NIS2-Anforderungen nach Art. 21

Überblick: NIS2-Anforderungen nach Art. 21

Die NIS2-Richtlinie (EU 2022/2555) verfolgt ein klares Ziel: ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union. Artikel 21 bildet das Herzstück der Richtlinie und definiert zehn konkrete Risikomanagementmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Diese Maßnahmen orientieren sich am All-Gefahren-Ansatz und decken technische, organisatorische und personelle Aspekte der Informationssicherheit ab.

Im Gegensatz zur ursprünglichen NIS-Richtlinie von 2016 lässt NIS2 deutlich weniger Interpretationsspielraum. Die Anforderungen sind konkreter formuliert und gelten für wesentlich mehr Unternehmen. In Deutschland wird die Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) geregelt, das die EU-Vorgaben in nationales Recht überführt.

Im Folgenden erklären wir jede der zehn Maßnahmen aus Art. 21 im Detail und zeigen dir, was sie in der Praxis bedeuten.

1. Risikoanalyse und Sicherheitskonzepte

Die Grundlage jeder NIS2-konformen Sicherheitsstrategie ist eine systematische Risikoanalyse. Du musst die für deine Einrichtung relevanten Risiken identifizieren, bewerten und dokumentieren. Das betrifft nicht nur IT-Systeme, sondern auch Geschäftsprozesse, Lieferketten und physische Infrastruktur.

Auf Basis dieser Analyse erstellst du ein umfassendes Sicherheitskonzept, das Schutzziele definiert, Verantwortlichkeiten zuweist und konkrete Maßnahmen ableitet. Die Risikoanalyse ist kein einmaliger Vorgang, sondern muss regelmäßig aktualisiert werden, insbesondere bei Änderungen der Bedrohungslage oder der Unternehmensstruktur.

Praxis-Tipp: Nutze anerkannte Methoden wie ISO 27005 oder den BSI-Standard 200-3 als Rahmenwerk. Ein GRC-Tool wie Kopexa kann die Risikoanalyse strukturieren und die Dokumentation automatisieren.

2. Bewältigung von Sicherheitsvorfällen

NIS2 stellt strenge Anforderungen an den Umgang mit Sicherheitsvorfällen. Du brauchst einen dokumentierten Incident-Response-Prozess, der Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung abdeckt. Besonders wichtig sind die gestaffelten Meldepflichten an das BSI:

• 24hFrühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls musst du eine erste Meldung an das BSI abgeben. Diese enthält eine vorläufige Einschätzung, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückgeht und ob grenzüberschreitende Auswirkungen möglich sind.
• 72hVorfallmeldung: Innerhalb von 72 Stunden folgt eine detailliertere Meldung mit einer ersten Bewertung des Vorfalls, seinem Schweregrad, seinen Auswirkungen und, sofern verfügbar, den Kompromittierungsindikatoren (IoCs).
• 30 TageAbschlussbericht: Spätestens einen Monat nach der Vorfallmeldung reichst du einen umfassenden Abschlussbericht ein. Dieser enthält eine detaillierte Beschreibung des Vorfalls, die Ursachenanalyse, die ergriffenen Abhilfemaßnahmen und Empfehlungen zur Vermeidung ähnlicher Vorfälle.

Diese Fristen sind ambitioniert. Ohne vorbereitete Prozesse und Vorlagen wirst du sie kaum einhalten können. Bereite Melde-Templates vor und übe den Ablauf regelmäßig. Mehr zu den Konsequenzen bei Nichteinhaltung findest du auf unserer Seite zu NIS2-Strafen und Sanktionen.

3. Business Continuity und Krisenmanagement

Du musst sicherstellen, dass dein Unternehmen auch im Krisenfall handlungsfähig bleibt. Dazu gehören Business-Continuity-Pläne, die definieren, wie kritische Geschäftsprozesse bei einem Ausfall aufrechterhalten oder schnellstmöglich wiederhergestellt werden. Die Pläne müssen regelmäßig getestet und aktualisiert werden.

Konkret umfasst das: Backup-Strategien mit definierten RPO/RTO-Werten, Disaster-Recovery-Pläne für kritische Systeme, Krisenmanagement-Strukturen mit klaren Entscheidungswegen sowie regelmäßige Notfallübungen. Das BSI erwartet, dass du nachweisen kannst, dass deine Pläne in der Praxis funktionieren.

Die Business-Impact-Analyse (BIA) bildet die Grundlage: Welche Geschäftsprozesse sind kritisch? Wie lange darf ein Ausfall maximal dauern? Ab welchem Punkt entstehen irreversible Schäden? Auf Basis dieser Analyse priorisierst du deine Wiederherstellungsmaßnahmen.

4. Sicherheit der Lieferkette

Die Lieferkettensicherheit ist eine der weitreichendsten Neuerungen von NIS2. Du musst die Cybersicherheit deiner unmittelbaren Zulieferer und Dienstleister bewerten und in deine eigene Risikoanalyse einbeziehen. Das betrifft sowohl technische Lieferanten (Cloud-Provider, Software-Hersteller) als auch nicht-technische Dienstleister.

In der Praxis bedeutet das: Du brauchst einen strukturierten Prozess zur Lieferantenbewertung, der Sicherheitsanforderungen in Verträgen verankert, regelmäßige Überprüfungen vorsieht und ein Monitoring der Lieferantenlandschaft gewährleistet. Besonders kritische Zulieferer sollten Nachweise über eigene Sicherheitsmaßnahmen vorlegen, etwa ISO-27001-Zertifizierungen oder SOC-2-Berichte.

Tipp: Beginne mit einer Klassifizierung deiner Lieferanten nach Kritikalität. Nicht jeder Lieferant benötigt dieselbe Prüftiefe. Konzentriere dich zunächst auf Lieferanten, die Zugang zu deinen Systemen oder sensiblen Daten haben.

5. Sicherheit bei Erwerb, Entwicklung und Wartung

NIS2 fordert, dass Sicherheit von Anfang an in die Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen integriert wird. Das umfasst sowohl die Bewertung von Drittanbietersoftware als auch die sichere Entwicklung eigener Anwendungen.

Für die Softwareentwicklung bedeutet das einen Secure-Development-Lifecycle (SDLC) mit Code-Reviews, statischer Codeanalyse und Penetrationstests. Bei der Beschaffung sollten Sicherheitsanforderungen Teil der Ausschreibungskriterien sein. Für die Wartung sind Patch-Management-Prozesse erforderlich, die sicherstellen, dass bekannte Schwachstellen zeitnah geschlossen werden.

Schwachstellenmanagement spielt hier eine zentrale Rolle: Du musst in der Lage sein, Schwachstellen in deinen Systemen systematisch zu erkennen, zu priorisieren und zu beheben. Dazu gehört auch die Teilnahme an CVE-Feeds und die Nutzung von Vulnerability-Scanning-Tools.

6. Bewertung der Wirksamkeit von Maßnahmen

Es reicht nicht aus, Sicherheitsmaßnahmen einzuführen. Du musst deren Wirksamkeit regelmäßig überprüfen und nachweisen. NIS2 fordert explizit Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.

In der Praxis umfasst das: interne Audits, Penetrationstests, Tabletop-Übungen, KPI-Tracking (z. B. Mean Time to Detect, Mean Time to Respond) und Management-Reviews. Die Ergebnisse fließen in die kontinuierliche Verbesserung deines Sicherheitsniveaus ein.

Dokumentiere deine Überprüfungen sorgfältig. Das BSI kann im Rahmen von Aufsichtsmaßnahmen Nachweise über die Wirksamkeit deiner Maßnahmen verlangen. Ein GRC-Tool unterstützt dich dabei, alle Prüfungen nachvollziehbar zu erfassen. Mehr dazu in unserer NIS2-Checkliste.

7. Cyberhygiene und Schulungen

Die menschliche Komponente ist oft das schwächste Glied in der Sicherheitskette. NIS2 verlangt grundlegende Verfahren der Cyberhygiene und regelmäßige Cybersicherheitsschulungen für alle Mitarbeitenden. Besonders bemerkenswert: Art. 20 verpflichtet ausdrücklich auch die Geschäftsleitung zur Teilnahme an Schulungen.

Cyberhygiene umfasst dabei grundlegende Praktiken wie sichere Passwortrichtlinien, regelmäßige Software-Updates, Phishing-Awareness und den sicheren Umgang mit mobilen Geräten. Schulungen sollten rollenspezifisch sein: IT-Administratoren brauchen tiefergehende technische Trainings als Mitarbeitende in der Buchhaltung.

Empfehlung: Führe mindestens einmal jährlich verpflichtende Security-Awareness-Trainings durch und ergänze sie durch Phishing-Simulationen, um die Wirksamkeit zu messen. Dokumentiere Teilnahmen und Ergebnisse als Compliance-Nachweis.

8. Kryptografie

NIS2 fordert Konzepte und Verfahren für den Einsatz von Kryptografie und, wo relevant, von Verschlüsselung. Du musst sicherstellen, dass sensible Daten sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) angemessen verschlüsselt sind.

Das umfasst die Auswahl geeigneter Verschlüsselungsalgorithmen (z. B. AES-256, RSA-2048), Schlüsselmanagement-Verfahren, TLS-Konfigurationen und die Verschlüsselung von Datenbanken und Backups. Auch die Zertifikatsverwaltung gehört dazu: Abgelaufene Zertifikate sind ein häufiges Sicherheitsrisiko.

Praxis-Tipp: Erstelle eine Kryptografie-Richtlinie, die festlegt, welche Algorithmen und Schlüssellängen in deinem Unternehmen zugelassen sind. Plane auch die Migration auf quantensichere Verfahren ein, sobald diese standardisiert werden.

9. Sicherheit des Personals und Zugangskontrollen

NIS2 verlangt Maßnahmen zur Personalsicherheit, Konzepte für die Zugriffskontrolle und ein strukturiertes Asset-Management. Du musst sicherstellen, dass nur autorisierte Personen auf sensible Systeme und Daten zugreifen können, und zwar nach dem Least-Privilege-Prinzip.

Konkret umfasst das: ein zentrales Identity- und Access-Management-System, rollenbasierte Zugriffsrechte (RBAC), regelmäßige Überprüfung von Berechtigungen (Access Reviews), Prozesse für Onboarding/Offboarding und die Verwaltung privilegierter Zugänge (Privileged Access Management).

Auch die physische Zugangskon­trolle zählt dazu: Wer hat Zugang zu Serverräumen, Rechenzentren und anderen kritischen Bereichen? Führe ein Verzeichnis aller Assets und ordne jedem Asset einen Verantwortlichen zu.

10. Multi-Faktor-Authentifizierung

Die letzte Maßnahme aus Art. 21 fordert den Einsatz von Multi-Faktor-Authentifizierung (MFA) oder kontinuierlicher Authentifizierung. MFA ist eine der wirksamsten Maßnahmen gegen Credential-basierte Angriffe und sollte überall dort eingesetzt werden, wo auf kritische Systeme oder sensible Daten zugegriffen wird.

NIS2 nennt darüber hinaus gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme. Das bedeutet: Du musst auch für den Fall vorsorgen, dass dein primäres Kommunikationssystem kompromittiert ist. Ein Out-of-Band-Kanal für die Krisenkommunikation ist Pflicht.

Setze MFA mindestens für VPN-Zugänge, Admin-Konten, Cloud-Management-Konsolen und E-Mail-Systeme um. Bevorzuge dabei phishing-resistente Verfahren wie FIDO2/WebAuthn gegenüber SMS-basierten Codes.

Unterschiede: Wichtige vs. besonders wichtige Einrichtungen

NIS2 unterscheidet zwischen zwei Kategorien betroffener Einrichtungen. Während die Sicherheitsanforderungen aus Art. 21 für beide Kategorien identisch sind, unterscheiden sich die Aufsichtsregelungen und Sanktionen erheblich.

Unabhängig von der Kategorie: Die zehn Maßnahmen aus Art. 21 gelten für alle betroffenen Einrichtungen gleichermaßen. Der Unterschied liegt primär in der Aufsichtsintensität und der Höhe der Sanktionen. Details zu den Bußgeldern findest du auf unserer Seite zu NIS2-Strafen und Sanktionen.

Du bist dir unsicher, ob dein Unternehmen betroffen ist? Nutze die Betroffenheitsprüfung auf unserer NIS2-Übersichtsseite oder arbeite die Schritte in unserer NIS2-Checkliste ab, um deinen aktuellen Stand zu bewerten.

Umsetzungsprioritäten: Wo anfangen?

Zehn Anforderungen gleichzeitig umzusetzen ist unrealistisch. Da das NIS2UmsuCG seit dem 06.12.2025 in Kraft ist, zählt jetzt jede Woche. Eine sinnvolle Priorisierung hilft dir, schnell die größten Compliance-Lücken zu schließen und gleichzeitig die wirksamsten Schutzmaßnahmen zuerst zu etablieren.

Phase 1: Fundament legen (Monat 1-3)

Starte mit der Risikoanalyse (Maßnahme 1) und dem Incident-Response-Prozess (Maßnahme 2). Die Risikoanalyse ist die Grundlage für alle weiteren Entscheidungen: Ohne sie weißt du nicht, wo deine größten Schwachstellen liegen. Der Incident-Response-Prozess hat Priorität, weil die Meldepflichten sofort gelten. Wenn morgen ein erheblicher Sicherheitsvorfall eintritt, musst du innerhalb von 24 Stunden das BSI informieren. Ohne vorbereitete Prozesse ist das nicht zu schaffen.

Parallel dazu: Setze Multi-Faktor-Authentifizierung (Maßnahme 10) für alle kritischen Systeme um. MFA ist vergleichsweise schnell implementiert und reduziert dein Angriffsrisiko sofort erheblich.

Phase 2: Resilienz aufbauen (Monat 3-6)

In der zweiten Phase adressierst du Business Continuity (Maßnahme 3) und die Sicherheit der Lieferkette (Maßnahme 4). Die Business-Impact-Analyse und Notfallpläne brauchen Zeit, zahlen sich aber bei jedem Vorfall aus. Die Lieferkettenbewertung ist aufwendig, weil du externe Partner einbeziehen musst. Starte mit den kritischsten Lieferanten und arbeite dich vor.

Gleichzeitig rollst du das Schulungsprogramm (Maßnahme 7) aus. Geschäftsleitungen müssen laut Art. 20 NIS2 persönlich an Schulungen teilnehmen. Plane das frühzeitig ein, denn die Terminkalender der Führungsebene sind erfahrungsgemäß voll.

Phase 3: Systematik vertiefen (Monat 6-9)

Jetzt folgen die Maßnahmen, die ein reifes Sicherheitsmanagement ausmachen: Sicherheit bei Erwerb und Entwicklung (Maßnahme 5), Wirksamkeitsbewertung (Maßnahme 6), Kryptografie-Konzepte (Maßnahme 8) und Zugangskontrollen (Maßnahme 9). Diese Maßnahmen bauen auf dem Fundament der ersten beiden Phasen auf.

Die Wirksamkeitsbewertung (Maßnahme 6) ist besonders wichtig: Sie stellt sicher, dass alle zuvor eingeführten Maßnahmen tatsächlich funktionieren. Plane erste interne Audits und Penetrationstests ein, um Schwachstellen in deiner Umsetzung zu identifizieren, bevor das BSI sie findet.

Phase 4: Kontinuierliche Verbesserung (ab Monat 9)

NIS2-Compliance ist kein Projekt mit Enddatum, sondern ein fortlaufender Prozess. Ab Phase 4 geht es darum, alle zehn Maßnahmen im PDCA-Zyklus (Plan-Do-Check-Act) weiterzuentwickeln. Überprüfe regelmäßig deine Risikoanalyse, aktualisiere Notfallpläne nach Übungen, passe Lieferantenbewertungen an und schärfe Schulungsinhalte basierend auf aktuellen Bedrohungen nach. Halte alle Nachweise lückenlos fest, denn das BSI kann jederzeit Prüfungen durchführen.

Wichtig: Diese Phasen sind Empfehlungen, keine starren Vorgaben. Je nach Ausgangslage deines Unternehmens kann die Reihenfolge variieren. Wenn du etwa bereits ein ISO-27001-zertifiziertes ISMS betreibst, kannst du Phase 1 deutlich schneller abschließen. Einen konkreten Fahrplan für dein Unternehmen erstellt du am besten anhand unserer NIS2-Checkliste.

Verhältnis zu bestehenden Standards

Wenn dein Unternehmen bereits nach ISO 27001, BSI IT-Grundschutz oder TISAX zertifiziert ist, hast du einen erheblichen Vorsprung. Die NIS2-Anforderungen überschneiden sich stark mit etablierten Standards. Allerdings deckt keiner dieser Standards NIS2 vollständig ab. Du musst gezielt die Lücken identifizieren und schließen.

ISO 27001 und NIS2

ISO 27001:2022 bietet die größte Abdeckung. Die Annex-A-Controls adressieren fast alle zehn NIS2-Maßnahmen. Insbesondere Risikoanalyse, Zugangskontrollen, Kryptografie, Incident Management und Business Continuity sind gut abgedeckt. Was ISO 27001 nicht oder nur teilweise abdeckt: die konkreten Meldepflichten (24h/72h/30 Tage), die Lieferkettenbewertung in der von NIS2 geforderten Tiefe und die Geschäftsleitungshaftung nach Art. 20.

Praxis-Tipp: Nimm dein bestehendes Statement of Applicability (SoA) und gleiche es mit den zehn NIS2-Maßnahmen ab. Die Gap-Analyse zeigt dir, wo du nacharbeiten musst. Typische Lücken liegen bei den Meldeprozessen, der Lieferkettendokumentation und der formalen Geschäftsleitungsschulung.

BSI IT-Grundschutz und NIS2

Der BSI IT-Grundschutz deckt die technischen und organisatorischen Anforderungen von NIS2 umfassend ab, insbesondere in den Bereichen Risikoanalyse, BCM und Kryptografie. Da das BSI auch die Aufsichtsbehörde für NIS2 in Deutschland ist, orientiert sich die Prüfpraxis an den Grundschutz-Bausteinen. Unternehmen mit BSI-Grundschutz-Zertifizierung haben einen natürlichen Vorteil bei der Nachweisführung.

Ergänzungsbedarf besteht auch hier bei den NIS2-spezifischen Meldepflichten und bei der formalen Lieferantenbewertung. Der BSI-Standard 200-4 (BCM) bildet eine exzellente Grundlage für Maßnahme 3, muss aber um die NIS2-spezifischen Wiederherstellungsanforderungen ergänzt werden.

TISAX und NIS2

TISAX (Trusted Information Security Assessment Exchange) ist in der Automobilindustrie verbreitet und basiert auf dem VDA ISA-Katalog. TISAX deckt viele NIS2-relevante Bereiche ab, fokussiert aber stärker auf den Schutz von Prototypen und Entwicklungsdaten. Die Lieferkettensicherheit ist bei TISAX gut adressiert, was dir bei Maßnahme 4 zugutekommt.

Lücken gibt es bei den NIS2-Meldepflichten, der Wirksamkeitsbewertung in der geforderten Regelmäßigkeit und der expliziten Geschäftsleitungshaftung. Wenn du TISAX-zertifiziert bist, nutze die bestehende Dokumentation als Ausgangsbasis und ergänze gezielt die NIS2-spezifischen Anforderungen.

Die Tabelle zeigt: Bestehende Zertifizierungen sind ein starker Ausgangspunkt, aber kein Ersatz für eine dedizierte NIS2-Umsetzung. Besonders die Meldepflichten und die Geschäftsleitungshaftung sind NIS2-spezifisch und werden von keinem bestehenden Standard vollständig abgedeckt. Nutze ein GRC-Tool wie Kopexa, um die Zuordnung deiner bestehenden Controls zu den NIS2-Anforderungen transparent zu verwalten und Lücken systematisch zu schließen.