In Kraft seit 17. Okt. 2024·Tag 601·

Referenz · Artikel 21Zuletzt überarbeitet am 10. Juni 2026

Die 21 Maßnahmen, einfach erklärt.

Artikel 21 der Richtlinie (EU) 2022/2555 nennt zehn Kategorien von Maßnahmen zum Cyberrisikomanagement. Wir haben sie in 21 konkrete Prüfpunkte heruntergebrochen, gruppiert nach dem, was Ihr Team tatsächlich liefern muss.

§ 01

Governance

NIS2 macht Cybersicherheit zur Aufgabe der Leitungsebene. Artikel 20 verpflichtet die Leitungsorgane, die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und Schulungen zu absolvieren, die zur Erkennung und Steuerung von Cyberrisiken befähigen. Derselbe Artikel begründet eine persönliche Haftung der Mitglieder der Leitungsorgane — ein bewusster Bruch gegenüber NIS1. Konkret sind vier Artefakte erforderlich: eine vom Vorstand genehmigte Sicherheitsleitlinie, schriftlich fixierte Rollen und Rechenschaftspflichten, dokumentierte Schulungen und eine unabhängige Überprüfung, die dem Vorstand vorgelegt wird. Ohne dieses Gerüst trägt der Rest von Artikel 21 nicht. Die Durchführungsverordnung 2024/2690 behandelt Governance als Vorbedingung jeder weiteren Kontrollkategorie.

  1. M.01

    Informationssicherheits-Leitlinien — auf Vorstandsebene genehmigt

    Eine vom Vorstand genehmigte schriftliche Leitlinie definiert Risikoappetit, Geltungsbereich und Überprüfungskadenz — ohne sie wird jede weitere Maßnahme ad hoc. ISO 27001 Anhang A.5.1 ist die praktische Referenz.

  2. M.02

    Rollen, Verantwortlichkeiten und Rechenschaftspflicht formell dokumentiert

    Jede Maßnahme hat einen benannten Verantwortlichen; bei risikoreichen Operationen ist die Aufgabentrennung dokumentiert. Aufsichtsbehörden fragen im Nachgang eines Vorfalls regelmäßig „wer hat freigegeben“.

  3. M.03

    Schulung der Leitungsorgane zu Cybersicherheitsrisiken

    Artikel 20 Absatz 2 macht die Schulung der Leitungsorgane verpflichtend und nachweispflichtig. Allgemeine Awareness-Module reichen nicht — die Schulung muss die spezifischen Risiken der Einrichtung vermitteln.

  4. M.04

    Jährliche unabhängige Überprüfung des Sicherheitsprogramms

    Ein jährliches externes oder unabhängiges internes Audit zur Reife des Programms. Ergebnisse werden dem Vorstand mit Maßnahmenplan und Zeitplan vorgelegt.

§ 02

Risikomanagement

Artikel 21 Absatz 2 Buchstabe a verlangt Konzepte zur Risikoanalyse und zur Sicherheit der Informationssysteme. Buchstabe c ergänzt Geschäftskontinuität, Backup-Management und Krisenmanagement. Praktisch ist dies die Brücke zwischen Governance-Anspruch und technischer Umsetzung: dokumentierte Risikomethodik, aktiv geführtes Risikoregister, Asset-Inventar, das den realen Betrieb abbildet, und Notfallpläne, deren Wiederherstellungsverfahren erprobt sind — nicht nur niedergeschrieben. NIS2-Aufsichtsbehörden verlangen Übungsnachweise, nicht nur Pläne. Restore-Tests, Tabletop-Übungen und gegengezeichnete Sitzungsprotokolle bilden die Prüfspur, die ein Papierregister in ein belastbares Programm verwandelt.

  1. M.05

    Risikoanalysemethodik und aktuell gehaltenes Risikoregister

    Eine dokumentierte Methode (qualitativ oder quantitativ) und ein mindestens vierteljährlich überprüftes Register. Statische Risikoregister sind ein typisches Warnsignal für Aufsichtsbehörden.

  2. M.06

    Asset-Inventar: Informationssysteme und Daten

    Was nicht erfasst ist, lässt sich nicht schützen. Das Inventar deckt Hardware, Software, Cloud-Dienste, Datenflüsse und Abhängigkeiten ab — soweit möglich automatisch aktualisiert.

  3. M.07

    Notfall- und Krisenmanagementpläne

    Die Pläne decken Standortverlust, Lieferantenausfall und Zugriffsverlust ab. Sie definieren RTO/RPO je Service, Kommunikationsprotokolle und die Befehlskette im Krisenfall.

  4. M.08

    Backups: Wiederherstellungsverfahren erprobt

    Ein nie zurückgespieltes Backup ist theoretisch. NIS2 erwartet Nachweise regelmäßiger Restore-Tests, idealerweise mit ransomware-widerstandsfähigen Konfigurationen (unveränderlich, offline oder air-gapped).

§ 03

Technische Maßnahmen

Artikel 21 Absatz 2 listet das technische Mindestmaß auf: Kryptografie (Buchstabe h), Mehrfaktor-Authentifizierung (Buchstabe j), Behandlung von Sicherheitsvorfällen (Buchstabe b), Sicherheit beim Erwerb, der Entwicklung und Wartung von IT-Systemen (Buchstabe e), Sicherheit des Personals und Zugriffskontrolle (Buchstabe i). Die Durchführungsverordnung 2024/2690 übersetzt dies in konkrete Maßnahmen — MFA bei Fernzugriff und Administratorzugängen, Segmentierung zwischen Vertrauenszonen, Schwachstellenmanagement mit Patch-Kadenz, EDR auf Endpunkten, sicherer Entwicklungslebenszyklus für Eigen- und Lieferantencode. Inhaltlich nichts Neues: die Maßnahmen decken sich mit Anhang A von ISO 27001 und dem NIST CSF. NIS2 macht aus „Good Practice“ einen gesetzlichen Mindeststandard mit behördlichem Inspektionsrecht.

  1. M.09

    Mehrfaktor-Authentifizierung für alle kritischen Zugänge

    Artikel 21 Absatz 2 Buchstabe j fordert MFA ausdrücklich. Kritischer Zugriff umfasst Administratorkonten, Fernzugriff, exponierte Anwendungen und Zugriff auf sensible Daten — phishing-resistente Faktoren werden zunehmend erwartet.

  2. M.10

    Kryptografie- und Verschlüsselungsrichtlinie

    Eine Richtlinie, die Algorithmen, Schlüssel-Lebenszyklus und Geltungsbereiche der Verschlüsselung festlegt (Daten in Ruhe, in Übertragung, in Backups). ENISA verweist auf Post-Quantum-Readiness als zukunftsgerichtetes Kriterium.

  3. M.11

    Netzwerksegmentierung und Zero-Trust-Prinzipien

    Flache Netze lassen aus einem initialen Kompromiss einen sektorweiten Ausfall werden. Segmentierung isoliert kritische Systeme; Zero-Trust ersetzt implizites Vertrauen durch laufende Prüfung von Identität und Endpunkt-Status.

  4. M.12

    Schwachstellenmanagement und Patch-Kadenz

    Ein dokumentiertes Patch-SLA nach Kritikalität (kritisch / hoch / mittel), ein Prozess für Out-of-Band-Notfallpatches und Ausnahmebehandlung für nicht patchbare Systeme mit kompensierenden Kontrollen.

  5. M.13

    Endpoint Detection and Response

    EDR oder XDR auf Arbeitsplätzen und Servern — über klassisches Antivirus hinaus. Telemetrie muss lange genug aufbewahrt werden für forensische Analysen (typisch 6–12 Monate) und in das SOC oder MSSP einfließen.

  6. M.14

    Sicherer Software-Entwicklungslebenszyklus

    Bedrohungsmodellierung im Design, Abhängigkeits-Scans in CI, Secret-Erkennung, Code-Review und Runtime-Anwendungstests. Gilt gleichermaßen für interne Teams und ausgelagerte Entwickler.

§ 04

Lieferkette

Artikel 21 Absatz 2 Buchstabe d erhebt die Sicherheit Dritter zur unmittelbaren Pflicht: die Einrichtung muss Risiken aus Lieferanten- und Dienstleisterbeziehungen beherrschen. Die koordinierten Risikobewertungen der Kooperationsgruppe (im Rahmen der 5G-Toolbox abgeleitet) deuten den Kurs an — sektorale Bewertungen kritischer Anbieter, mit Maßnahmen, die bis zu Lieferantenbeschränkungen reichen können. Drei Ebenen in der Praxis: vorvertragliche Sicherheitsbewertungen, Vertragsklauseln, die im Betrieb tragen (Meldepflichten, Audit, Kontrolle von Subunternehmern), laufende Überwachung der Drittparteien-Exposition (Vorfälle, Sanktionen, geopolitisches Risiko). Kaseya, SolarWinds und MOVEit sind die ungenannte Referenz: ein kritischer Anbieter kann einen ganzen Sektor in Mitleidenschaft ziehen, und die Aufsicht wird Ihre Lieferantenkarte sehen wollen.

  1. M.15

    Sicherheitsbewertungen von Lieferanten

    Stufen Sie Ihre Lieferanten ein (welche können Sie ausschalten?) und fordern Sie Sicherheitsbewertungen entsprechend der Stufe — Fragebögen, Zertifizierungen (ISO 27001, SOC 2) oder Vor-Ort-Audits für die kritischsten.

  2. M.16

    Sicherheitsklauseln in Verträgen mit kritischen Anbietern

    Auditrecht, Vorfall-Meldefristen (abgestimmt auf Ihre eigenen NIS2-Pflichten), Datenlokalisierung wo erforderlich, Offenlegung von Sub-Auftragnehmern, Ausstiegs-/Übergangsunterstützung. Die Klauseln müssen Verlängerungen und Übernahmen überstehen.

  3. M.17

    Laufende Überwachung der Drittparteien-Exposition

    Überwachung der externen Angriffsfläche, Sanktions-Screening, Breach-Intelligence und Neubewertung bei Eigentümerwechsel des Lieferanten. Ein statischer Jahresfragebogen erfüllt die NIS2-Anforderung „laufend“ nicht.

§ 05

Vorfallbearbeitung

Artikel 23 legt eine dreistufige Meldekadenz fest: 24 Stunden Frühwarnung, 72 Stunden Vorfallmeldung mit erster Schweregradbewertung, Abschlussbericht innerhalb eines Monats. Auslöser ist der „erhebliche“ Vorfall — einer, der eine schwerwiegende Betriebsunterbrechung oder finanziellen Verlust verursacht oder verursachen kann oder Dritte betrifft. Hinter diesen Fristen stehen operative Artefakte: Playbooks für Erkennung und Klassifizierung, Eskalationskette zum CSIRT oder zur zuständigen Behörde, Schweregradmatrix, die der Bereitschaftsdienst um 3 Uhr morgens anwenden kann, sowie ein Lessons-Learned-Prozess. Mehrere Regulatoren haben Richtwerte für versäumte Fristen veröffentlicht — die saubere Einhaltung von 24/72/30 ist die günstigste Position im Programm.

  1. M.18

    Playbooks für Erkennung, Klassifizierung und Eskalation

    Dokumentierte Runbooks für die wahrscheinlichen Szenarien (Ransomware, Datenexfiltration, DDoS, Supply-Chain-Kompromittierung, Insider). Jedes Runbook listet Triage-Schritte, Klassifizierungskriterien und die Eskalationskette auf.

  2. M.19

    24-Stunden-Frühwarnung an das CSIRT

    Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls eine Frühwarnung an das CSIRT oder die zuständige Behörde — auch mit unvollständigen Informationen. Die Frist beginnt mit der Kenntnisnahme, nicht mit dem vollständigen Verständnis.

  3. M.20

    Vorfallmeldung nach 72 Stunden mit Schweregradbewertung

    Förmliche Meldung innerhalb von 72 Stunden mit erstem Schweregrad, Kompromittierungsindikatoren und etwaigen grenzüberschreitenden Auswirkungen. Aktualisierungen folgen der fortschreitenden Bewertung.

  4. M.21

    Abschlussbericht innerhalb eines Monats

    Detaillierter Bericht innerhalb eines Monats zu Ursache, tatsächlicher Auswirkung, getroffenen Gegenmaßnahmen und Lessons Learned. Der Bericht ist Grundlage etwaiger Folgemaßnahmen der Aufsicht.

Aufsichtsorgan im Gespräch — der Moment, in dem das Audit beauftragt wirdHandeln · Selbstcheck starten

§ Handeln

Bereit, das in Zahlen zu fassen?

Nehmen Sie die 21-Punkte-Bewertung vor. Score in zwei Minuten. Sie gehen mit einem priorisierten Maßnahmenplan, vorbereitet für die Vorlage im Aufsichtsorgan.

Selbstcheck starten