NIS-2 gilt. Wer betroffen ist, hat konkrete Pflichten. Und wer einen SOC einsetzt oder plant, fragt sich zu Recht: Was deckt das eigentlich ab?
Dieser Artikel zeigt, wo ein SOC wirklich hilft und wo er Sie allein lässt.
Hinweis vorab: Dieser Artikel ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung Ihrer NIS-2-Pflichten wenden Sie sich bitte an einen spezialisierten Anwalt oder Compliance-Berater.
Sind Sie überhaupt betroffen? Ein kurzer Check
Bevor wir über SOC und NIS-2 reden, lohnt sich eine kurze Standortbestimmung. Das Gesetz unterscheidet zwischen zwei Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen.
Vereinfacht gilt:
Wenn Sie jetzt innerlich „ähm“ sagen, ist das ein guter Hinweis, dass die Registrierungsfrage bei Ihnen noch offen ist. Das sollten Sie klären, bevor Sie sich mit SOC-Fragen beschäftigen.
Das BSI stellt ein Online-Tool zur Verfügung, mit dem Sie Ihre Betroffenheit prüfen können: https://betroffenheitspruefung-nis-2.bsi.de/
Die zehn NIS-2-Kernmaßnahmen (und was ein SOC jeweils leisten kann)
§30 BSIG definiert zehn Maßnahmenbereiche, die betroffene Unternehmen umsetzen müssen. Ich gehe sie hier durch und ordne jeweils ein, was ein SOC dazu beiträgt, und was nicht.
Risikoanalyse und Informationssicherheitsrichtlinien
Ein SOC liefert hier eine wertvolle Datenbasis: Er zeigt, welche Angriffsvektoren in Ihrer Umgebung aktiv genutzt werden, welche Systeme besonders exponiert sind und wo Auffälligkeiten auftreten.
Die eigentliche Risikobewertung und die Ableitung von Richtlinien bleiben aber Ihre Aufgabe. Ein SOC informiert, er entscheidet nicht.
SOC-Beitrag: teilweise.
Incident Management
Das ist das Kerngebiet eines SOC. Erkennung, Klassifizierung, Eskalation und Erstreaktion bei Sicherheitsvorfällen, das ist genau das, wofür ein SOC gebaut ist.
Vorausgesetzt, die Eskalationswege sind vorher klar definiert. Ohne das läuft auch der beste SOC ins Leere.
SOC-Beitrag: hoch.
Meldepflicht: 24 Stunden und 72 Stunden
Das ist vermutlich die NIS-2-Anforderung, die ohne systematisches Monitoring schlicht nicht erfüllbar ist. 24 Stunden nach einem erheblichen Vorfall muss eine Erstmeldung beim BSI vorliegen. 72 Stunden später eine qualifizierte Meldung mit Bewertung und Maßnahmen.
Ohne ein System, das Vorfälle überhaupt erkennt, fängt die Uhr gar nicht an zu laufen. Oder schlimmer: Sie läuft, aber niemand merkt es. Ein SOC ist hier die praktisch einzige realistische Lösung für Mittelständler, die kein internes 24/7-Team aufbauen können.
SOC-Beitrag: entscheidend.
Business Continuity Management
Ein SOC unterstützt, indem er frühzeitig auf Vorfälle hinweist, die die Verfügbarkeit von Systemen gefährden. Die eigentliche Notfall- und Wiederanlaufplanung, also wer macht was wenn nichts mehr geht, ist aber eine organisatorische Aufgabe. Die liegt bei Ihnen.
SOC-Beitrag: unterstützend.
Sicherheit der Lieferkette
NIS-2 verpflichtet Sie, auch die Sicherheit Ihrer Dienstleister und Lieferanten im Blick zu behalten. Ein SOC kann das Monitoring auf externe Schnittstellen ausweiten, aber eine vollständige Lieferantenbewertung kann er nicht ersetzen. Dafür braucht es Prozesse und Vertragswerk.
SOC-Beitrag: teilweise.
Kryptografie und Multi-Faktor-Authentifizierung
Das ist kein SOC-Thema im engeren Sinne. Verschlüsselung und MFA sind technische Grundlagen, die Sie unabhängig vom SOC umsetzen müssen. Allerdings: Wer kein MFA hat, macht es Angreifern deutlich leichter und dem SOC deutlich schwerer, saubere Signaturen von Angriffen zu erkennen.
SOC-Beitrag: keiner, aber Voraussetzung für einen sinnvollen SOC.
Schulungspflicht der Geschäftsführung
NIS-2 schreibt explizit vor, dass die Geschäftsführung regelmäßig zu Cybersicherheitsthemen geschult werden muss. Das kann kein SOC übernehmen. Das ist eine Governance-Aufgabe.
SOC-Beitrag: keiner.
Sicherheit beim Erwerb und Betrieb von IT-Systemen
Sichere Beschaffungsprozesse, Patchmanagement, Konfigurationsmanagement: Ein SOC kann hier Schwachstellen sichtbar machen und auf Handlungsbedarf hinweisen. Umsetzen müssen Sie es selbst oder mit Ihrem IT-Dienstleister.
SOC-Beitrag: teilweise.
Zugriffskontrolle und Asset-Management
Ein SOC arbeitet besser, wenn klare Asset-Inventare und Zugriffsrechte vorhanden sind. Er kann auch Auffälligkeiten bei Zugriffsmustern erkennen. Die eigentliche Zugriffsverwaltung ist aber kein SOC-Thema.
SOC-Beitrag: unterstützend.
Einsatz von Kryptografie zur Übertragungssicherheit
Ähnlich wie bei MFA: Das ist eine technische Grundlage, die Sie unabhängig implementieren. Ein SOC kann erkennen, wenn Kommunikation unverschlüsselt läuft, aber er baut die Verschlüsselung nicht auf.
SOC-Beitrag: keiner direkt, aber Monitoring möglich.
Was ein SOC nicht ersetzt
Ich sage es direkt, damit keine falschen Erwartungen entstehen.
Ein SOC ersetzt nicht:
Das klingt vielleicht ernüchternd. Ist es aber nicht. Ein SOC ist trotzdem ein zentraler Baustein, weil er die Anforderungen abdeckt, die ohne ihn am schwersten zu erfüllen sind.
Wie das in der Praxis aussieht
Ein Maschinenbauer mit 180 Mitarbeitenden, NIS-2-betroffen als wichtige Einrichtung, hat sich Folgendes aufgebaut: BSI-Registrierung erledigt, ISO 27001 im Aufbau, GF-Schulung einmal jährlich eingeplant. Und als zentrales Überwachungsinstrument einen SOC, der 24/7 läuft, Alarme bewertet und die Erstmeldung bei einem Vorfall innerhalb der 24-Stunden-Frist vorbereitet.
Das ist kein perfekter NIS-2-Fahrplan. Aber es ist ein realistischer. Und er zeigt, wie SOC und die anderen Maßnahmen ineinandergreifen, anstatt sich zu ersetzen.
Fazit
Ein SOC ist für NIS-2 kein Pflichtbestandteil, aber für die Meldepflicht und das Incident Management kaum ersetzbar. Wer die Anforderungen ernst nimmt, wird ihn früher oder später brauchen. Fangen Sie mit der BSI-Registrierung an. Dann mit dem Incident Management.
Dieser Artikel ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung Ihrer NIS-2-Pflichten empfehlen wir das Gespräch mit einem spezialisierten Anwalt. Wenn Sie wissen möchten, welche NIS-2-Anforderungen ein SOC bei Ihnen konkret abdecken kann, sprechen Sie uns gerne an.

Der Artikel ist von
IT-Security Team
Unser IT-Security-Team schützt Mittelständler vor realen Bedrohungen und weiß, welche Maßnahmen im Alltag funktionieren. Namentlich bleiben unsere Security-Kollegen lieber im Hintergrund. ;)
FAQ
Ist ein SOC unter NIS-2 gesetzlich vorgeschrieben?
Nein, NIS-2 schreibt keinen SOC vor. Es schreibt Maßnahmen vor, zum Beispiel Incident Management und Meldepflichten, die ohne ein systematisches Monitoring jedoch kaum erfüllbar sind. Ein SOC ist damit keine Pflicht im Wortsinne, aber für viele Anforderungen die praktisch sinnvollste Umsetzungsoption.
Reicht ISO 27001 für NIS-2-Compliance?
Nein, nicht vollständig. ISO 27001 deckt viele NIS-2-Anforderungen ab und ist eine solide Grundlage. Aber die BSI-Registrierungspflicht, die 24-Stunden-Meldepflicht bei Vorfällen und die Schulungspflicht der Geschäftsführung sind NIS-2-spezifisch und nicht durch ISO 27001 abgedeckt.
Wer haftet, wenn ein Sicherheitsvorfall nicht rechtzeitig gemeldet wird?
Die Geschäftsführung. §38 BSIG macht die Unternehmensleitung persönlich verantwortlich für die Umsetzung der NIS-2-Anforderungen. Diese Haftung ist nicht delegierbar, also auch nicht an den IT-Leiter oder einen externen Dienstleister.
Kann ein SOC die 24-Stunden-Meldepflicht sicherstellen?
Ja, wenn die Prozesse stimmen. Ein SOC erkennt Vorfälle und bereitet die nötigen Informationen für die BSI-Meldung vor. Voraussetzung ist, dass Eskalationswege und Zuständigkeiten vorher schriftlich festgelegt wurden. Der SOC meldet nicht selbst, er befähigt Sie, fristgerecht zu melden.
Was kostet ein NIS-2-Verstoß konkret?
Der Bußgeldrahmen nach BSIG ist erheblich: Für besonders wichtige Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung. Die genauen Konsequenzen im Einzelfall hängen von der Schwere des Verstoßes ab.





