1. Kritische Funktionen und Risiken erkennen

KRITIS-Betreiber müssen nachvollziehbar wissen, welche Systeme und Komponenten sie nutzen, wo sie sich befinden, welche Funktion sie in der Versorgung erfüllen, welcher Schutzbedarf besteht und welche Risiken daraus entstehen.

Unsere Lösungen bilden diese Anforderungen vollständig ab, indem alle relevanten Informationswerte — von Anlagen, Netzwerken und Anwendungen über Standorte, Betriebsprozesse und Dienstleister bis hin zu Rollen und Verantwortlichkeiten — zentral erfasst, strukturiert und logisch verknüpft werden.  Auf dieser Basis lässt sich die Risikoanalyse zielgerichtet durchführen.

Bedrohungen, Schwachstellen und Auswirkungen werden direkt auf die jeweiligen Objekte angewendet, sodass die Risikobewertung nicht abstrakt bleibt, sondern konkret auf Basis der realen System- und Prozesslandschaft erfolgt. 

Vorteile:

• Asset-Management: Alle relevanten Systemkomponenten, Betriebsprozesseund Verantwortlichkeiten werden vollständig, strukturiert und überprüfbar erfasst.
• Risikoanalyse am Objekt: Bedrohungen, Schwachstellen und Auswirkungen lassen sich direkt an Assets, Prozessen oder kritischen Funktionen bewerten — nicht in Tabellen oder Excel-Listen.
• Maßnahmen zuweisbar: Technische und organisatorische Maßnahmen (TOMs) können unmittelbar den betroffenen Assets, Risiken oder Prozessen zugeordnet werden.
• Schutzbedarfsfeststellung integriert: Kritikalität, Vertraulichkeit, Integrität und Verfügbarkeit werden zentral bewertet und fließen automatisch in Risiko- und Maßnahmenentscheidungen ein.

2. Maßnahmen planen, umsetzen und nachweisen

Unter NIS2 müssen identifizierte Risiken und Schwachstellen durch geeignete technische und organisatorische Maßnahmen (TOMs) behandelt werden.  Maßnahmen müssen angemessen, wirksam, priorisiert und dokumentiert sein — und zwar entlang der realen Geschäftsprozesse, Systeme und externen Abhängigkeiten.

Eine strukturierte Maßnahmensteuerung bildet diesen Prozess vollständig ab: 
Maßnahmen werden zentral erfasst, den relevanten Risiken, Systemen oder Prozessen zugeordnet und revisionssicher dokumentiert. 
So ist jederzeit nachvollziehbar, welche Maßnahmen umgesetzt, geprüft, angepasst oder noch offen sind — und welche Wirkung sie auf das Risiko- und Bedrohungsprofil haben. 

Vorteile:

• NIS2-konforme Maßnahmensteuerung: Technische und organisatorische Maßnahmen werden systematisch erfasst, priorisiert und umgesetzt — statt als unverbindliche Liste.
• Revisionssichere Dokumentation: Jede Änderung, Bewertung und Wirksamkeitsprüfung wird historisiert — nachweisbar für interne Audits und behördliche Prüfungen.
• Zuständigkeiten & Fristen integriert: Jede Maßnahme erhält Verantwortliche, Fälligkeitsdaten und Status; Eskalationen bei Verzögerung sind möglich und dokumentierbar.
• Wirksamkeitsnachweise: Maßnahmen werden nicht nur definiert, sondern regelmäßig auf Effektivität überprüft — inklusive Anpassungen und Lessons Learned.
• Direkte Verknüpfung zu Assets & Risiken: Maßnahmen hängen an realen Systemen, Prozessen oder Lieferketten — nicht abstrakt oder isoliert. 

3. Richtlinien und Verfahren auditfest verwalten

Die NIS2-Richtlinie verlangt eine strukturierte, nachvollziehbare und versionskontrollierte Dokumentation aller sicherheitsrelevanten Inhalte — von Richtlinien und organisatorischen Verfahren über Notfall- und Resilienzkonzepte bis hin zu Prüfungen, Maßnahmen und Wirksamkeitsnachweisen. 
Diese Dokumentationen müssen klaren Verantwortlichkeiten zugeordnet, regelmäßig aktualisiert und im Kontext der tatsächlichen Systeme, Prozesse und Risiken wirksam sein.

Eine zentrale Dokumentationsverwaltung erfüllt genau diese Anforderungen: 
Richtlinien, Prozesse, Arbeitsanweisungen, Vorfallsprotokolle und Auditunterlagen werden einheitlich geführt, versioniert und direkt mit Assets, Risiken, Maßnahmen und Verantwortlichen verknüpft. 
So entsteht eine konsistente und prüffähige Dokumentationsbasis, die den Anforderungen von NIS2-Audits und regulatorischen Nachweisen entspricht. 

Vorteile:

• Zentrale Ablage aller sicherheitsrelevanten Dokumente: Richtlinien, Notfallkonzepte, Betriebsverfahren, Arbeitsanweisungen, Protokolle und Prüfberichte an einem Ort.
• Versionierung & Historisierung: Änderungen werden revisionssicher dokumentiert — inklusive Verantwortlichen, Zeitstempeln und Begründungen.
• Nachweisführung für NIS2-Prüfungen: Entscheidungen, Maßnahmen, Vorfälle und Wirksamkeitsbewertungen sind vollständig nachvollziehbar.
• Verknüpfung mit Assets, Risiken & Maßnahmen: Dokumente existieren nicht isoliert, sondern im Kontext der tatsächlichen Infrastruktur, Prozesse und unternehmensweiten Verantwortlichkeiten. 

1. Import bestehender Assets 

In vielen Unternehmen liegen Daten zu Systemen, Anwendungen, Standorten, Verträgen oder Verantwortlichkeiten bereits vor. Sie existieren jedoch oft verteilt über Excel-Listen, interne Ablagen, Monitoring-Informationen oder frühere Inventarisierungen. Statt diese Informationen erneut manuell zu erfassen, können bestehende Strukturen übernommen und in eine zentrale Informationssicherheitsarchitektur integriert werden. 

Der Import ermöglicht eine geordnete Zusammenführung aller relevanten Assets – von technischen Komponenten über Cloud-Dienste und Prozessdaten bis hin zu Rollen und Zuständigkeiten. Im Zuge des Imports werden die Daten klassifiziert, Verantwortlichkeiten zugewiesen und Abhängigkeiten sichtbar gemacht. 

Auf dieser Basis lassen sich Schutzbedarfe bestimmen, Risiken bewerten und geeignete Maßnahmen nach ISO 27001 zuordnen. 

Vorteile: 

• Kein Neuanfang: vorhandene Informationen werden übernommen statt neu erfasst
• Transparenz: Assets, Verantwortlichkeiten und Abhängigkeiten werden klar sichtbar
• Struktur: Klassifizierung, Schutzbedarf und Risiko lassen sich unmittelbar zuordnen
• Nachvollziehbarkeit: Änderungen werden versioniert und auditfähig dokumentiert
• Zukunftssicherheit: Wiederholbare Importe vermeiden Datensilos und Doppelpflege 
  
  Bild zeigt: Import Ihrer bestehenden Assets aus Excel oder anderen Drittanbietertools 

3.  Sicherheitsvorfallmanagement 

Vorgänge und zugehörige Assets verknüpfen  

IT-Serviceprozesse effizient und transparent steuern. Mit der Integration von Ticket-Systemen in i-doit bündeln Sie alle Vorgänge an einem Ort. Von Störungsmeldungen über Change Requests bis hin zu Serviceanfragen. Durch die Verknüpfung mit Ihren Assets, Verträgen und Verantwortlichkeiten entsteht eine zentrale Informationsbasis für den gesamten IT-Betrieb. 

Tickets werden nachvollziehbar dokumentiert, automatisch klassifiziert und können anhand definierter Workflows priorisiert, delegiert und abgeschlossen werden. So entsteht ein reibungsloser Ablauf zwischen Technik, Organisation und Support. 

Vorteile: 

• Einheitliche Steuerung aller IT-Vorgänge
• Klare Zuständigkeiten und schnellere Reaktionszeiten
• Lückenlose Nachvollziehbarkeit von Änderungen und Maßnahmen
• Direkte Verbindung zu CMDB-Objekten und Dokumentation
• Grundlage für Kennzahlen, Auswertungen und Prozessoptimierungen  

Bild zeigt: Sicherheitsvorfälle können zentral erfasst und in die Risikobewertung einfließen 

4.  Lieferantenmanagement 

Externe Dienstleister, Hosting-Anbieter, Wartungspartner oder Cloud-Services sind oft direkt in kritische Geschäftsprozesse eingebunden. Ein strukturiertes Lieferantenmanagement ermöglicht es, deren Leistungen, Risiken, Verträge und Abhängigkeiten zentral abzubilden. Verantwortlichkeiten, Servicelevels, Sicherheitsanforderungen und Auswirkungen auf Informationswerte werden nachvollziehbar dokumentiert und mit den betroffenen Prozessen und Maßnahmen verknüpft. 

So behalten Unternehmen die Kontrolle darüber, welche Lieferanten auf welchen Informationswert zugreifen, welche Anforderungen gelten und ob vereinbarte Schutzmaßnahmen eingehalten werden

Vorteile: 

• Transparenz über alle sicherheitsrelevanten Lieferanten und Dienstleister
• Nachvollziehbare Zuordnung zu Assets, Prozessen, Standorten und Risiken
• Klare Verantwortlichkeiten, Zuständigkeiten und Servicelevels
• Vertragliche Sicherheitsanforderungen und Compliance-Vorgaben zentral dokumentierbar
• Nachweisbereit für Audits, Zertifizierungen und regulatorische Prüfungen  

Bild zeigt: Der Status von Systemen, Geräten und anderen Assets ist direkt in der IT-Dokumentation ersichtlich.  

5. Steuerung & Verteilung von Aufgaben und Zugriffen

Ein funktionierendes ISMS benötigt klare Zuständigkeiten. Wer Maßnahmen bewertet, wer Risiken freigibt, wer Richtlinien ändern darf oder wer nur lesen darf – all das entscheidet über Sicherheit, Effizienz und Auditfähigkeit. 

Durch fein granulierte Rollen- und Berechtigungskonzepte werden Verantwortlichkeiten eindeutig zugewiesen: Teams, Abteilungen und Personen erhalten genau den Zugriff, den sie für ihre Aufgaben benötigen. Sensible Informationen bleiben geschützt, operative Prozesse bleiben transparent und Nachweise werden nicht verwässert. 

Vorteile: 

• Klare Verantwortlichkeiten: Rollen und Aufgaben sind eindeutig zugeordnet – keine Grauzonen oder Doppelzuständigkeiten.
• Fein granulierte Zugriffssteuerung: Berechtigungen für Objekte, Kategorien und Prozesse lassen sich exakt definieren.
• Schutz sensibler Informationen: Kritische Daten sind nur für autorisierte Nutzer sichtbar und bearbeitbar.
• Auditfähigkeit durch Nachvollziehbarkeit: Jede Aktion lässt sich zeitlich, organisatorisch und personell zurückverfolgen.
• Reduzierte Fehler und Missverständnisse: Teams arbeiten nur mit den Informationen, die sie wirklich benötigen. 

Bild zeigt:  Auditprüfung mit direkten Verknüpfungen zu Normanforderungen, Maßnahmen und Evidenzen – vollständig nachvollziehbar und auditfähig.