Zum Inhalt

NIS 2 – Geltungsbereich (Scope)🔗

Der Geltungsbereich definiert, welche Teile deiner Organisation im Rahmen von NIS 2 betrachtet werden. Er entspricht funktional dem Informationsverbund im IT-Grundschutz sowie den Scopes in ISO 27001 und BCM. IT-Grundschutz – Informationsverbund

Nur Objekte, die du mit einem NIS-2-Scope verknüpfst, tauchen später im:

  • NIS 2 Risikomanagement und
  • NIS 2 Audit-Management

auf.

Typische NIS 2 Scopes🔗

Beispiele für Scopes im NIS-2-Kontext:

  • „NIS2 – Kritische IT-Services für Kunden“
  • „NIS2 – Rechenzentrumsbetrieb Standort X“
  • „NIS2 – Zentrale Plattformdienste (z. B. Identity & Access, Netzwerk, Storage)“
  • „NIS2 – Produktions-IT“

Je Scope kannst du in der Beschreibung z. B. dokumentieren:

  • welche Einrichtung (wesentlich / wichtig) betrachtet wird,
  • welche Standorte umfasst sind,
  • welche regulatorischen Anforderungen hier relevant sind.

Scope anlegen🔗

  1. Öffne das NIS 2 Modul.
  2. Wähle die Kachel Geltungsbereich.
  3. Klicke auf + Scope hinzufügen (Plus-Icon oder Drei-Punkte-Menü).
  4. Erfasse:
  5. Bezeichnung (z. B. „NIS2 – Security 2025“),
  6. Beschreibung (kurze textliche Abgrenzung),
  7. optional eine formale Abgrenzung (z. B. Standorte, Systeme),
  8. fachliche Relevanz (NIS 2 – und ggf. zusätzlich ISO 27001, IT-Grundschutz, BCM).

Über die fachliche Relevanz kannst du denselben Scope auch in anderen Modulen weiterverwenden, ohne ihn neu anlegen zu müssen.

Prozesse und Assets mit dem Scope verknüpfen🔗

Nach dem Anlegen ist der Scope zunächst leer. Jetzt verknüpfst du die Objekte aus deiner Organisation, die im NIS-2-Kontext betrachtet werden sollen:

  • Prozesse
  • Infrastruktur
  • Hardware
  • Software / Anwendungen
  • Dienstleister / Service Provider
  • Personal
  • Daten / Informationsverbünde

Vorgehen (Beispiel Prozesse):

  1. Öffne den gewünschten Scope.
  2. Wechsle in den Bereich Prozesse.
  3. Klicke auf Prozesse verbinden.
  4. In der Liste werden alle Prozesse angezeigt, die noch nicht mit diesem Scope verknüpft sind.
  5. Wähle einen oder mehrere Prozesse aus und bestätige die Auswahl.

Analog gehst du für Infrastruktur, Hardware, Software, Dienstleister und Daten vor.

Mehrfachverknüpfungen

Ein Prozess oder Asset kann gleichzeitig in mehreren Scopes vorkommen, z. B. in einem ISO-27001-Scope und einem NIS-2-Scope. So lassen sich Überschneidungen zwischen Normen sinnvoll abbilden.

Nutzung von Abhängigkeiten🔗

Wenn du in der Inventarisierung bereits Abhängigkeiten zwischen Prozessen, Assets und Dienstleistern gepflegt hast, profitierst du im NIS-2-Scope davon:

  • Du siehst, welche Ressourcen für einen NIS-2-kritischen Prozess notwendig sind.
  • Du erkennst mögliche Single Points of Failure.
  • Später im Risikomanagement kannst du Risiken und Maßnahmen gezielt auf kritische Abhängigkeiten fokussieren.

Diese Abhängigkeiten werden u. a. im IT-Grundschutz und BCM genutzt – NIS 2 baut darauf auf.

Auswirkungen auf Risikomanagement und Audits🔗

Der definierte Scope steuert:

  • welche Assets und Prozesse in der NIS-2-Risikoanalyse bewertet werden,
  • auf welche Objekte sich Maßnahmen und Feststellungen beziehen,
  • welche Elemente bei NIS-2-Audits als Auditgegenstände zur Verfügung stehen.

Wenn du später neue Prozesse oder Systeme in den NIS-2-Geltungsbereich aufnehmen willst, musst du sie lediglich:

  1. in der Organisation / Inventarisierung anlegen und
  2. mit dem entsprechenden NIS-2-Scope verknüpfen.

Alles Weitere (Risiko, Maßnahmen, Audits) baut automatisch darauf auf.