NIS2

NIS2-Anforderungen nach Art. 21: die zehn Maßnahmen

Von SecDrills-Redaktion
Das Herzstück von NIS2 ist Artikel 21: Er verpflichtet betroffene Einrichtungen zu einem risikobasierten Mindestkatalog an Sicherheitsmaßnahmen. Hier sind alle zehn Bereiche verständlich erklärt.

Der Mindestkatalog aus Art. 21 Abs. 2

Die Maßnahmen aus Art. 21 Abs. 2 der NIS2-Richtlinie folgen einem gefahrenübergreifenden (all-hazards) Ansatz und müssen dem Stand der Technik sowie dem individuellen Risiko angemessen sein. Die zehn Bereiche:

a) Risikoanalyse & Informationssicherheit

Konzepte für die Risikoanalyse und für die Sicherheit von Informationssystemen als Grundlage des gesamten Sicherheitsmanagements.

b) Bewältigung von Sicherheitsvorfällen

Prozesse zur Erkennung, Behandlung und Nachbereitung von Vorfällen (Incident Handling) inklusive Meldewege.

c) Aufrechterhaltung des Betriebs

Backup-Management, Disaster Recovery sowie Business Continuity und Krisenmanagement – damit der Betrieb auch im Ernstfall weiterläuft.

d) Sicherheit der Lieferkette

Sicherheitsaspekte in den Beziehungen zu Lieferanten und Dienstleistern, inklusive deren Sicherheitsniveau.

e) Sicherheit in Beschaffung, Entwicklung & Wartung

Sichere Beschaffung, Entwicklung und Wartung von IT/OT inklusive Schwachstellenmanagement und -offenlegung.

f) Bewertung der Wirksamkeit

Konzepte und Verfahren, um die Wirksamkeit der Risikomanagement-Maßnahmen zu bewerten – etwa durch Tests und Übungen.

g) Cyberhygiene & Schulungen

Grundlegende Praktiken der Cyberhygiene und regelmäßige Schulungen für Beschäftigte und Leitung.

h) Kryptografie & Verschlüsselung

Konzepte und Verfahren für den Einsatz von Kryptografie und – wo angemessen – Verschlüsselung.

i) Personal, Zugriff & Assets

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen (Asset-Management).

j) MFA & gesicherte Kommunikation

Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie Notfallkommunikation.

Wie ist Art. 21 national umgesetzt?

Der Katalog wurde inhaltsgleich in die nationalen Umsetzungsgesetze übernommen – Österreich nahezu wortgleich, Deutschland mit leicht angepassten Formulierungen. Verbindlich ist damit nicht mehr nur die Richtlinie, sondern das jeweilige Gesetz:

  • Deutschland: § 30 Abs. 2 BSIG (NIS2UmsuCG, in Kraft seit 6.12.2025) – zehn Mindestmaßnahmen; die Einhaltung ist zu dokumentieren (§ 30 Abs. 1 S. 3). Die Schulungs- und Überwachungspflicht der Geschäftsleitung steht in § 38 BSIG.
  • Österreich: § 32 Abs. 4 NISG 2026 (ab 1.10.2026) – Details im Beitrag NISG 2026.
  • Digitale Infrastruktur (Cloud, DNS, MSP/MSSP u. a.): Für diese Einrichtungsarten konkretisiert die Durchführungsverordnung (EU) 2024/2690 die technischen und methodischen Anforderungen EU-weit einheitlich – sie hat insoweit Vorrang (§ 30 Abs. 3 BSIG).

Wo SecDrills konkret unterstützt

Drei der zehn Bereiche lassen sich besonders gut mit Tabletop-Übungen abdecken: b) und c) – die geübte Bewältigung von Vorfällen und die Krisenfähigkeit –, f) – der Nachweis der Wirksamkeit über wiederholte, bewertete Übungen – sowie g) – Schulung und Awareness von Beschäftigten und Leitung. Jede Übung endet mit einem After-Action-Report, der genau diesen Nachweis dokumentiert.

Mehr Kontext bietet der NIS2-Überblick; zur Einordnung Ihrer Pflicht hilft die Betroffenheitsprüfung.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Maßnahmen c, f und g praktisch nachweisen

Eine Tabletop-Übung testet Krisenmanagement, Wirksamkeit und Schulung in einem – mit audit-fähigem Report.

Übungsreife-Check starten