von Grund auf aufzubauen. Wenn Ihr Unternehmen gerade erst feststellt, ob es unter NIS2 fällt, oder Sie bereits wissen, dass die Frist läuft, und Sie einen Partner für die Bewertung und Implementierung suchen, kontaktieren Sie das Expertenteam von New Telekom über die IT-Sicherheitsseite oder direkt über das Kontaktformular. Die erste Bewertung des Pflichtenumfangs ist kostenlos.
Dieser Artikel wurde vom Expertenteam der New Telekom s.r.o. erstellt. Der Firmenname des Kunden wird aus Gründen des Schutzes sensibler Sicherheitsinformationen nicht veröffentlicht. Alle genannten Gesetze entsprechen dem Stand von April 2026.

Anwendbare Rechtsvorschriften und Standards

  • Gesetz Nr. 264/2025 Slg. über die Cybersicherheit (tschechische Umsetzung von NIS2)
  • Verordnung Nr. 410/2025 Slg. über die Cybersicherheit – technische Anforderungen für verpflichtete Unternehmen
  • EU-Richtlinie 2022/2555 (NIS2) – über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus
  • ČSN ISO/IEC 27001 – Informationssicherheits-Managementsystem (ISMS)
  • ČSN ISO/IEC 27005 – Risikomanagement der Informationssicherheit
  • NÚKIB – Nationales Amt für Cyber- und Informationssicherheit
  • Fortinet FortiGate 200F – NGFW-Firewall mit IPS, SSL/TLS-Inspektion und Anwendungskontrolle
  • Microsoft Sentinel – Cloud-SIEM für zentrales Log-Management und Bedrohungserkennung
  • Microsoft Entra ID – Identitätsmanagement und Multifaktorauthentifizierung (MFA)
  • Juniper NFX250 – SD-WAN-CPE mit integrierter Firewall
  • 3GPP LTE-A Pro – Backup-mobile Konnektivität (New Telekom eSIM)
Zurück zum Blog