{"id":3895,"date":"2025-04-02T10:27:01","date_gmt":"2025-04-02T09:27:01","guid":{"rendered":"https:\/\/www.orbis.de\/blog\/?p=3895"},"modified":"2025-11-27T08:56:35","modified_gmt":"2025-11-27T07:56:35","slug":"regulatory-compliance-meistern","status":"publish","type":"post","link":"https:\/\/www.orbis-group.com\/de-de\/blog\/prozesse\/modern-work\/regulatory-compliance-meistern\/","title":{"rendered":"Regulatory Compliance meistern am Beispiel von NIS-2 \u2013 zwei hilfreiche Tools im \u00dcberblick"},"content":{"rendered":"\n

Stehen Sie auch vor der Herausforderung, rechtliche Vorgaben, interne Richtlinien und Datenschutzbestimmung effizient in Ihrem Unternehmen einzuhalten, ohne dabei die operative Effizienz zu beeintr\u00e4chtigen<\/strong>? Denn eine manuelle Verwaltung von Compliance-Anforderungen bringen einige Risiken wie Intransparenz, ineffiziente Prozesse und hohe Fehleranf\u00e4lligkeit mit sich. Vor allem in unserer zunehmend regulierten Gesch\u00e4ftsfeld ist Compliance <\/strong>kein einmaliges Projekt, sondern ein kontinuierlicher Prozess<\/strong> in Ihrem Unternehmen.<\/p>\n\n\n\n

Damit Sie diese Herausforderungen mit Bravour meistern k\u00f6nnen, stellen wir Ihnen in diesem Blogartikel leistungsstarke Tools<\/strong>, wie den Microsoft Purview Compliance Manager und den Nintex Process Manager vor. Denn gemeinsam erm\u00f6glichen Ihnen diese Tools eine effiziente, transparente und automatisierte Compliance-Strategie<\/strong>, die Ihr Unternehmen widerstandsf\u00e4higer und handlungsf\u00e4higer macht!<\/p>\n\n\n\n

Was bedeutet Regulatory Compliance?<\/h2>\n\n\n\n

Regulatory Compliance bedeutet allgemein, dass ein Unternehmen oder eine Organisation alle relevanten gesetzlichen, regulatorischen und normativen Vorgaben<\/strong> einh\u00e4lt. Im Hinblick auf die Cybersicherheit w\u00e4ren solche Compliance Richtlinien zum Beispiel die NIS-2 (Network and Information Security), die ISO 27001, das BSI Bundesamt f\u00fcr Sicherheit in der Informationstechnik) IT-Grundschutzgesetz und die DSGVO. Es geht darum, klare Sicherheitsabl\u00e4ufe zu definieren, Cyberrisiken fr\u00fchzeitig zu identifizieren und robuste Schutzma\u00dfnahmen zu implementieren.<\/p>\n\n\n\n

Die NIS-2 Richtlinie und die Unterschiede zur NIS<\/h2>\n\n\n\n

NIS-2 ist eine Richtlinie, die die Cybersicherheit in Europa verbessern soll. Eine derartige Regelung gibt es schon seit 2016 mit der NIS. Im Januar 2023 trat die NIS-2 in Kraft und es gab eine Frist bis zum 17.10.2024 f\u00fcr die Mitgliedsstaaten, diese in das nationale Recht zu \u00fcbernehmen (Quelle: GUTcert, NIS2-Umsetzungsgesetz verz\u00f6gert sich<\/a>).<\/p>\n\n\n\n

Nach aktuellen Informationen konnte Deutschland die Frist nicht einhalten, daher wurde die Umsetzung auf M\u00e4rz 2025 geplant. Laut Auskunft des BSI ist dieser nicht mehr zust\u00e4ndig f\u00fcr die Angelegenheiten mit NIS-2. Nun liegt diese Zust\u00e4ndigkeit in der Obhut des BMI (Bundesministeriums des Innern und f\u00fcr Heimat).<\/p>\n\n\n\n

Die NIS-2-Richtlinie markiert einen deutlichen Fortschritt in der EU-Cybersicherheitsstrategie<\/strong>. Davon sind insbesondere kritische Sektoren betroffen, wie Energie, Gesundheitswesen und digitale Infrastruktur. Sie fordert Unternehmen dazu auf, ihre Netzwerke und Informationssysteme abzusichern und Sicherheitsvorf\u00e4lle schnell zu melden. Es geht darum, Risiken zu minimieren und kritische Dienste verf\u00fcgbar zu halten.<\/p>\n\n\n\n

Die Unterschiede zwischen NIS und NIS-2<\/h3>\n\n\n\n
Aspekt<\/strong><\/td>NIS<\/strong><\/td>NIS-2<\/strong><\/td><\/tr>
Geltungsbereich<\/strong><\/td>Begrenzter Kreis von Sektoren<\/td>Sektoren Ausweitung auf viele weitere<\/td><\/tr>
Umsetzung<\/strong><\/td>Uneinheitlich<\/td>Einheitliche Anforderungen<\/td><\/tr>
Sicherheitsanforderung<\/strong><\/td>Allgemein gehalten<\/td>Pr\u00e4ziser und umfassender<\/td><\/tr>
Meldepflichten<\/strong><\/td>Weniger strenge Vorgaben<\/td>Strengere Fristen und Anforderungen<\/td><\/tr>
Sanktionen<\/strong><\/td>Schwach durchgesetzt<\/td>Hohe Bu\u00dfgelder m\u00f6glich<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Bei der NIS-2 hat sich zum einen der Geltungsbereich deutlich erweitert, d. h. es wurden mehr Sektoren einbezogen, wie zum Beispiel die Lebensmittelproduktion, Raumfahrt, Abfallwirtschaft, Postdienste usw. <\/p>\n\n\n\n

Zum anderen sind die Vorgaben und die Standards bzgl. der Umsetzung klarer formuliert. Es m\u00fcssen strengere Sicherheitsforderungen<\/strong> etabliert werden, wie z.B. die Schulungspflicht f\u00fcr leitenden Organe oder Sicherheitsbewertungen von Lieferketten. Die NIS-2 fordert zudem mehr Awareness und das Commitment<\/strong> des Top Managements. Die erh\u00f6hte Meldepflicht<\/strong> bedeutet, dass Ihr Unternehmen den Vorfall zuerst innerhalb von 24 h und Folgemeldungen nach 72 h und nach einem Monat mit verbindlichen Berichten einreichen muss. Bei nicht Einhaltung dieser Vorgaben drohen den Unternehmen hohe Strafen.<\/p>\n\n\n\n

Um alle relevanten gesetzlichen, regulatorischen und normativen Vorgabeneinzuhalten, erfordert es oft eine umfangreiche Planung der einzelnen Kernpunkte. Hinzu kommt die fehlende Expertise bei der Umsetzung dieser Punkte. Auch bei der Ermittlung der Zust\u00e4ndigkeiten und Vergabe der Aufgaben wird auf alte Methoden zur\u00fcckgegriffen. Oft schleichen sich an genau diesen Stellen Fehler ein, wenn es um die Nachverfolgbarkeit der umgesetzten Ma\u00dfnahmen geht. Es braucht ein einheitliches Tool um die Vorgaben einsch\u00e4tzbar, planbar, messbar und nachverfolgbar zu machen.<\/a><\/a><\/p>\n\n\n\n

Tool 1: Microsoft Purview Compliance Manager – Behalten Sie Ihre Compliance Integrationen im \u00dcberblick<\/h2>\n\n\n\n

Genau hier hilft der Microsoft Purview Compliance Manager. Der Compliance Manager bietet Ihnen eine Vielzahl an M\u00f6glichkeiten, um Ihre Compliance-Gesamtbewertung Ihres Tenants im Auge zu behalten<\/strong>. Sie k\u00f6nnen hier nicht nur die Vorgaben der NIS-2 Compliance gegen\u00fcberstellen, sondern auch weitere Standards abfragen. Wie in der folgenden Grafik abgebildet, erhalten Sie in der \u00dcbersicht einen \u00dcberblick \u00fcber Ihre Compliance-Gesamtbewertung.<\/p>\n\n\n\n

\"Microsoft<\/figure>\n\n\n\n

Microsoft bietet Bewertungen von bis zu 389 unterschiedlichen Vorgaben, wie bspw. NIS-2, an. Diese werden von Microsoft eingepflegt und regelm\u00e4\u00dfig aktualisiert. Somit m\u00fcssen Sie keinen weiteren Aufwand betreiben und sind auch f\u00fcr zuk\u00fcnftige Vorgaben bestens vorbereitet.<\/p>\n\n\n\n

\"Purview<\/figure>\n\n\n\n

Da das deutsche Umsetzungsgesetz zur NIS-2 aktuell noch verabschiedet werden muss, finden Sie dieses noch nicht im Compliance Manager. Wiederum orientiert sich dieses Umsetzungsgesetz an der im EU-Parlament entschiedenen Direktive.<\/p>\n\n\n\n

Somit k\u00f6nnen Sie schon jetzt die Umsetzungsma\u00dfnahmen im Compliance Manager angehen.<\/p>\n\n\n\n

In den Vorgaben bzw. Bestimmungen k\u00f6nnen Sie alle Steuerelemente der Direktive mit den entsprechenden Artikelreferenzen finden. Microsoft analysiert hier Ihren Tenant und gibt bei M\u00f6glichkeit von direkter Verbesserung innerhalb Ihrer Umgebung, eine erreichbare Punkteanzahl an. Diese Punkteanzahl kann je nach Gewichtung bzw. Aufwand variieren.<\/p>\n\n\n\n

\"NIS2<\/figure>\n\n\n\n

Um eine genaue Einsch\u00e4tzung der offenen Verbesserungsaktionen zu bekommen, bietet der Compliance Manager<\/strong> eine Assessment Funktion an.<\/p>\n\n\n\n

\"Bewertungen<\/figure>\n\n\n\n

Sie k\u00f6nnen hier gezielt die von Ihnen gew\u00fcnschte Richtlinie ausw\u00e4hlen, die zu bewertende Gruppe und deren verkn\u00fcpften Dienste. Sobald das Assessment durchgelaufen ist, bekommen Sie eine genau \u00dcbersicht \u00fcber Ihren Umsetzungsstatus. Hier k\u00f6nnen Sie den Umsetzungsstatus f\u00fcr Ihren ausgew\u00e4hlten Dienst und deren Hauptverbesserungsaktionen einsehen. Viele Verbesserungsaktionen werden durch die Build-In Features der Microsoft 365 <\/a>Umgebung bereits behandelt. Somit werden Verbesserungsaktionen, wie beispielsweise das Auditieren der Benutzeraktionen durch die Sign-In Logs im Entra ID \u00fcberwacht.<\/p>\n\n\n\n

Die noch zu behandelnden Aktionen k\u00f6nnen nun mithilfe des Assessments gezielt behandelt werden.<\/p>\n\n\n\n

\"NIS2<\/figure>\n\n\n\n

Die Aktionen k\u00f6nnen Sie den zust\u00e4ndigen Personen zuweisen, die anschlie\u00dfend eine Informationsmail \u00fcber die zugewiesenen Aufgaben erhalten. Somit k\u00f6nnen Sie eine klare Delegierung der Verbesserungsaktionen gew\u00e4hrleisten.<\/p>\n\n\n\n

\"Verbesserungsaktionen\"<\/figure>\n\n\n\n

In der Aktion bekommen Sie eine genau Beschreibung zur Umsetzung und Vorgehensweise. Die Verlinkungen zu den passenden Portalen (z. B. Security<\/a> Portal, Entra ID oder Purview Portal) und Learn Pages sind auch gegeben. Alle zugeh\u00f6rigen Reports, Dokumente und Hyperlinks k\u00f6nnen Sie zentral im \u201eBeweis-Tab\u201c speichern. Der Status zur Implementierung der Aufgabe wird regelm\u00e4\u00dfig gepflegt, um eine Nachverfolgbarkeit zu gew\u00e4hrleisten.<\/p>\n\n\n\n

\"Bearbeitung<\/figure>\n\n\n\n

In unserem Beispiel wurde die Verbesserungsaktion zur automatischen Alarmierung bearbeitet. Wir haben Regularien und Tools, mit denen wir einzelne Komponenten mithilfe des Compliance Managers in unsere bestehende Systemlandschaft etablieren. Hierbei handelte es sich um eine technische Aktion. Jedoch sind nicht alle Szenarien technisch umsetzbar. Denken wir nun ein bisschen weiter bspw. wie der Umgang im Falle einer Vorfallsmeldung sein sollte? Wie richten wir unsere Kernprozesse so um, damit sie der Compliance entsprechen? Oft werden Prozesse hierbei vernachl\u00e4ssigt und nicht ordnungsm\u00e4\u00dfig durchgef\u00fchrt.<\/p>\n\n\n\n

Mit Tools wie dem Nintex Process Manager k\u00f6nnen Sie Prozesse interaktiver, planbarer und nachverfolgbarer technisch umsetzten.<\/p>\n\n\n\n

Tool 2: Nintex Process Manager – Prozesse modellieren, automatisieren und optimieren<\/h2>\n\n\n\n

Mithilfe von Automatisierungsl\u00f6sungen wird der Fokus von einer starren Compliance hin zu einem dynamischen Ansatz verlagert, bei dem digitale Souver\u00e4nit\u00e4t<\/strong> und individuelle Verantwortung im Mittelpunkt stehen. Jeder Einzelne tr\u00e4gt aktiv dazu bei, Compliance erfolgreich zu gestalten und somit eine selbstbestimmte, sichere und regelkonforme digitale Umgebung<\/strong> zu f\u00f6rdern.<\/p>\n\n\n\n

Wie Sie bereits gesehen haben, begleitet der Compliance Manager Schritt f\u00fcr Schritt die Umsetzung der EU-Richtlinien im Tool direkt in die Systeme. In diesem Part wird ein Use Case behandelt, der eine \u00fcbergreifende L\u00f6sung f\u00fcr Ihre Prozesslandschaft bietet. Abstrakte Szenarien wie \u201eWie melde ich einen Vorfall und pflege diesen an einer zentralen Stelle?\u201c und damit ankn\u00fcpfend \u201eWas f\u00fcr ein Prozess steckt hinter der Vorfallsmeldung?\u201c. Diese Prozesse m\u00fcssen effektiv, interaktiv, diszipliniert und effizient reibungslos funktionieren.<\/p>\n\n\n\n

Der Nintex Process Manager ist das Werkzeug, um ein Prozessmodell f\u00fcr die NIS-2 Compliance-Richtlinie zu erstellen. Es ist ein cloudbasiertes Prozessmanagement-Tool<\/strong>, dass Ihrem Unternehmen hilft, Ihre Prozesse zu visualisieren, automatisieren und optimieren. Es ist mehr als nur eine einfache Modellierung der Prozesse.<\/em> Es involviert Experten, etabliert den Prozess als Kommunikationsgrundlage und begleitet das Aussch\u00f6pfungspotenzial Ihrer vorhandenen Kerngesch\u00e4fte.<\/p>\n\n\n\n

Was versteht man unter Prozessmodellierung und welche Features bietet Nintex?<\/h3>\n\n\n\n

Was tun Sie, wenn Sie ein Ziel haben und irgendwohin m\u00fcssen? Sie \u00f6ffnen den Routenplaner, sehen die Strecke im \u00dcberblick und schauen welche Strecke besser ist und wo Baustellen sind, oder? Genau das ist der Plan der Prozessmodellierung<\/strong>. Sie ist eine Mischung aus Routenplaner und Modellierung der Architektur.<\/p>\n\n\n\n

Mit dem Nintex Process Manager kann das Prozessmodell mit allen essenziellen Rahmenbedingungen ausgestattet werden. In folgende Rubriken k\u00f6nnen Konfigurationen\/Einrichtungen vorgenommen werden:<\/p>\n\n\n\n