- Bedeutung
- Verbindliche Unternehmensrichtlinien
- Beispiele
- Passwort-, Zugriffs-, Backup-Richtlinie
- Bezug
- Kernbestandteil jedes ISMS
- Nutzen
- Klarheit und Nachweisbarkeit
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was sind Policies?
Policies (Richtlinien) legen verbindlich fest, wie im Unternehmen mit Sicherheit umzugehen ist – etwa Regeln für Passwörter, Zugriffe, mobile Geräte oder Backups. Sie übersetzen abstrakte Sicherheitsziele in klare, durchsetzbare Vorgaben für den Alltag. Während die Governance entscheidet, welche Ziele gelten, beschreiben Policies konkret, wie diese im Tagesgeschäft einzuhalten sind. Sie sind damit das schriftlich fixierte Bindeglied zwischen Führungsentscheidung und gelebter Praxis und bilden zusammen mit den technischen Controls das Fundament eines funktionierenden Sicherheitsmanagements.
Typische Policies
- Passwort- und Zugriffsrichtlinie
- Richtlinie für mobiles Arbeiten und BYOD
- Backup- und Datenschutzrichtlinie
- Umgang mit Vorfällen und Meldewegen
Gelebt statt abgeheftet
Eine Policy wirkt nur, wenn sie bekannt, verständlich, aktuell und durchgesetzt ist – ein abgeheftetes Dokument schützt nicht. Deshalb gehören Awareness-Schulungen, eine klare Zuständigkeit für die Pflege und eine regelmäßige Aktualisierung untrennbar dazu. Beispiel: Ein Online-Händler stellt nach einem Phishing-Vorfall fest, dass zwar eine Passwort-Policy existiert, diese aber niemand kennt: Erst die Kombination aus überarbeiteter Richtlinie, verpflichtender Schulung und technisch erzwungener MFA macht die Vorgabe wirksam und im Audit nachweisbar.
Policies und NIS2
Policies sind ein Kernbestandteil eines ISMS und unmittelbarer Ausdruck der Governance. Sie machen Sicherheitsanforderungen nachvollziehbar und prüfbar – und liefern damit zentrale Nachweise für die NIS2-Compliance. Weil NIS2 seit dem 06.12.2025 dokumentierte technische und organisatorische Maßnahmen verlangt, sind aktuelle, durchgesetzte Richtlinien oft das erste, was eine zuständige Behörde oder ein Auditor einsieht. Fehlende oder veraltete Policies sind daher ein konkretes Compliance-Risiko, das bis zu Bußgeldern führen kann. Beispiel: Ein betroffenes Energieunternehmen kann bei einer Prüfung seine NIS2-Maßnahmen vor allem dann belegen, wenn jede Richtlinie ein Freigabedatum, eine verantwortliche Stelle und einen Nachweis der letzten Überprüfung trägt; eine nur mündlich vereinbarte Regelung gilt im Audit als nicht dokumentiert und damit als nicht erfüllt.
Weiterführende Quelle: BSI – IT-Grundschutz
Häufige Fragen
Was sind Policies in der IT-Sicherheit?
Policies sind verbindliche Unternehmensrichtlinien, die festlegen, wie mit Sicherheit, Zugriffen, Prozessen und Verantwortlichkeiten umzugehen ist. Eine Policy übersetzt abstrakte Sicherheitsziele in konkrete, nachprüfbare Vorgaben für den Arbeitsalltag aller Beschäftigten. Typische Beispiele sind Passwort-, Zugriffs- und Backup-Richtlinien. Policies sind ein Kernbestandteil jedes Informationssicherheits-Managementsystems (ISMS) und das schriftliche Bindeglied zwischen Führungsentscheidung und gelebter Praxis.
Warum sind Policies für NIS2 wichtig?
Policies machen Sicherheitsanforderungen nachvollziehbar und liefern dokumentierte Nachweise für die NIS2-Compliance. Weil NIS2 seit dem 06.12.2025 in Kraft ist und dokumentierte technische und organisatorische Maßnahmen verlangt, zeigen aktuelle Richtlinien einer Behörde oder einem Auditor, dass Maßnahmen verbindlich geregelt sind. Fehlende oder veraltete Policies sind ein Compliance-Risiko, das Bußgelder bis 10 Mio. Euro oder 2 Prozent des Jahresumsatzes nach sich ziehen kann.
Was macht eine Policy wirksam?
Eine Policy wirkt nur, wenn sie bekannt, verständlich, aktuell und durchgesetzt ist – ein bloß abgeheftetes Dokument schützt nicht. Dazu gehören regelmäßige Awareness-Schulungen, eine klare Zuständigkeit für die Pflege sowie eine wiederkehrende Überprüfung und Aktualisierung der Inhalte. Jede Richtlinie sollte ein Freigabedatum, eine verantwortliche Stelle und einen Nachweis der letzten Prüfung tragen, denn nur mündlich vereinbarte Regeln gelten im Audit als nicht dokumentiert.