Zum Hauptinhalt springen
NIS2Certify
Zurück zur Übersicht

Die 10 NIS2-Cybersicherheitsmaßnahmen erklärt: Ein praktischer Leitfaden zu Artikel 21

Von NIS2Certify
nis2artikel-21cybersicherheitsmassnahmencompliancerisikomanagement

Artikel 21 ist das Herzstück der NIS2-Richtlinie. Er definiert die zehn Cybersicherheits-Risikomanagementmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss — nicht als Empfehlung, sondern als gesetzliche Pflicht.

Übersicht: die 10 Maßnahmen auf einen Blick

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
Artikel 21
10 Cybersicherheitsmaßnahmen
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Die 10 Maßnahmen im Detail

Maßnahme 1: Risikoanalyse und Richtlinien zur Informationssicherheit

Was es bedeutet: Organisationen müssen eine systematische Methodik zur Identifizierung und Bewertung von Cybersicherheitsrisiken etablieren. Dazu gehören die Dokumentation von Vermögenswerten, Bedrohungen und Schwachstellen sowie die Einschätzung von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen von Vorfällen. Die Ergebnisse fließen direkt in eine formelle Informationssicherheitsrichtlinie ein, die die Verpflichtungen des Managements und die Grundsätze des Informationsschutzes festlegt.

In der Praxis: Beginnen Sie mit der Erfassung Ihrer kritischen Vermögenswerte — Systeme, Daten und Prozesse. Führen Sie mindestens jährlich und bei wesentlichen Änderungen eine strukturierte Risikoanalyse durch. Dokumentieren Sie Ihre Risikoentscheidungen (akzeptieren, mindern, übertragen, vermeiden). Veröffentlichen Sie eine von der Geschäftsleitung unterzeichnete Informationssicherheitsrichtlinie und überprüfen Sie diese regelmäßig. Weisen Sie für jedes Risiko klare Verantwortliche zu, damit Maßnahmen auch tatsächlich umgesetzt werden.

Maßnahme 2: Umgang mit Sicherheitsvorfällen

Was es bedeutet: Organisationen benötigen dokumentierte Verfahren zur Erkennung, Klassifizierung, Reaktion auf und Meldung von Cybersicherheitsvorfällen. NIS2 führt strikte Meldefristen ein: eine Frühwarnung an das nationale CSIRT oder die zuständige Behörde innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls, eine vollständigere Meldung innerhalb von 72 Stunden sowie einen Abschlussbericht innerhalb eines Monats.

In der Praxis: Erstellen Sie einen Incident-Response-Plan, der definiert, was ein erheblicher Vorfall ist, wer für jeden Schritt verantwortlich ist und wie Beweise gesichert werden. Etablieren Sie eine 24/7-Eskalationskette, sodass der diensthabende Beauftragte stets die entscheidungsbefugte Person erreichen kann. Integrieren Sie Alarme aus SIEM, EDR und anderen Monitoring-Tools. Führen Sie mindestens einmal jährlich Planübungen (Tabletop Exercises) durch, um den Plan unter realistischen Bedingungen zu testen. Führen Sie ein Protokoll aller Vorfälle — einschließlich Beinahe-Vorfälle — um Erkenntnisse in Ihren Risikoprozess einfließen zu lassen.

Diagram laden...

Maßnahme 3: Geschäftskontinuität und Krisenmanagement

Was es bedeutet: Organisationen müssen sicherstellen, dass sie wesentliche Dienste auch während und nach einem schwerwiegenden Cybervorfall aufrechterhalten können. Dies umfasst Backup-Strategien, Notfallwiederherstellungspläne (Disaster Recovery) sowie umfassendere Krisenmanagement-Regelungen unter Einbeziehung der Unternehmensleitung und relevanter externer Stakeholder.

In der Praxis: Definieren Sie Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für alle kritischen Systeme. Implementieren Sie automatisierte, verschlüsselte Backups an einem geografisch getrennten Standort und testen Sie Wiederherstellungen regelmäßig. Erstellen Sie ein DR-Runbook mit schrittweisen Anweisungen für die wahrscheinlichsten Ausfallszenarien. Führen Sie Krisenübungen unter Einbeziehung der Geschäftsleitung durch, damit Führungskräfte ihre Rolle kennen, bevor ein tatsächlicher Notfall eintritt.

Maßnahme 4: Sicherheit in der Lieferkette

Was es bedeutet: Die Sicherheitslage Ihrer Lieferanten und Dienstleister wirkt sich direkt auf Ihr eigenes Risikoprofil aus. NIS2 verpflichtet Organisationen, die Cybersicherheitspraktiken direkter Lieferanten zu bewerten, vertragliche Sicherheitspflichten festzulegen und Risiken durch Dritte über den gesamten Lebenszyklus der Geschäftsbeziehung zu managen.

In der Praxis: Führen Sie ein Register aller Drittparteien mit Zugang zu Ihren Systemen oder Daten. Führen Sie risikobasierte Due-Diligence-Prüfungen vor der Aufnahme neuer Lieferanten durch — nutzen Sie Fragebögen, Zertifizierungen (z. B. ISO 27001) oder Prüfungsrechte. Nehmen Sie Mindestsicherheitsanforderungen in Verträge auf: Meldepflichten bei Vorfällen, Prüfungsklauseln und Datenschutzstandards. Überprüfen Sie kritische Lieferanten jährlich und beenden Sie Beziehungen, die inakzeptable Risiken darstellen.

Maßnahme 5: Sicherheit in Netz- und Informationssystemen

Was es bedeutet: Technische Sicherheitsmaßnahmen müssen über den gesamten Lebenszyklus von Netz- und Informationssystemen angewendet werden — von Design und Entwicklung über den Betrieb bis zur Außerbetriebnahme. Dies umfasst sichere Standardkonfigurationen, Schwachstellenmanagement und zeitnahes Patching.

In der Praxis: Wenden Sie eine Härtungsbaseline auf alle Server, Endgeräte und Netzwerkgeräte an. Führen Sie ein aktuelles Asset-Inventar, damit nichts übersehen wird. Abonnieren Sie Schwachstellen-Intelligence-Feeds und legen Sie SLAs für Patching fest: kritische Schwachstellen innerhalb von 72 Stunden, hohe Risiken innerhalb von 30 Tagen. Nutzen Sie Netzwerksegmentierung, um laterale Bewegungen einzuschränken. Setzen Sie sichere Entwicklungspraktiken — Code-Reviews, statische Analyse, Dependency-Scanning — für selbst entwickelte oder angepasste Software ein.

Maßnahme 6: Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen

Was es bedeutet: Organisationen müssen über Mechanismen verfügen, um zu beurteilen, ob ihre Sicherheitskontrollen tatsächlich wirken. Dies umfasst regelmäßige Tests, unabhängige Audits und den Einsatz von Metriken, um die Sicherheitsleistung nachzuweisen und kontinuierlich zu verbessern.

In der Praxis: Legen Sie Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs) für Ihr Sicherheitsprogramm fest. Beauftragen Sie mindestens jährlich — und nach wesentlichen Änderungen — Penetrationstests, um technische Maßnahmen zu validieren. Führen Sie interne Audits anhand Ihrer Sicherheitsrichtlinien und NIS2-Anforderungen durch. Präsentieren Sie Ergebnisse der Geschäftsleitung mit klaren Fristen für Abhilfemaßnahmen. Nutzen Sie die Ergebnisse zur Aktualisierung Ihrer Risikoanalyse und zur Priorisierung von Investitionen.

Maßnahme 7: Grundlegende Cyberhygiene und Cybersicherheitsschulungen

Was es bedeutet: Menschliches Verhalten ist nach wie vor einer der größten Angriffsvektoren. NIS2 verlangt, dass Organisationen grundlegende Cyberhygienepraktiken in der gesamten Belegschaft implementieren und rollengerechte Cybersicherheitsschulungen anbieten. Hygiene umfasst Grundlagen wie Passwortmanagement, Software-Updates und Phishing-Bewusstsein.

In der Praxis: Führen Sie verpflichtende Sicherheitsbewusstseinsschulungen für alle Mitarbeitenden beim Onboarding und mindestens jährlich danach ein. Bieten Sie erweiterte Module für IT-Administratoren, Entwickler und Führungskräfte an. Führen Sie simulierte Phishing-Kampagnen durch, um die Wachsamkeit der Mitarbeitenden zu messen und zu verbessern. Veröffentlichen Sie klare Richtlinien zu akzeptabler Nutzung, Clean-Desk-Policy und Heimarbeitssicherheit. Verfolgen Sie Abschlussquoten und integrieren Sie die Ergebnisse in Ihr Risikobild.

Maßnahme 8: Kryptografie und Verschlüsselungsrichtlinien

Was es bedeutet: Organisationen müssen Richtlinien zur Nutzung kryptografischer Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Authentizität von Informationen definieren und durchsetzen. Dies umfasst die Festlegung genehmigter Algorithmen, Schlüssellängen und Schlüsselverwaltungsverfahren.

In der Praxis: Veröffentlichen Sie eine Kryptografierichtlinie, die den Einsatz aktueller, branchenweit anerkannter Algorithmen vorschreibt (z. B. AES-256 für ruhende Daten, TLS 1.2/1.3 für Daten in Transit). Etablieren Sie ein Schlüsselverwaltungsverfahren für Generierung, Speicherung, Rotation und Vernichtung kryptografischer Schlüssel. Stellen Sie sicher, dass sensible Daten durchgehend verschlüsselt sind — einschließlich Backups und Wechseldatenträger. Überprüfen Sie Ihre kryptografischen Standards mindestens alle zwei Jahre.

Maßnahme 9: Personalsicherheit, Zugangskontrolle und Asset-Management

Was es bedeutet: Sicherheitsrisiken entstehen über den gesamten Mitarbeiterzyklus — von der Einstellung bis zum Ausscheiden. NIS2 verlangt angemessene Personalsicherheitsmaßnahmen (einschließlich Hintergrundüberprüfungen, wo rechtlich zulässig), ein robustes Zugangssteuerungsrahmenwerk auf Basis des Least-Privilege-Prinzips sowie ein umfassendes Asset-Inventar.

In der Praxis: Definieren Sie Screening-Anforderungen für Stellen mit erhöhtem Zugang zu sensiblen Systemen oder Daten. Implementieren Sie einen formalen Eintritt-Versetzung-Austritt-Prozess (EVA): Zugang am ersten Arbeitstag bereitstellen, bei Rollenwechseln anpassen und beim Ausscheiden unverzüglich entziehen. Wenden Sie rollenbasierte Zugangskontrolle (RBAC) an und überprüfen Sie Zugriffsrechte vierteljährlich. Führen Sie ein aktuelles Inventar aller Hardware- und Software-Assets mit Eigentümer und Klassifizierungsstufe.

Maßnahme 10: Multi-Faktor-Authentifizierung und sichere Kommunikation

Was es bedeutet: Passwörter allein reichen nicht aus, um den Zugang zu sensiblen Systemen zu schützen. NIS2 verlangt den Einsatz von Multi-Faktor-Authentifizierung (MFA) und verschlüsselten Kommunikationskanälen, insbesondere für administrativen Zugang, Fernkonnektivität und Kommunikation mit kritischen Informationen.

In der Praxis: Erzwingen Sie MFA für alle extern erreichbaren Systeme — VPN, Webmail, Cloud-Portale und Remote Desktop. Erweitern Sie MFA auf alle privilegierten Konten und sensiblen internen Systeme. Nutzen Sie Phishing-resistente MFA-Methoden (z. B. FIDO2/Hardware-Token) für den kritischsten Zugang. Stellen Sie sicher, dass alle administrativen Kommunikationen über verschlüsselte Kanäle verlaufen. Halten Sie Notfallzugangsverfahren vor, die sowohl sicher als auch zuverlässig verfügbar sind, wenn primäre Authentifizierungswege ausfallen.

Priorisierung

PhaseMaßnahmenWarum zuerst
Phase 11 (Risiko), 9 (Zugang), 10 (MFA)Fundament + Quick Wins
Phase 22 (Vorfälle), 3 (Kontinuität)Resilienz
Phase 37 (Schulung), 8 (Kryptografie)Menschen + Datenschutz
Phase 44 (Lieferkette), 5 (Entwicklung), 6 (Wirksamkeit)Reife + Verifikation

Starten Sie mit einem kostenlosen Quickscan

Unser kostenloser NIS2-Quickscan bewertet Ihre Organisation über alle 10 Artikel-21-Maßnahmenkategorien.

Lesen Sie auch

Zum kostenlosen Quickscan →

    Die 10 NIS2-Cybersicherheitsmaßnahmen erklärt: Ein praktischer Leitfaden zu Artikel 21 — NIS2Certify