NIS-2 Maßnahmenkatalog: Die 10 Mindestanforderungen im Detail

Zehn Mindestanforderungen. So fasst NIS-2 zusammen, was betroffene Unternehmen umsetzen müssen. Das klingt überschaubar, aber hinter jedem Punkt steckt einiges. Dieser Artikel geht jeden einzelnen durch – was verlangt wird, und wie Sie es praktisch umsetzen.

Die zehn Bereiche auf einen Blick

Artikel 21 der NIS-2-Richtlinie listet sie auf: Konzepte für Risikoanalyse und Sicherheit. Bewältigung von Sicherheitsvorfällen. Aufrechterhaltung des Betriebs. Sicherheit der Lieferkette. Sicherheit bei Erwerb, Entwicklung und Wartung. Bewertung der Wirksamkeit. Cyberhygiene und Schulungen. Kryptographie. Personalsicherheit und Zugriffskontrolle. Multi-Faktor-Authentifizierung.

Keine dieser Anforderungen ist revolutionär neu. Aber zusammen ergeben sie ein umfassendes Bild dessen, was ein verantwortungsvolles Unternehmen sowieso tun sollte. NIS-2 macht es zur Pflicht.

1. Risikoanalyse und Sicherheitskonzepte

Sie müssen wissen, welche Risiken Sie haben, bevor Sie sie managen können. Das bedeutet: Alle kritischen Assets identifizieren – Systeme, Daten, Prozesse. Bedrohungen und Schwachstellen bewerten. Einschätzen, wie wahrscheinlich etwas passiert und wie schlimm es wäre. Dann priorisieren.

Das Ergebnis sollte ein dokumentiertes Sicherheitskonzept sein. Nicht 200 Seiten Prosa, die niemand liest, sondern klare Aussagen: Was sind unsere Sicherheitsziele? Wer ist wofür verantwortlich? Wie gehen wir vor? Das muss von der Geschäftsleitung genehmigt sein – und regelmäßig überprüft werden.

Der BSI-Grundschutz bietet einen bewährten Rahmen dafür. Das Rad muss nicht neu erfunden werden.

2. Bewältigung von Sicherheitsvorfällen

Wenn etwas passiert, müssen Sie reagieren können. Das klingt selbstverständlich, aber viele Unternehmen haben keinen Plan.

Ein Incident-Response-Plan definiert: Was ist überhaupt ein Sicherheitsvorfall? Wie eskalieren wir? Wer ist verantwortlich? Wie kommunizieren wir – intern, extern, mit Behörden?

Technisch brauchen Sie Fähigkeiten zur Erkennung: Security Monitoring, Logging, idealerweise ein SIEM. Und Sie brauchen Fähigkeiten zur Reaktion: Forensische Analyse, Eindämmung, Wiederherstellung.

Vergessen Sie die Meldefristen nicht: 24 Stunden für die Frühwarnung ans BSI, 72 Stunden für die ausführliche Meldung, ein Monat für den Abschlussbericht. Diese Prozesse müssen funktionieren, bevor der Ernstfall eintritt.

Und: Üben Sie das. Tabletop-Übungen, Simulationen. Ein Plan, der nie getestet wurde, ist kaum mehr wert als kein Plan.

3. Aufrechterhaltung des Betriebs

Business Continuity. Was passiert, wenn Ihre wichtigsten Systeme ausfallen? Können Sie weiterarbeiten?

Das beginnt mit einer Business Impact Analyse: Welche Prozesse sind kritisch? Wie lange können sie ausfallen, bevor der Schaden existenzbedrohend wird? Daraus ergeben sich RTO (wie schnell müssen Sie wieder laufen?) und RPO (wie viel Datenverlust können Sie verkraften?).

Dann brauchen Sie Pläne: Wie stellen Sie Systeme wieder her? Wie arbeiten Sie weiter, wenn die Technik nicht funktioniert? Wie kommunizieren Sie in der Krise?

Und Backups. Die 3-2-1-Regel ist ein Minimum: Drei Kopien, zwei Medien, eine extern. Besser noch: Eine Kopie offline oder air-gapped, unerreichbar für Ransomware. Und: Testen Sie die Wiederherstellung. Regelmäßig.

4. Sicherheit der Lieferkette

Ihre Sicherheit ist nur so gut wie das schwächste Glied in Ihrer Kette. Und oft sind das Ihre Lieferanten.

Identifizieren Sie die kritischen: Wer hat Zugang zu Ihren Systemen? Wer verarbeitet Ihre Daten? Von wem hängen Sie ab?

Bewerten Sie deren Sicherheit. Zertifizierungen, SOC 2-Berichte oder ausgefüllte Sicherheitsfragebögen geben Anhaltspunkte. Bei kritischen Lieferanten reichen Fragebögen allein nicht – da brauchen Sie Audits.

Sichern Sie sich vertraglich ab: Sicherheitsanforderungen in die Verträge, Meldepflichten bei Vorfällen, Audit-Rechte. Und technisch: Segmentieren Sie Lieferantenzugänge, geben Sie nur die Berechtigungen, die wirklich nötig sind, überwachen Sie Aktivitäten.

Denken Sie auch an die Software-Lieferkette. SolarWinds und Log4Shell haben gezeigt, wie das ausgenutzt werden kann.

5. Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheit ist kein nachträglicher Gedanke. Sie muss von Anfang an mitgedacht werden.

Bei der Beschaffung: Sicherheitsanforderungen in die Ausschreibung, Bewertung vor dem Kauf, End-of-Life-Management berücksichtigen.

Bei der Entwicklung: Security by Design, Secure Coding Guidelines, Code Reviews, Penetrationstests vor der Produktivnahme.

Im Betrieb: Schwachstellenmanagement mit regelmäßigen Scans, strukturiertes Patch-Management, kontrollierte Änderungsprozesse.

Das Schwachstellenmanagement ist besonders wichtig. Bekannte Schwachstellen, die nicht gepatcht werden, sind ein Einfallstor für Angreifer. Das können Sie sich nicht leisten.

6. Bewertung der Wirksamkeit

Sie können noch so viele Maßnahmen haben – wenn Sie nicht prüfen, ob sie funktionieren, wissen Sie es nicht.

Regelmäßige Audits: Interne, externe, technische, Compliance-bezogene. Penetrationstests, nicht nur einmal, sondern regelmäßig. Security-Metriken: Wie schnell erkennen Sie Vorfälle? Wie schnell reagieren Sie? Wie viele Systeme sind gepatcht?

Und dann: Kontinuierliche Verbesserung. Lessons Learned dokumentieren, Maßnahmen nachverfolgen, Management-Reviews durchführen, an neue Bedrohungen anpassen.

7. Cyberhygiene und Schulungen

Die teuerste Firewall nützt nichts, wenn jemand auf den Phishing-Link klickt.

Cyberhygiene-Grundlagen müssen etabliert sein: Sichere Passwörter, regelmäßige Updates, vorsichtiger Umgang mit E-Mails, Clean Desk Policy, sichere mobile Nutzung.

Schulungen sind Pflicht – buchstäblich. Onboarding-Schulungen für neue Mitarbeiter, regelmäßige Awareness-Trainings, rollenspezifische Vertiefungen, Phishing-Simulationen.

Und ganz wichtig: Die Geschäftsleitung muss persönlich an Schulungen teilnehmen. Das steht so im Gesetz. Keine Delegation, kein “mein CISO macht das für mich”. Die Geschäftsführer selbst.

8. Kryptographie

Verschlüsselung ist ein grundlegendes Werkzeug. Daten im Ruhezustand verschlüsseln. Daten bei der Übertragung verschlüsseln. Für sensible Kommunikation Ende-zu-Ende-Verschlüsselung.

Nutzen Sie aktuelle, sichere Algorithmen. AES-256 für symmetrische Verschlüsselung, RSA-2048 oder besser für asymmetrische.

Das Schlüsselmanagement ist oft der schwierige Teil: Sichere Erzeugung, geschützte Speicherung (idealerweise in einem HSM oder Key Vault), regelmäßiger Wechsel, sichere Vernichtung alter Schlüssel. Und behalten Sie den Überblick über Ihre Zertifikate – ein abgelaufenes Zertifikat kann unerwartet Probleme machen.

9. Personalsicherheit und Zugriffskontrolle

Menschen sind ein Sicherheitsfaktor. Bei der Einstellung: Sicherheitsüberprüfungen, je nach Rolle. Vertraulichkeitsvereinbarungen. Klare Verantwortlichkeiten.

Beim Ausscheiden: Zugriffe entziehen, Assets zurückgeben, dokumentieren. Die Anzahl der Accounts von ehemaligen Mitarbeitern, die noch aktiv sind, ist in vielen Unternehmen erschreckend hoch.

Zugriffskontrolle nach dem Least-Privilege-Prinzip: Jeder bekommt nur die Berechtigungen, die er wirklich braucht. Rollenbasierte Zugriffe. Regelmäßige Überprüfung. Privileged Access Management für kritische Accounts. Funktionstrennung, damit niemand allein kritische Aktionen durchführen kann.

Und: Ein Inventar Ihrer Assets. Sie können nicht schützen, was Sie nicht kennen.

10. Multi-Faktor-Authentifizierung

MFA ist keine optionale Ergänzung mehr. Es ist Pflicht.

MFA für alle Remote-Zugänge. MFA für privilegierte Accounts. MFA für kritische Anwendungen. Und bevorzugen Sie phishing-resistente Methoden: Hardware-Security-Keys mit FIDO2, Authenticator-Apps. SMS-basierte MFA nur als Fallback – sie ist deutlich unsicherer.

Dazu kommen Konzepte für kontinuierliche Authentifizierung: Risiko-basierte Bewertung, Verhaltensanalyse, automatische Sperren bei Anomalien.

Und sichere Kommunikation: Verschlüsselte E-Mails wo nötig, sichere Messenger für geschäftliche Kommunikation, verschlüsselte Videokonferenzen.

Verhältnismäßigkeit

Ein wichtiger Punkt: Die Maßnahmen müssen “verhältnismäßig” sein. Das heißt: Ein kleines Unternehmen muss nicht dasselbe investieren wie ein Großkonzern. Die Risiken, die Ressourcen, die gesellschaftlichen Auswirkungen – all das spielt eine Rolle.

Aber: Die grundlegenden Anforderungen gelten für alle. MFA ist nicht verhandelbar, nur weil Sie ein mittelständisches Unternehmen sind.

Dokumentation

Alles muss dokumentiert sein. Richtlinien und Konzepte schriftlich. Umsetzung nachweisbar. Schulungsnachweise. Audit-Ergebnisse.

Diese Dokumentation ist Ihr Nachweis gegenüber dem BSI. Wenn Sie geprüft werden, wenn nach einem Vorfall Fragen aufkommen – dann brauchen Sie Belege.

Der Punkt

Diese zehn Maßnahmen sind kein bürokratisches Übel. Sie sind das, was ein verantwortungsvolles Unternehmen ohnehin tun sollte, um sich vor Cyberangriffen zu schützen. NIS-2 macht es verbindlich – mit Konsequenzen bei Verstößen.

Strukturierte Frameworks wie der BSI-Grundschutz erleichtern die Umsetzung. Sie müssen das Rad nicht neu erfinden.

Und denken Sie daran: Das ist kein einmaliges Projekt. Cybersicherheit ist ein laufender Prozess. Bedrohungen ändern sich, Systeme ändern sich, Anforderungen ändern sich. Die Maßnahmen müssen kontinuierlich gepflegt und verbessert werden.