NIS2 Compliance Checklist — 10 Mandatory Measures for EU Businesses

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie(Richtlinie (EU) 2022/2555) ist die umfassende Cybersicherheitsgesetzgebung der Europäischen Union, die die ursprüngliche Richtlinie über die Sicherheit von Netz- und Informationssystemen von 2016 ersetzt. Am 14. Dezember 2022 verabschiedet, erweitert NIS2 den Kreis der betroffenen Organisationen erheblich, führt spezifische Sicherheitsanforderungen ein und legt substanzielle Sanktionen bei Nichteinhaltung fest.

NIS2 betrifft schätzungsweise 160.000 Einrichtungen in der EU, verglichen mit etwa 10.000 unter der ursprünglichen NIS-Richtlinie. Sie umfasst 18 Sektoren, die als „wesentliche“ (Anhang I) oder „wichtige“ (Anhang II) Einrichtungen eingestuft werden:

• Wesentliche Einrichtungen (Anhang I): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum
• Wichtige Einrichtungen (Anhang II): Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschungseinrichtungen

Key Timeline

Die 10 Sicherheitsmaßnahmen nach Artikel 21

Artikel 21 von NIS2 verpflichtet wesentliche und wichtige Einrichtungen, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ zur Beherrschung von Cybersicherheitsrisiken umzusetzen. Diese Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen und mindestens die folgenden zehn Bereiche abdecken:

1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme

Anforderung:Umfassende Cybersicherheitskonzepte erstellen und pflegen, die Risikobewertungsmethoden, Anlagenklassifizierung und Nutzungsrichtlinien abdecken. Die Konzepte müssen von der Geschäftsleitung genehmigt und mindestens jährlich überprüft werden.

Umsetzungsschritte:Führen Sie eine Risikobewertung nach ISO 27005 oder NIST SP 800-30 durch. Dokumentieren Sie ein Informationssicherheitskonzept nach ISO 27001. Klassifizieren Sie alle Informationswerte nach Kritikalität. Legen Sie Risikoakzeptanzkriterien und Behandlungspläne fest. Weisen Sie Konzeptverantwortlichkeiten und Überprüfungszeitpläne zu.

Erforderliche Nachweise:Schriftliches, von der Geschäftsleitung genehmigtes Sicherheitskonzept, Risikobewertungsbericht, Anlageinventar, Risikobehandlungsplan, Protokolle der jährlichen Überprüfung.

2. Bewältigung von Sicherheitsvorfällen

Anforderung:Verfahren zur Prävention, Erkennung, Analyse, Eindämmung und Reaktion auf Cybersicherheitsvorfälle einrichten. NIS2 führt spezifische Meldefristen ein: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats an das zuständige CSIRT.

Umsetzungsschritte:Erstellen Sie einen Vorfallreaktionsplan mit definierten Rollen (RACI-Matrix). Richten Sie eine 24/7-Erkennungskapazität ein oder beauftragen Sie einen Managed Detection and Response (MDR) Dienst. Definieren Sie Klassifizierungskriterien und Eskalationsverfahren. Testen Sie den Plan durch regelmäßige Tabletop-Übungen.

Erforderliche Nachweise:Vorfallreaktionsplan, CSIRT-Kontaktdaten und Meldevorlagen, Vorfallprotokoll, Berichte über Tabletop-Übungen, Dokumentation der Nachbereitung.

3. Betriebskontinuität und Krisenmanagement

Anforderung:Betriebskontinuität durch Backup-Management, Notfallwiederherstellung und Krisenmanagementverfahren sicherstellen. Dies umfasst die Aufrechterhaltung der Betriebsfähigkeit während und die Wiederherstellung nach Cybersicherheitsvorfällen.

Umsetzungsschritte:Führen Sie eine Geschäftsauswirkungsanalyse (BIA) durch, um kritische Prozesse und ihre maximal tolerierbare Ausfallzeit zu identifizieren. Implementieren Sie automatisierte Backup-Systeme mit getesteten Wiederherstellungsverfahren. Entwickeln Sie einen Notfallwiederherstellungsplan mit definierten RTO- und RPO-Werten. Erstellen Sie einen Krisenkommunikationsplan.

Erforderliche Nachweise:Geschäftsauswirkungsanalyse, Backup-Richtlinie und Wiederherstellungstestprotokolle, Notfallwiederherstellungsplan, Krisenmanagementverfahren, jährliche DR-Testergebnisse.

4. Sicherheit der Lieferkette

Anforderung:Sicherheitsrisiken in den Beziehungen zu direkten Lieferanten und Dienstleistern behandeln. Dies umfasst die Bewertung der Gesamtqualität der Produkte und Cybersicherheitspraktiken der Lieferanten sowie die Einbeziehung von Sicherheitsanforderungen in vertragliche Vereinbarungen.

Umsetzungsschritte:Erstellen Sie ein Lieferanteninventar mit Kritikalitätsklassifizierung. Definieren Sie Mindestsicherheitsanforderungen für Lieferanten (Vertragsklauseln). Führen Sie jährlich Sicherheitsbewertungen kritischer Lieferanten durch. Überwachen Sie die Sicherheitslage der Lieferanten durch Fragebögen, Audits oder automatisierte Tools. Nehmen Sie Anforderungen zur Vorfallmeldung in Lieferantenverträge auf.

Erforderliche Nachweise:Lieferanteninventar und Risikoklassifizierung, Sicherheitsklauseln in Verträgen, Lieferantenbewertungsberichte, Überwachungsverfahren, Vorfallreaktionsplan für die Lieferkette.

5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

Anforderung:Sicherheit in den gesamten Lebenszyklus von Netz- und Informationssystemen integrieren, einschließlich Erwerb, Entwicklung und Wartung. Dies umfasst die Behandlung und Offenlegung von Schwachstellen.

Umsetzungsschritte:Implementieren Sie einen sicheren Softwareentwicklungszyklus (SSDLC). Führen Sie Sicherheitstests (SAST, DAST, SCA) als Teil der CI/CD-Pipelines durch. Richten Sie ein Schwachstellenmanagementprogramm mit SLA-basierten Patching-Zeiträumen ein. Definieren Sie eine Richtlinie zur Offenlegung von Schwachstellen. Führen Sie vor der Bereitstellung neuer Systeme Sicherheitsüberprüfungen durch.

Erforderliche Nachweise:SSDLC-Dokumentation, Sicherheitstestberichte, Schwachstellenmanagementrichtlinie, Patch-Management-Aufzeichnungen, Richtlinie zur Offenlegung von Schwachstellen, Abnahmeprüfungsprotokolle.

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit des Cybersicherheits-Risikomanagements

Anforderung:Konzepte und Verfahren erstellen, um zu bewerten, ob die umgesetzten Cybersicherheits-Risikomanagementmaßnahmen wirksam sind. Dies bedeutet regelmäßiges Testen, Auditieren und Messen der Sicherheitskontrollen.

Umsetzungsschritte:Definieren Sie Sicherheitsmetriken und KPIs (mittlere Erkennungszeit, mittlere Reaktionszeit, Patch-Compliance-Rate). Planen Sie regelmäßige interne Audits und Penetrationstests. Implementieren Sie Tools zur kontinuierlichen Überwachung. Führen Sie vierteljährliche Management-Reviews der Sicherheitsleistung durch. Erwägen Sie externe Audits oder Zertifizierungen (ISO 27001, SOC 2).

Erforderliche Nachweise:Sicherheitsmetriken-Dashboard, interne Auditberichte, Penetrationstestberichte, Protokolle der Management-Reviews, Ergebnisse der kontinuierlichen Überwachung, Zertifizierungsunterlagen.

7. Grundlegende Cyberhygiene und Schulungen

Anforderung:Grundlegende Cyberhygienepraktiken umsetzen und regelmäßige Cybersicherheitsschulungen für alle Beschäftigten, einschließlich der Geschäftsleitung, anbieten. Leitungsorgane müssen eine spezifische Schulung erhalten, die sie befähigt, Risiken zu erkennen und Cybersicherheitspraktiken zu bewerten.

Umsetzungsschritte:Implementieren Sie ein Cybersicherheits-Sensibilisierungsprogramm für alle Beschäftigten (mindestens jährlich). Bieten Sie Spezialschulungen für die Geschäftsleitung zur Cybersicherheits-Risikosteuerung an. Führen Sie Phishing-Simulationskampagnen durch. Setzen Sie grundlegende Hygiene durch: Passwortrichtlinien, Geräteverschlüsselung, Clean-Desk-Richtlinie, sichere Telearbeit.

Erforderliche Nachweise:Schulungsmaterialien und Teilnahmenachweise, Ergebnisse der Phishing-Simulationen, Cyberhygiene-Richtlinie, Schulungszertifikate der Geschäftsleitung, Metriken der Sensibilisierungskampagnen.

8. Konzepte und Verfahren für Kryptographie und Verschlüsselung

Anforderung:Konzepte für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung zum Schutz der Vertraulichkeit, Authentizität und Integrität von Daten erstellen.

Umsetzungsschritte:Definieren Sie ein Kryptographiekonzept mit zugelassenen Algorithmen, Schlüssellängen und Protokollen. Implementieren Sie TLS 1.2+ für alle Daten bei der Übertragung. Verschlüsseln Sie sensible Daten im Ruhezustand mit AES-256. Richten Sie Schlüsselverwaltungsverfahren ein (Erzeugung, Verteilung, Speicherung, Rotation, Widerruf). Dokumentieren Sie kryptographische Inventare aller Systeme.

Erforderliche Nachweise:Kryptographiekonzept, TLS-Konfigurationsnachweise, Verschlüsselungsdokumentation, Schlüsselverwaltungsverfahren, kryptographisches Inventar, Zertifikatsverwaltungsnachweise.

9. Personalsicherheit, Zugriffskontrolle und Anlagenverwaltung

Anforderung:Sicherheitsmaßnahmen im Personalbereich umsetzen (Überprüfungen, Onboarding-/Offboarding-Sicherheit), Zugriffskontrollkonzepte (Least Privilege, rollenbasierter Zugriff) und Anlagenverwaltung (Inventar, Klassifizierung, Handhabung).

Umsetzungsschritte:Implementieren Sie rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der geringsten Berechtigung. Erstellen Sie Onboarding-/Offboarding-Checklisten für die Vergabe und den Entzug von Zugriffsrechten. Führen Sie ein vollständiges Anlageinventar mit Hardware, Software und Datenbeständen. Führen Sie regelmäßige Zugriffsüberprüfungen durch (vierteljährlich für privilegierte Konten, jährlich für Standardkonten). Implementieren Sie Multi-Faktor-Authentifizierung für alle administrativen und ferngesteuerten Zugriffe.

Erforderliche Nachweise:Zugriffskontrollkonzept, RBAC-Matrix, Onboarding-/Offboarding-Checklisten, Anlageinventar, Zugriffsüberprüfungsprotokolle, MFA-Dokumentation, Richtlinie für Hintergrundüberprüfungen.

10. Multi-Faktor-Authentifizierung, gesicherte Kommunikation und Notfallkommunikationssysteme

Anforderung:Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierungslösungen, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung verwenden, soweit angemessen.

Umsetzungsschritte:Stellen Sie MFA für alle Benutzerkonten mit Zugang zu kritischen Systemen bereit. Implementieren Sie Ende-zu-Ende-verschlüsselte Kommunikationskanäle für sensible Gespräche. Richten Sie Out-of-Band-Notfallkommunikationsverfahren ein (für den Fall einer Kompromittierung der Hauptkanäle). Testen Sie die Notfallkommunikationssysteme regelmäßig.

Erforderliche Nachweise:MFA-Bereitstellungsnachweise, Dokumentation der gesicherten Kommunikationsplattform, Notfallkommunikationsplan und Testergebnisse, Benutzerregistrierungsstatistiken, Ausnahmedokumentation.

Penalties for Non-Compliance

NIS2 introduces a tiered penalty structure that makes cybersecurity a board-level concern:

Beyond financial penalties, NIS2 introduces personal liability for management. Article 20 states that management bodies of essential and important entities must approve and oversee cybersecurity risk management measures and can be held personally liable for infringements. Supervisory authorities can impose temporary bans on individuals exercising management functions if they fail to comply.

Verantwortlichkeit der Geschäftsleitung unter NIS2

NIS2 adressiert ausdrücklich das Missverständnis, dass „Cybersicherheit ein IT-Problem ist“. Artikel 20 verlangt, dass:

• Leitungsorgane die Maßnahmen zum Cybersicherheits-Risikomanagement genehmigen
• Leitungsorgane die Umsetzung dieser Maßnahmen überwachen
• Mitglieder der Geschäftsleitung Schulungen absolvieren, um ausreichende Kenntnisse und Fähigkeiten zur Risikoerkennung und Bewertung von Cybersicherheitspraktiken zu erwerben
• Alle Beschäftigten regelmäßige Schulungen erhalten

Dies bedeutet, dass CEO, CFO und Aufsichtsratsmitglieder persönlich für Cybersicherheitsmängel haftbar gemacht werden können. Dies stellt eine wesentliche Änderung gegenüber früherer EU-Cybersicherheitsgesetzgebung dar und spiegelt die persönlichen Haftungsbestimmungen der Finanzregulierung wider.

Anforderungen an die Vorfallmeldung

NIS2 legt einen strukturierten dreistufigen Meldeprozess für bedeutende Vorfälle fest:

1. Frühwarnung (24 Stunden):Innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls muss die Einrichtung eine Frühwarnung an das zuständige CSIRT oder die Behörde übermitteln, die angibt, ob der Vorfall mutmaßlich durch unrechtmäßige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.
2. Vorfallmeldung (72 Stunden):Innerhalb von 72 Stunden muss eine vollständige Vorfallmeldung eingereicht werden, einschließlich einer ersten Bewertung des Vorfalls (Schweregrad, Auswirkungen), Kompromittierungsindikatoren (sofern vorhanden) und der Reaktionsmaßnahmen der Einrichtung.
3. Abschlussbericht (1 Monat):Innerhalb eines Monats nach der Vorfallmeldung muss ein Abschlussbericht eingereicht werden, einschließlich einer detaillierten Beschreibung des Vorfalls, einer Ursachenanalyse, der angewandten Abhilfemaßnahmen und etwaiger grenzüberschreitender Auswirkungen.

Erste Schritte zur NIS2-Konformität

Der Weg zur NIS2-Konformität beginnt mit dem Verständnis Ihrer aktuellen Sicherheitslage. Eine Lückenanalyse anhand der 10 Maßnahmen des Artikels 21 zeigt, wo Sie stehen und was noch zu tun ist. Für die meisten Organisationen sind die Schwerpunktbereiche:

1. Risikobewertung und Konzepte (Maßnahme 1):Dies ist das Fundament, auf dem alles andere aufbaut. Ohne Risikovertständnis können Ressourcen nicht effektiv zugewiesen werden.
2. Vorfallbewältigung (Maßnahme 2):Die 24-Stunden-Meldefrist bedeutet, dass Erkennungskapazitäten und Reaktionsverfahren vorhanden sein müssen, bevor ein Vorfall eintritt.
3. Lieferkettensicherheit (Maßnahme 4):Oft die am längsten dauernde Umsetzung, da sie die Zusammenarbeit mit Dritten erfordert. Frühzeitig beginnen.
4. Technische Maßnahmen (Maßnahmen 5, 8, 10):Automatisierte Scan-Tools können schnell Lücken in Ihrer technischen Sicherheitslage identifizieren: Schwachstellenmanagement, Verschlüsselung und Authentifizierung.