Kontakt aufnehmen

NIS2-Compliance-Leitfaden für betroffene Organisationen (2026)

NIS2 Von Ing. Dorin-Emilian Avram, MSc · SephiraSec

Die NIS2-Richtlinie (EU) 2022/2555 gilt seit Januar 2023; die Mitgliedstaaten mussten sie bis Oktober 2024 umsetzen. Wenn Ihre Organisation in den Anwendungsbereich fällt — und mehr Organisationen als erwartet sind es —, beschreibt dieser Leitfaden, was Sie tatsächlich nachweisen müssen: Scope-Bestimmung, die zehn Mindestsicherheitsmaßnahmen, Vorfallsmeldung und was Aufsichtsbehörden prüfen.

Was ist NIS2 und wie unterscheidet es sich von NIS1?

NIS2 ersetzt die ursprüngliche NIS-Richtlinie von 2016. Die ursprüngliche Richtlinie erfasste eine begrenzte Anzahl von Betreibern wesentlicher Dienste und digitaler Dienstleister; die Durchsetzung galt als inkonsistent. NIS2 ist deutlich breiter im Anwendungsbereich, präziser bei den geforderten Sicherheitsmaßnahmen und sieht wesentlich schärfere Sanktionen vor — bis zu 10 Mio. € oder 2 % des globalen Jahresumsatzes für wesentliche Einrichtungen.

Wichtigste Unterschiede zu NIS1:

  • Scope erweitert von sieben auf achtzehn Sektoren — darunter öffentliche Verwaltung, Post, Abfallwirtschaft, Lebensmittelproduktion und Fertigung
  • Alle mittelgroßen und großen Unternehmen in erfassten Sektoren sind automatisch im Scope (keine individuelle Benennung erforderlich)
  • Das Leitungsorgan ist ausdrücklich verantwortlich und kann persönlich haftbar gemacht werden
  • Harmonisierte Mindestsicherheitsmaßnahmen (Artikel 21) und Vorfallsmeldepflichten (Artikel 23) in der gesamten EU
  • Supply-Chain-Sicherheit ist ausdrücklich vorgeschrieben, nicht optional

Sind Sie im Scope? Wesentliche vs. wichtige Einrichtungen

NIS2 unterscheidet zwei Ebenen. Der Unterschied ist bedeutsam, da die Aufsicht für wesentliche Einrichtungen strenger ist.

Wesentliche Einrichtungen (strengere Ex-ante-Aufsicht): Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (IXPs, DNS, TLD, Cloud-Computing, Rechenzentren, CDNs, Vertrauensdienste, elektronische Kommunikation), öffentliche Verwaltung auf zentralstaatlicher Ebene und Weltraum. Große Unternehmen (250+ Mitarbeiter oder 50 Mio. € + Umsatz) in diesen Sektoren gelten als wesentlich.

Wichtige Einrichtungen (Ex-post-Aufsicht): Post- und Kurierdienste, Abfallwirtschaft, Chemieproduktion, Lebensmittelproduktion, Fertigung (Medizinprodukte, Elektronik, Maschinenbau, Kfz), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie öffentliche Verwaltung auf regionaler Ebene. Mittlere Unternehmen (50+ Mitarbeiter oder 10 Mio. € + Umsatz) in diesen Sektoren gelten als wichtig.

Die zehn Mindestsicherheitsmaßnahmen (Artikel 21)

Artikel 21 listet zehn Kategorien von Sicherheitsmaßnahmen auf, die jede betroffene Einrichtung verhältnismäßig zu den bestehenden Risiken umsetzen muss. Diese sind nicht optional — Aufsichtsbehörden prüfen sie.

1. Konzepte zur Risikoanalyse und Sicherheit von Informationssystemen

  • Eine dokumentierte Risikoanalysemethodik ist vorhanden und wird mindestens jährlich angewendet
  • Sicherheitskonzepte decken Netz- und Informationssysteme der Organisation ab und sind vom Leitungsorgan genehmigt
  • Die Risikobewertung ist mit den umgesetzten Sicherheitsmaßnahmen verknüpft — Lücken sind dokumentiert und werden nachverfolgt

2. Bewältigung von Sicherheitsvorfällen

  • Ein Incident-Response-Prozess mit definierten Rollen, Eskalationswegen und Kommunikationsverfahren ist vorhanden
  • Mitarbeiter können Sicherheitsvorfälle identifizieren, klassifizieren und eskalieren
  • Post-Incident-Reviews fließen in die Risikoanalyse zurück

3. Aufrechterhaltung des Betriebs (Business Continuity), Datensicherung und Wiederherstellung

  • Business-Continuity- und Disaster-Recovery-Pläne sind dokumentiert und mindestens jährlich getestet
  • Backup-Verfahren definieren klare RPO/RTO-Ziele für kritische Systeme
  • Krisenmanagementprozeduren umfassen die Kommunikation mit Behörden und Stakeholdern

4. Sicherheit der Lieferkette

  • Die Sicherheitslage direkter Lieferanten und Dienstleister wird im Rahmen der Beschaffung bewertet
  • Vertragliche Sicherheitsanforderungen sind in Lieferantenverträgen für kritische Dienste enthalten
  • Bekannte Schwachstellen in IKT-Produkten und -Diensten von Lieferanten werden überwacht und behoben

5. Sicherheit in der Netz- und Informationssystemsbeschaffung, -entwicklung und -wartung

  • Sicherheitsanforderungen sind in Entwicklungs- und Beschaffungsprozesse eingebettet
  • Richtlinien zur Schwachstellenbehandlung und -offenlegung sind vorhanden
  • Patch-Management deckt alle Systeme ab, mit risikobasierter Priorisierung

6. Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen

  • KPIs oder Metriken zur Messung der Wirksamkeit von Sicherheitsmaßnahmen sind definiert
  • Unabhängige Bewertungen (interne oder externe Audits, Penetrationstests) werden regelmäßig durchgeführt
  • Das Management erhält regelmäßige Berichte zur Sicherheitslage

7. Grundlegende Cyberhygiene und Cybersicherheitsschulungen

  • Grundlegende Cyberhygiene (Patching, MFA, Least Privilege, Passwortmanagement, sichere Konfiguration) ist durchgesetzt und dokumentiert
  • Alle Mitarbeiter erhalten mindestens jährlich Security-Awareness-Schulungen
  • Das Leitungsorgan erhält Schulungen zu Cybersicherheitsrisiken und seinen Governance-Pflichten

8. Kryptografie und Verschlüsselung

  • Eine Kryptografierichtlinie existiert, die Verschlüsselungsstandards, Schlüsselmanagement und Zertifikatsmanagement abdeckt
  • Daten in Transit und at Rest sind gemäß Richtlinie geschützt
  • Die Richtlinie wird überprüft, wenn relevante Standards sich ändern (z. B. Post-Quantum-Planung)

9. Personalsicherheit, Zugangskontrolle und Asset-Management

  • Ein Asset-Inventar wird gepflegt (Hardware, Software, Daten und kritische Drittanbieter-Dienste)
  • Zugriff wird nach dem Prinzip der minimalen Berechtigung vergeben und regelmäßig überprüft
  • Privilegierter Zugriff ist kontrolliert, überwacht und zeitlich begrenzt
  • Offboarding-Prozeduren entziehen Zugriffe unverzüglich

10. Multi-Faktor-Authentifizierung und sichere Kommunikation

  • MFA ist für alle Remote-Zugänge und Verwaltungsschnittstellen durchgesetzt
  • Sprach-, Video- und Textkommunikation für sensible Informationen ist angemessen gesichert
  • Notfallkommunikationssysteme sind gesichert und getestet

Vorfallsmeldung nach NIS2 (Artikel 23)

Meldefristen:

  • Frühwarnung — innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls
  • Vorfallsmeldung — innerhalb von 72 Stunden nach Kenntnis, mit aktualisierter Schweregradbewertung
  • Abschlussbericht — innerhalb eines Monats mit vollständiger Beschreibung, Ursache und getroffenen Maßnahmen
  • Dokumentierte Kriterien zur Klassifizierung eines Vorfalls als „erheblich" nach NIS2 sind vorhanden
  • Die zuständige nationale Behörde und das CSIRT sind identifiziert; Kontaktdaten sind aktuell
  • Meldevorlagen für alle drei Phasen sind vorbereitet und zugänglich gespeichert
  • Benachrichtigungspflichten gegenüber betroffenen Kunden sind im Incident-Response-Plan verankert

Die fünf häufigsten Lücken

  1. Scope-Blindheit. Viele Organisationen wissen erst durch die Aufsicht, dass sie im Scope sind. NIS2s automatische größenbasierte Schwelle bedeutet: Eigenverantwortung statt Warten auf Benennung.
  2. Supply-Chain-Dokumentation. Artikel 21(2)(d) erfasst ausdrücklich Supply-Chain-Sicherheit. Häufig gibt es Verträge mit Schlüssellieferanten, aber keine Sicherheitsbewertung und keine vertraglichen Sicherheitsanforderungen.
  3. Leitungsorgan-Training nur auf dem Papier. Das NIS2-Erfordernis zur Awareness des Leitungsorgans ist spezifisch. Eine Briefing-Folie genügt nicht — dokumentierte Schulung mit Teilnahmeprotokoll ist erforderlich.
  4. Keine Klassifizierungskriterien für erhebliche Vorfälle. Ohne dokumentierte Kriterien verlieren Response-Teams Zeit mit Debatten statt der 24-Stunden-Frühwarnung.
  5. Fehlende Wirksamkeitsbewertung. Viele Organisationen haben Richtlinien und Maßnahmen, aber keinen Mechanismus zur Verifizierung ihrer Wirksamkeit. NIS2 verlangt eine regelmäßige Bewertung — definierte KPIs, Auditaufzeichnungen und Management-Reporting.

Wie SephiraSec helfen kann

SephiraSec bietet NIS2-Scope-Bewertungen, Gap-Analysen zu Artikel 21 und 23, Incident-Response-Planung, Supply-Chain-Security-Reviews und Briefings für das Leitungsorgan. Unabhängig, EU-weit, auf Englisch, Deutsch und Rumänisch.