Die EU-Richtlinie NIS-2 dominiert seit geraumer Zeit die Agenda von CIOs, CISOs und IT-Managern. Während in der Anfangsphase vor allem theoretische Konzepte, betroffene Sektoren und drohende Bußgelder im Fokus der Diskussion standen, ist in der Praxis mittlerweile eine ganz andere Realität eingekehrt: Die Phase der Umsetzung – und vor allem der Nachweise.
Audits stehen an, und Prüfer geben sich längst nicht mehr mit gut geschriebenen Sicherheitskonzepten zufrieden. Sie fordern Evidenzen. Sie wollen sehen, dass die definierten Sicherheitsmaßnahmen nicht nur auf dem Papier existieren, sondern lückenlos und kontinuierlich auf die gesamte IT-Infrastruktur angewendet werden.
In dieser heißen Phase stoßen viele Organisationen auf ein massives Problem, das sie bei der NIS-2-Vorbereitung oft übersehen haben: Das Fehlen historischer Asset-Daten.
Das Dilemma der Momentaufnahme
Um das Problem zu verstehen, müssen wir uns ansehen, wie die meisten Unternehmen ihre IT-Assets (Server, Software, Cloud-Dienste, Netzwerkelemente) heute dokumentieren. In der Regel geschieht dies über eine klassische Configuration Management Database (CMDB) oder, in weniger reifen Umgebungen, über tabellarische Listen.
Wenn ein IT-Administrator heute in diese Systeme blickt, sieht er im besten Fall den aktuellen Zustand der IT-Landschaft. Er sieht, welche Server gerade laufen, welche Softwareversion installiert ist und wer der Owner eines Systems ist. Das ist zweifellos wichtig für den täglichen IT-Betrieb (ITOM) und grundlegendes Asset Management (ITAM).
Für ein Compliance-Audit reicht diese “Momentaufnahme” jedoch nicht aus. Ein Auditor, der im Oktober ein Unternehmen im Rahmen von NIS-2 prüft, stellt Fragen wie:
Wer hier nur den heutigen Ist-Zustand seiner IT präsentieren kann, gerät in Erklärungsnot. Ohne eine lückenlose Historie der IT-Assets lassen sich Veränderungen, Trends und die kontinuierliche Einhaltung von Sicherheitsvorgaben schlichtweg nicht beweisen.
Compliance erfordert eine “Zeitmaschine” für die IT
Die Anforderung von NIS-2 (und vergleichbaren Frameworks wie ISO 27001 oder BSI IT-Grundschutz) lautet in der Praxis Continuous Compliance. Die Sicherheit der Informationssysteme muss dauerhaft gewährleistet und nachweisbar sein.
Das bedeutet, dass eine moderne IT-Dokumentation in der Lage sein muss, in der Zeit zurückzureisen. IT-Verantwortliche brauchen die Möglichkeit, die IT-Architektur eines beliebigen Datums in der Vergangenheit abzurufen und diese mit anderen Zeitpunkten zu vergleichen.
Nur mit historischen Daten lassen sich entscheidende Evidenzen generieren:
Warum klassische Tools scheitern
Der Versuch, diese Historisierung manuell abzubilden, ist zum Scheitern verurteilt. Die IT-Landschaften von heute sind viel zu dynamisch. Virtuelle Maschinen in der Cloud werden oft nur für Stunden oder Tage hochgefahren (Ephemeral Assets). Werden diese nicht automatisch erfasst und in einer Historie abgelegt, existieren sie für Prüfer im Nachhinein schlichtweg nicht – ein klarer Verstoß gegen die geforderte Transparenz.
Viele traditionelle CMDBs führen zwar Änderungs-Logs für einzelne Configuration Items, sind aber nicht darauf ausgelegt, die vollständige Struktur und alle Abhängigkeiten einer IT-Landschaft zu einem beliebigen vergangenen Zeitpunkt als kohärentes Gesamtbild zu rekonstruieren.
Der Weg zur automatisierten Evidenz-Generierung
Die Lösung für dieses Problem liegt in einer automatisierten, datengetriebenen Herangehensweise an das IT-Asset-Management. Anstatt sich auf manuelle Eingaben zu verlassen, müssen Daten aus bestehenden Systemen (Cloud-Provider, Virtualisierungsumgebungen, Netzwerk-Scanner) kontinuierlich und vollautomatisch zusammengeführt werden.
Entscheidend ist dabei, dass diese zentrale Plattform jede Veränderung am Zustand der IT – jedes hinzugefügte Asset, jede geänderte Konfiguration, jedes Update – mit einem Zeitstempel versieht und manipulationssicher speichert.
Genau auf diese Anforderung hat sich Qbilon spezialisiert. Mit unserer automatisierten Plattform schaffen wir eine Single Source of Truth, die nicht nur den aktuellen Zustand abbildet, sondern als “IT-Gedächtnis” fungiert. Durch die Speicherung historischer Asset-Daten ermöglicht Qbilon IT-Teams, auf Knopfdruck präzise Reports und Evidenzen für jeden beliebigen Zeitpunkt in der Vergangenheit zu generieren.
Fazit: Werfen Sie die Excel-Listen weg
NIS-2 zwingt Unternehmen dazu, ihre IT-Dokumentation radikal zu professionalisieren. Die Zeiten, in denen eine ungefähre Momentaufnahme der IT-Assets für ein Audit ausreichte, sind endgültig vorbei. Wer heute keine historischen Daten über seine IT-Infrastruktur vorweisen kann, läuft blind in das nächste Compliance-Audit.
Nutzen Sie den Druck durch NIS-2 als Chance: Verabschieden Sie sich von statischen Listen und investieren Sie in eine automatisierte, historisierte IT-Landschafts-Dokumentation. Das spart nicht nur wertvolle Ressourcen und Nerven vor dem nächsten Audit, sondern bildet auch das notwendige Fundament für echte Cybersicherheit.
