Haben Sie sich bereits intensiv mit NIS2 beschäftigt? Dann sollten Sie den neuen Leitfaden der Europäischen Cyber-Sicherheitsbehörde lesen. Er gibt sehr gute Tipps für die Umsetzung. Und er geht ausführlich auf eine Maßnahme ein, die Sie auf keinen Fall vernachlässigen sollten: die Härtung Ihrer Systeme.
Die ENISA hilft bei der NIS2-Umsetzung
Die Neufassung der “Network and Information Security Directive“, auch bekannt als NIS2, sorgt immer wieder für Schlagzeilen. Zum einen, weil die Umsetzung durch die einzelnen europäischen Länder nur schleppend vorankommt. Zum anderen wissen viele IT-Verantwortliche nicht genau, was sie konkret tun müssen, um die aktuelle EU-Verordnung korrekt umzusetzen. Geht es Ihnen auch so?
Um die Implementierung zu erleichtern, hat die European Union Agency for Cybersecurity (ENISA) im Juni 2025 einen kostenlosen Ratgeber namens “NIS2 – Technical Implementation Guidance” veröffentlicht.
Das 170-seitige Dokument soll den Umgang mit der NIS2-Richtlinie und deren Umsetzung erleichtern. Das PDF deckt 13 Handlungsfelder ab – vom “Risk Management Framework” und “Incident Handling” über das “Business Continuity & Crisis Management” und der “Supply Chain Security” bis hin zum “Asset Management“ und zur “Environmental & Physical Security”.
Auch das Configuration Management und Hardening aka Systemhärtung spielen in dem Guide eine gewichtige Rolle.
Der hohe Stellenwert von Hardening
Systeme, die nicht oder nur unzureichend sicher konfiguriert, also nicht “gehärtet” sind, bieten eine große Angriffsfläche. Hacker und andere Angreifer nutzen diese aus. Die ENISA verankert daher das “Härten” bzw. “Hardening” als Pflichtaufgabe innerhalb des Konfigurationsmanagements. Wörtlich heißt es in Kapitel 6.2:
“Consider hardening guides/best practices and general cybersecurity principles (e.g. least functionality and least privilege) as a basis for deriving the defined security configurations.”
Zudem wird in dem Guide an zwei Stellen von “strict configuration hardening” geredet. Diese Aufforderung wird durch diese Empfehlung unterstrichen:
“Employ a deny-all, permit-by-exception policy to allow authorised software to run.”
👉 Diese Aussagen verdeutlichen: Hardening bzw. Härtung ist laut der europäischen Cybersecurity-Behörde keine freiwillige Option, sondern ein regulatorisch geforderter Grundsatz!
Was die ENISA für die Systemhärtung empfiehlt
In Kapitel 6.3 und Folgende gibt die European Union Agency for Cybersecurity zahlreiche Ratschläge. Dazu gehören beispielsweise:
➡ Konfigurationsmanagement-Planung
Sie müssen einen Plan für das Configuration Management erstellen, der Rollen, Verantwortlichkeiten, Prozesse und Verfahren des Konfigurationsmanagements festlegt. Dieses Dokument ist vor unbefugter Offenlegung und Änderung zu schützen.
➡ Zulässige Software und Dienste
Nicht autorisierte Software muss identifiziert werden. Und es sollte eine “deny-all, permit-by-exception”-Richtlinie geben, um nur autorisierte Software auszuführen.
➡ Automatisierung für alle Systeme
Setzen Sie automatisierte Mechanismen ein, um die Konfigurationseinstellungen Ihrer Hard- und Software (einschließlich mobiler Geräte und vernetzter Fahrzeuge) zentral zu verwalten, anzuwenden und zu überprüfen.
➡ Standards und Überwachung
Alle Netzwerk-, Software- und Systemkonfigurationen haben den etablierten Sicherheits- und Betriebsstandards zu entsprechen. Abweichungen müssen Sie identifizieren, dokumentieren und genehmigen.
➡ Umsetzung von Alternativen
Bei Legacy-Systemen müssen Sie zusätzlich zur Härtung noch weitere Maßnahmen implementieren. Dazu gehören unter anderem eine Netzwerksegmentierung oder -isolierung, die Einführung von Intrusion IDS-Lösungen sowie die regelmäßige Durchführung von Schwachstellenscans.
➡ Regelmäßige Überprüfung
Alle Konfigurationen müssen in geplanten Intervallen, mindestens aber monatlich, überprüft und bei Bedarf aktualisiert werden. Das gilt insbesondere nach Patches, bei Backup-Problemen, größeren Systemänderungen oder signifikanten Cyber-Vorfällen.
Wichtig: Automatisierung und Dokumentation sind Pflicht!
Die “NIS2 Technical Implementation Guidance” fordert wie immer mehr IT-Regularien, -Gesetze und Normen dazu auf, die Secure Configuration bzw. die Systemhärtung nach etablierten Standards (beispielsweise CIS Benchmarks und DISA STIG) durchzuführen.
Dazu heißt es in dem Dokument:
“Employ automated mechanisms to centrally manage, apply and verify configuration settings for software and hardware, including mobile devices and the entity’s connected vehicles.”
Außerdem verlangt ENISA regelmäßige Reviews:
“Review and, where appropriate update configurations at least monthly to ensure that patches have been applied, that the backup has been executed according to the plan and that monitoring is in place to identify and alert to fatal server/device/disk errors without delay.”
Sind Systeme nicht mehr auf dem “Stand der Technik” oder gibt es keine aktuellen Patches, empfiehlt die ENISA kompensierende Maßnahmen:
“If patching is not feasible, consider alternative measures such as strict configuration hardening, intrusion detection systems, regular vulnerability scanning, network segmentation or isolation …”
Zudem wird eine regelmäßige, saubere Dokumentation der Konfiguration gefordert. Das Ziel ist unter anderem:
“Documented secure baseline configuration containing at least (indicative, non-exhaustive list): essential capabilities of operation; restricted use of functions; security by default;ports, protocols and/or services allowed […] Documented and approved exceptions to the configuration baseline containing the alternative measures in place to ensure the confidentiality, availability and integrity of the CI. “
Härtung nach NIS 2: Wie gelingt das?
Versuchen Sie erst gar nicht, die zahlreichen NIS2-Vorgaben mit GPOs oder anderen manuellen Maßnahmen zu erfüllen! Der Aufwand für die Umsetzung sowie für die Nachjustierung und Kontrolle ist gigantisch. Die ENISA rät daher:
“Employ automated mechanisms to centrally manage, apply and verify configuration settings …”
Setzen Sie also auf eine automatisierte, sichere Konfiguration. Diese ist mit dem Enforce Administrator möglich.
Das Hardening-Tool stellt die ideale Lösung dar, um große und komplexe IT-Systemlandschaften zentral und vollautomatisiert gemäß weltweit etablierter Standards zu härten. Und es erstellt eine lückenlose Dokumentation der Systemkonfigurationen, die zum Beispiel für Audits genutzt werden kann.
Weitere Informationen erhalten Sie hier:
⏬ Download: Enforce Administrator Produktbroschüre (PDF)
Fazit
Die ENISA bietet mit der kostenlosen “Technical Implementation Guidance” einen praxisnahen Rahmen, der die NIS2-Pflichten konkretisiert. Das Thema “Hardening / Secure Configuration” ist ein zentrales Element, ohne das Sie die NIS-Anforderungen nicht erfüllen können.
Hier wird ebenso deutlich: Automatisierung ist ein “must have”! Die ENISA fordert explizit zentrale, automatisierte Mechanismen zur Verwaltung, Anwendung und Verifikation von Konfigurationen. Die Zeiten selbst entwickelter Lösungen sind damit endgültig vorbei.
Haben Sie noch Fragen?
Wollen Sie mehr über Systemhärtung wissen? Oder möchten Sie wissen, wie Sie eine automatisierte Systemhärtung realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bilder: ENISA, Freepik