NIS2-Anforderungen nach Art. 21: die zehn Maßnahmen
Der Mindestkatalog aus Art. 21 Abs. 2
Die Maßnahmen aus Art. 21 Abs. 2 der NIS2-Richtlinie folgen einem gefahrenübergreifenden (all-hazards) Ansatz und müssen dem Stand der Technik sowie dem individuellen Risiko angemessen sein. Die zehn Bereiche:
a) Risikoanalyse & Informationssicherheit
Konzepte für die Risikoanalyse und für die Sicherheit von Informationssystemen als Grundlage des gesamten Sicherheitsmanagements.
b) Bewältigung von Sicherheitsvorfällen
Prozesse zur Erkennung, Behandlung und Nachbereitung von Vorfällen (Incident Handling) inklusive Meldewege.
c) Aufrechterhaltung des Betriebs
Backup-Management, Disaster Recovery sowie Business Continuity und Krisenmanagement – damit der Betrieb auch im Ernstfall weiterläuft.
d) Sicherheit der Lieferkette
Sicherheitsaspekte in den Beziehungen zu Lieferanten und Dienstleistern, inklusive deren Sicherheitsniveau.
e) Sicherheit in Beschaffung, Entwicklung & Wartung
Sichere Beschaffung, Entwicklung und Wartung von IT/OT inklusive Schwachstellenmanagement und -offenlegung.
f) Bewertung der Wirksamkeit
Konzepte und Verfahren, um die Wirksamkeit der Risikomanagement-Maßnahmen zu bewerten – etwa durch Tests und Übungen.
g) Cyberhygiene & Schulungen
Grundlegende Praktiken der Cyberhygiene und regelmäßige Schulungen für Beschäftigte und Leitung.
h) Kryptografie & Verschlüsselung
Konzepte und Verfahren für den Einsatz von Kryptografie und – wo angemessen – Verschlüsselung.
i) Personal, Zugriff & Assets
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen (Asset-Management).
j) MFA & gesicherte Kommunikation
Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie Notfallkommunikation.
Wie ist Art. 21 national umgesetzt?
Der Katalog wurde inhaltsgleich in die nationalen Umsetzungsgesetze übernommen – Österreich nahezu wortgleich, Deutschland mit leicht angepassten Formulierungen. Verbindlich ist damit nicht mehr nur die Richtlinie, sondern das jeweilige Gesetz:
- Deutschland: § 30 Abs. 2 BSIG (NIS2UmsuCG, in Kraft seit 6.12.2025) – zehn Mindestmaßnahmen; die Einhaltung ist zu dokumentieren (§ 30 Abs. 1 S. 3). Die Schulungs- und Überwachungspflicht der Geschäftsleitung steht in § 38 BSIG.
- Österreich: § 32 Abs. 4 NISG 2026 (ab 1.10.2026) – Details im Beitrag NISG 2026.
- Digitale Infrastruktur (Cloud, DNS, MSP/MSSP u. a.): Für diese Einrichtungsarten konkretisiert die Durchführungsverordnung (EU) 2024/2690 die technischen und methodischen Anforderungen EU-weit einheitlich – sie hat insoweit Vorrang (§ 30 Abs. 3 BSIG).
Wo SecDrills konkret unterstützt
Drei der zehn Bereiche lassen sich besonders gut mit Tabletop-Übungen abdecken: b) und c) – die geübte Bewältigung von Vorfällen und die Krisenfähigkeit –, f) – der Nachweis der Wirksamkeit über wiederholte, bewertete Übungen – sowie g) – Schulung und Awareness von Beschäftigten und Leitung. Jede Übung endet mit einem After-Action-Report, der genau diesen Nachweis dokumentiert.
Mehr Kontext bietet der NIS2-Überblick; zur Einordnung Ihrer Pflicht hilft die Betroffenheitsprüfung.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.
Weiterlesen