Is the CIR mandatory for all NIS2 entities?

Commission Implementing Regulation (EU) 2024/2690 is directly and legally mandatory for the 11 entity types listed in Article 2(2) of the NIS2 Directive: DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, CDN providers, managed service providers (MSPs), managed security service providers (MSSPs), providers of online marketplaces, providers of online search engines, providers of social networking services platforms, and trust service providers. For all other NIS2 essential and important entities, the CIR is not technically a direct legal obligation. However, ENISA recommends it as best practice for all NIS2 entities, and national competent authorities are using it as the benchmark when assessing Article 21 compliance across all entity types. In practice, demonstrating CIR compliance is the strongest available evidence of Article 21 adequacy regardless of entity category.

How does the CIR relate to ISO 27001?

The CIR requirements have substantial overlap with ISO 27001:2022 Annex A controls, reflecting shared origins in established information security frameworks. Organisations with ISO 27001 certification have already addressed most CIR requirements through their ISMS. However, the CIR includes several NIS2-specific additions not covered by ISO 27001 alone: the mandatory 24/72-hour incident reporting timeline under Article 23, the explicit post-incident review requirement, the classified supplier directory, the management body training obligation under Article 20, and explicit MFA mandation for defined access scenarios. The ENISA Technical Implementation Guidance provides detailed ISO 27001 to CIR cross-mappings to help organisations identify remaining gaps.

When did the CIR come into force?

Commission Implementing Regulation (EU) 2024/2690 was adopted by the European Commission on 17 October 2024 and published in the Official Journal of the EU on 18 October 2024. As a directly applicable EU Regulation, it entered into force upon publication and applies uniformly across all 27 EU member states without requiring any national transposition legislation.

Can we use the CIR as our complete NIS2 compliance framework?

Yes. Implementing all 13 CIR Annex sections satisfies the Article 21 cybersecurity risk-management obligations of the NIS2 Directive. For entities in the Article 2(2) list, it is the mandatory compliance standard. For all other NIS2 entities, the CIR's 13-section structure represents the most comprehensive and supervisory-recognised framework currently available for demonstrating Article 21 compliance. You will still need to address the NIS2 governance requirements in Articles 20 and 22 and the incident reporting obligations in Article 23, but the CIR covers all Article 21 security measures comprehensively.

What about sector-specific requirements — do they override the CIR?

Some sectors face additional cybersecurity obligations through sector-specific EU legislation that overlays NIS2. Financial entities subject to DORA (Digital Operational Resilience Act) face more prescriptive ICT risk management and third-party risk requirements in certain areas. Energy sector operators may have additional requirements through the Network Codes. Healthcare entities face additional data security obligations through GDPR and eHealth regulations. In all cases, the CIR provides the NIS2-specific floor and sector-specific legislation adds on top. Where both apply, organisations should implement both, documenting the overlap and any sector-specific additions required.

NIS2-Durchführungsverordnung (CIR 2024/2690): Vollständiger Leitfaden zu den technischen Anforderungen - NIS2-Richtlinie.com

Zuletzt verifiziert: März 2026. Die Durchführungsverordnung (EU) 2024/2690 der Kommission wurde am 17. Oktober 2024 erlassen und am 18. Oktober 2024 im Amtsblatt der EU veröffentlicht. Sie gilt unmittelbar in allen 27 EU-Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich ist.

Die meisten online verfügbaren NIS2-Leitfäden enden auf der Ebene der Richtlinie: eine Zusammenfassung der zehn Maßnahmen gemäß Article 21, eine Bußgeldtabelle und eine allgemeine Implementierungs-Checkliste. Was in der Compliance-Landschaft nahezu vollständig fehlt, ist eine detaillierte, praxisnahe Aufschlüsselung der Durchführungsverordnung (EU) 2024/2690 der Kommission — des Dokuments, das mit technischer und methodischer Präzision festlegt, was diese zehn Maßnahmen in der Praxis konkret erfordern.

Dies ist der maßgebliche Leitfaden zu dieser Verordnung. Wenn Sie als Compliance-Beauftragter, CISO oder leitende Führungskraft für die NIS2-Implementierung verantwortlich sind und nicht nur wissen möchten, dass Article 21 „Sicherheit der Lieferkette“ vorschreibt, sondern genau verstehen müssen, welche Richtlinien, Verzeichnisse, Verfahren und Vertragsklauseln damit gemeint sind — sind Sie hier richtig.

Die CIR ist das wichtigste Dokument für die NIS2-Compliance, das die meisten Verantwortlichen noch nicht vollständig gelesen haben. Am Ende dieses Leitfadens werden Sie ein vollständiges Bild aller 13 Annex-Abschnitte haben, erkennen, wo die CIR über den Wortlaut von Article 21 hinausgeht, wissen, welche Vorlagendokumente die jeweiligen Anforderungen abdecken, und verstehen, wie die Implementierung anzugehen ist. Wenn Sie noch prüfen, ob Ihre Organisation in den NIS2-Anwendungsbereich fällt, beginnen Sie zunächst mit unserem NIS2-Leitfaden zum Anwendungsbereich.

Was ist CIR 2024/2690 und warum ist sie bedeutsam

Die NIS2-Richtlinie (EU) 2022/2555 legt zehn Kategorien von Cybersicherheits-Risikomanagementmaßnahmen fest, die wesentliche und wichtige Einrichtungen gemäß Article 21 umsetzen müssen. Die Richtlinie ist bewusst breit angelegt — sie gilt für Organisationen von kleinen Managed-Service-Providern bis hin zu großen Energieinfrastrukturbetreibern in allen 27 EU-Mitgliedstaaten. Der Wortlaut von Article 21 spiegelt diese Breite wider: „Maßnahmen zur Sicherheit der Lieferkette“, „grundlegende Verfahren im Bereich der Cyberhygiene“, „den Einsatz von Kryptografie und Verschlüsselung“. Er definiert, was adressiert werden muss, nicht wie.

Die Durchführungsverordnung (EU) 2024/2690 der Kommission — allgemein als CIR oder NIS2-Durchführungsverordnung bezeichnet — schließt diese Lücke. Sie wurde auf der Grundlage der delegierten Befugnisse gemäß Article 21(5) der Richtlinie erlassen und am 17. Oktober 2024 verabschiedet. Ihr vollständiger Titel beschreibt treffend, was sie leistet: „zur Festlegung technischer und methodischer Anforderungen an Cybersicherheits-Risikomanagementmaßnahmen und zur näheren Bestimmung der Fälle, in denen ein Vorfall als erheblich zu betrachten ist.“

Die CIR überführt jede Maßnahme gemäß Article 21 in spezifische, umsetzbare technische Anforderungen. Wo die Richtlinie „Sicherheit der Lieferkette“ vorschreibt, verlangt die CIR eine dokumentierte Lieferketten-Sicherheitsrichtlinie mit Lieferantenauswahlkriterien, ein gepflegtes Verzeichnis aller direkten Lieferanten mit Klassifizierung nach Kritikalität sowie spezifische vertragliche Sicherheitsverpflichtungen für Lieferanten mit höherem Risiko. Wo die Richtlinie „Zugangskontrolle“ erwähnt, konkretisiert die CIR das Prinzip der minimalen Rechtevergabe, Verfahren für das Management privilegierter Zugänge, Anforderungen an das Identitätsmanagement und die ausdrückliche Pflicht zur Multi-Faktor-Authentifizierung für definierte Zugriffsszenarien.

Drei Merkmale machen die CIR einzigartig bedeutsam

Unmittelbar anwendbares EU-Recht: Anders als die NIS2-Richtlinie selbst, die von jedem Mitgliedstaat in nationales Recht umgesetzt werden musste (mit Unterschieden zwischen den Rechtsordnungen), ist die CIR eine EU-Verordnung. Sie gilt automatisch und einheitlich in allen 27 Mitgliedstaaten ab dem Tag der Veröffentlichung, ohne auf nationale Umsetzung warten zu müssen und ohne länderspezifische Anforderungsunterschiede.
Spezifität auf Kontrollebene: Die CIR legt Anforderungen mit messbarer, prüfbarer Präzision fest. Compliance-Teams können jeden Annex-Unterabschnitt lesen, die erforderliche Richtlinie, das erforderliche Verfahren oder die erforderliche technische Kontrolle identifizieren und umsetzen. Es besteht keine Unklarheit darüber, was „angemessen“ bedeutet — die CIR definiert es.
Der faktisch universelle NIS2-Standard: Obwohl die CIR formell für eine definierte Teilmenge von 11 Einrichtungstypen gilt, empfiehlt ENISA sie ausdrücklich als bewährte Praxis für alle NIS2-Einrichtungen, und nationale zuständige Behörden in der gesamten EU verwenden sie als Aufsichtsmaßstab. In der Praxis ist der Nachweis der CIR-Konformität der überzeugendste verfügbare Beleg für die Angemessenheit gemäß Article 21 — unabhängig vom Einrichtungstyp.

Der Annex der CIR enthält 13 Abschnitte, die alle wesentlichen Sicherheitsbereiche abdecken. Zusammengenommen umfassen sie mehr als 35 spezifische technische und methodische Anforderungen. Einen umfassenderen Überblick über alle Verpflichtungen gemäß Article 21 und das vollständige NIS2-Compliance-Bild finden Sie in unserem Leitfaden zu den NIS2-Anforderungen.

Für wen gilt die CIR

Die CIR ist formell auf eine bestimmte Teilmenge von NIS2-Einrichtungen beschränkt — jene, die in Article 2(2) der NIS2-Richtlinie aufgeführt sind, vorwiegend Anbieter digitaler Infrastrukturen und digitaler Dienste, deren grenzüberschreitende Reichweite harmonisierte technische EU-Standards besonders wichtig macht:

DNS-Diensteanbieter
Registries für Domänennamen der obersten Ebene (TLD)
Cloud-Computing-Diensteanbieter
Rechenzentrumsbetreiber
Anbieter von Inhaltszustellnetzwerken (CDN)
Managed-Service-Provider (MSPs)
Managed-Security-Service-Provider (MSSPs)
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für soziale Netzwerke
Vertrauensdiensteanbieter

Wenn Ihre Organisation in eine dieser Kategorien fällt, stellt die CIR eine unmittelbare gesetzliche Verpflichtung dar. Ihre Cybersicherheits-Risikomanagementmaßnahmen müssen die technischen und methodischen Anforderungen des 13-seitigen Annex erfüllen, und Ihre nationale zuständige Behörde wird die Compliance anhand dieser Anforderungen beurteilen.

Warum die CIR auch dann relevant ist, wenn sie nicht rechtlich verbindlich ist

Wenn Ihre Organisation eine wesentliche oder wichtige NIS2-Einrichtung ist, aber nicht zu den 11 oben genannten Kategorien gehört — ein Krankenhaus, ein Wasserversorgungsunternehmen, ein Fertigungsunternehmen, ein Logistikbetreiber — ist die CIR technisch gesehen nicht rechtlich verbindlich. Ihre Verpflichtungen ergeben sich aus NIS2 Article 21 und dem jeweiligen nationalen Umsetzungsgesetz. Es gibt jedoch überzeugende Gründe, die CIR unabhängig davon als Ihren Compliance-Standard zu behandeln:

ENISA empfiehlt sie ausdrücklich: Die technische ENISA-Implementierungsleitlinie (veröffentlicht im Juni 2025) behandelt die CIR-Anforderungen als geeigneten Referenzrahmen für die gesamte Umsetzung von Article 21 — nicht nur für die 11 erfassten Kategorien. ENISA verweist auf die CIR als solide technische Benchmarks, die für alle NIS2-Einrichtungstypen anwendbar sind.
Aufsichtsbehörden verwenden sie: Nationale zuständige Behörden in der gesamten EU beziehen sich bei der Beurteilung, ob die Cybersicherheitsmaßnahmen von Organisationen angemessen sind, auf die 13-gliedrige Struktur der CIR — unabhängig von der Einrichtungskategorie. Der Nachweis der CIR-Konformität liefert die klarsten verfügbaren Prüfungsnachweise.
Es gibt keine alternative Spezifikation auf EU-Rechtsebene: Die CIR ist das einzige Dokument auf EU-Verordnungsebene, das die technischen Anforderungen von Article 21 spezifiziert. Alle anderen Leitlinien (ENISA, nationale Empfehlungen) sind nicht verbindlich. Wer seine Compliance auf der CIR aufbaut, verankert sein Programm in unmittelbar anwendbarem Recht.

Unsere Empfehlung: Behandeln Sie die CIR als Ihren Compliance-Rahmen, unabhängig davon, ob sie für Ihren Einrichtungstyp technisch verbindlich ist. Sie ist der spezifischste, handlungsorientierte und aufsichtsbehördlich anerkannte technische Standard, der für NIS2 derzeit verfügbar ist.

Übersicht aller 13 CIR-Annex-Abschnitte

Der CIR-Annex ist in 13 Abschnitte gegliedert, von denen jeder eine oder mehrere der Cybersicherheits-Risikomanagementmaßnahmen gemäß Article 21 umsetzt. Zu beachten ist, dass Article 21(2)(a) durch zwei separate Abschnitte (Richtlinie und Risikomanagement) adressiert wird und Article 21(2)(i) in vier Abschnitte aufgeteilt ist (Personalsicherheit, Zugangskontrolle, Asset-Management und physische Sicherheit), was die Bereiche widerspiegelt, in denen die CIR die detailliertesten und operativ bedeutsamsten Anforderungen enthält.

Abschnitt	Titel	NIS2 Art. 21 Maßnahme	Unteranforderungen	Unsere Vorlagen
1	Sicherheitsrichtlinie	Art. 21(2)(a)	3	#4, #11, #34
2	Risikomanagement	Art. 21(2)(a)	3	#5, #6, #7, #8, #9, #10
3	Umgang mit Sicherheitsvorfällen	Art. 21(2)(b)	6	#21, #48, #49, #50, #51, #52
4	Business Continuity & Krisenmanagement	Art. 21(2)(c)	3	#23, #35, #36, #37, #38, #39, #40, #41
5	Sicherheit der Lieferkette	Art. 21(2)(d)	2	#42, #43, #44, #45
6	Beschaffung, Entwicklung & Wartung	Art. 21(2)(e)	2	#20, #22, #31, #32
7	Bewertung der Wirksamkeit	Art. 21(2)(f)	2	#40, #41, #46, #47
8	Cyberhygiene & Schulungen	Art. 21(2)(g)	2	#3, #12, #19, #20
9	Kryptografie	Art. 21(2)(h)	2	#25, #27
10	Personalsicherheit	Art. 21(2)(i) teilweise	4	#33, #34, #44
11	Zugangskontrolle	Art. 21(2)(i) teilweise & (j)	7	#13, #14, #25, #28, #29, #30
12	Asset-Management	Art. 21(2)(i) teilweise	3	#16, #17, #18, #26
13	Physische und umgebungsbezogene Sicherheit	Art. 21(2)(i) teilweise	2	#12, #15

Die obenstehende Tabelle bietet Compliance-Teams eine Einzelreferenzansicht der vollständigen CIR-Struktur. Die nachfolgenden Abschnitte erläutern jeden davon im Detail. Eine Checkliste, die alle Anforderungen dem Umsetzungsstatus zuordnet, finden Sie in der NIS2-Compliance-Checkliste.

Anforderungen Abschnitt für Abschnitt

Die folgende Aufschlüsselung behandelt jeden der 13 CIR-Annex-Abschnitte: was er in verständlicher Sprache erfordert, seine wesentlichen Unteranforderungen, Umsetzungshinweise für KMU sowie die Vorlagen, die die erforderliche Dokumentation liefern.

Abschnitt 1 — Richtlinie zur Sicherheit von Netz- und Informationssystemen

Was er erfordert: Ein dokumentiertes Richtlinienrahmenwerk zur Steuerung der Sicherheit der Netz- und Informationssysteme der Organisation. Dies ist das grundlegende Governance-Dokument, aus dem alle anderen Sicherheitskontrollen ihre Autorität und ihren Geltungsbereich ableiten.

Wesentliche Unteranforderungen:

1.1 Richtlinienrahmen: Eine übergeordnete Informationssicherheitsrichtlinie, die vom Leitungsorgan genehmigt wird und Ziele, Anwendungsbereich und den allgemeinen Ansatz der Organisation zum Cybersicherheits-Risikomanagement abdeckt. Das für die Genehmigung zuständige Leitungsorgan ist dasselbe, das gemäß NIS2 Article 20 persönliche Haftung trägt.
1.2 Rollen und Verantwortlichkeiten: Klar definierte Cybersicherheitsrollen mit namentlich benannten Verantwortlichen auf angemessener Ebene, einschließlich der ausdrücklichen Benennung der Verantwortlichkeit auf Leitungsebene für das Cybersicherheitsprogramm gemäß Article 20.
1.3 Managementüberprüfung: Die Richtlinie muss mindestens jährlich sowie nach erheblichen Vorfällen, organisatorischen Änderungen oder wesentlichen Veränderungen der Bedrohungslage überprüft werden. Die Nachweise der Managementgenehmigung bei jeder Überprüfung müssen dokumentiert werden — ein unterzeichnetes Überprüfungsprotokoll ist das Mindestmaß an akzeptablen Belegen.

KMU-Umsetzungshinweis: Viele kleinere Organisationen verwechseln die Sicherheitsrichtlinie mit einem Dokument zu technischen Kontrollen. Abschnitt 1 erfordert eine kurze, übergeordnete Governance-Erklärung — in der Regel vier bis acht Seiten — die ein Geschäftsführer oder eine gleichwertige Person unterzeichnet. Die technischen Details sind in den nachgeordneten Richtlinien und Verfahren enthalten, die sich daraus ableiten und in den Abschnitten 3 bis 13 behandelt werden.

Vorlagen: Dok 04 (Informationssicherheitsrichtlinie), Dok 11 (IT-Sicherheitsrichtlinie), Dok 34 (Erklärung zur Annahme von Cybersicherheitsdokumenten).

Abschnitt 2 — Risikomanagement

Was er erfordert: Einen systematischen, dokumentierten Ansatz zur Identifizierung, Bewertung und Behandlung von Cybersicherheitsrisiken für Netz- und Informationssysteme und die von ihnen unterstützten Dienste.

Wesentliche Unteranforderungen:

2.1 Risikobeurteilungsrahmen: Eine definierte Methodik, die beschreibt, wie Risiken identifiziert werden, wie Eintrittswahrscheinlichkeit und Auswirkungen bewertet werden, wie Risiken priorisiert werden und welche Risikoakzeptanzkriterien gelten. Die Methodik muss dokumentiert und formal vom Management genehmigt sein.
2.1.1 Regelmäßige Risikobeurteilungen: Beurteilungen müssen in geplanten Abständen, nach erheblichen Vorfällen oder Beinahe-Vorfällen sowie nach wesentlichen Änderungen der Betriebsumgebung oder Dienstleistungserbringung durchgeführt werden. Risiken müssen identifiziert, basierend auf der Kritikalität der betroffenen Dienste priorisiert und formal akzeptiert oder behandelt werden.
Risikobehandlung: Risiken, die den Akzeptanzschwellenwert überschreiten, müssen über dokumentierte Behandlungspläne mit namentlich benannten Verantwortlichen und Zieldaten verfügen, die formal vom Management akzeptiert wurden.

KMU-Umsetzungshinweis: Die CIR schreibt keine spezifische Risikobeurteilungsmethodik vor — ISO 27005, NIST CSF, OCTAVE und maßgeschneiderte Ansätze erfüllen alle die Anforderung. Entscheidend ist, dass die Methodik dokumentiert, konsistent angewendet wird und Ergebnisse liefert, die das Management nach einem definierten Zeitplan überprüft. Einen praktischen Methodikleitfaden finden Sie in unserem NIS2-Leitfaden zur Risikobeurteilung.

Vorlagen: Dok 05 (Risikobeurteilungsmethodik), Dok 06 (Risikobeurteilungstabelle), Dok 07 (Risikobehandlungstabelle), Dok 08 (Akzeptanz von Restrisiken), Dok 09 (Bericht zur Risikobeurteilung und -behandlung), Dok 10 (Risikobehandlungsplan).

Abschnitt 3 — Umgang mit Sicherheitsvorfällen

Was er erfordert: Durchgängige Verfahren zur Erkennung, Klassifizierung, Reaktion auf und Meldung von Cybersicherheitsvorfällen — einschließlich der obligatorischen NIS2-Meldeverpflichtungen gemäß Article 23. Abschnitt 3 ist einer der operativ bedeutsamsten Teile der CIR und fügt sechs spezifische Unteranforderungen über den allgemeinen Wortlaut von Article 21(2)(b) hinaus hinzu.

Wesentliche Unteranforderungen:

3.1 Richtlinie zum Umgang mit Sicherheitsvorfällen: Dokumentierte Definitionen dessen, was einen Sicherheitsvorfall darstellt, ein Schweregradklassifizierungsschema, das mindestens die Stufen niedrig, mittel, hoch und kritisch umfasst, sowie Eskalationswege für jede Schweregradufe.
3.2 Überwachung und Protokollierung: Technische Kontrollen und Prozesse zur Erkennung von Sicherheitsereignissen. Die Protokollierung muss sicherheitsrelevante Aktivitäten in kritischen Systemen abdecken und ausreichend sein, um Vorfallsuntersuchungen und forensische Analysen zu unterstützen. Diese Unteranforderung fehlt in Article 21 und stellt eine der bedeutendsten CIR-Ergänzungen dar.
3.3 Ereignistriage und -klassifizierung: Verfahren zur Überprüfung erkannter Ereignisse, zur Unterscheidung echter Vorfälle von Fehlalarmen, zur Schweregradklassifizierung und zur Feststellung, ob die Meldeschwellen gemäß Article 23 erreicht wurden.
3.4 Verfahren zur Vorfallsreaktion: Schrittweise Reaktions-Playbooks für jede Schweregradufe, die mindestens Eindämmung, Beseitigung, Wiederherstellung und Beweissicherung umfassen.
3.5 Vorfallsmeldung gemäß Article 23: Verfahren und Vorlagen für jede Phase des NIS2-Meldezeitplans: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung und einmonatiger Abschlussbericht. Das vollständige Verfahren gemäß Article 23 finden Sie in unserem NIS2-Leitfaden zur Vorfallsmeldung.
3.6 Nachbearbeitung von Vorfällen: Ein strukturierter Lessons-learned-Prozess nach jedem erheblichen Vorfall mit dokumentierten Ergebnissen und Korrekturmaßnahmen, die bis zum Abschluss verfolgt werden. Diese Anforderung ist in der CIR ausdrücklich festgelegt und geht weit über den allgemeinen Wortlaut der Richtlinie hinaus.

Vorlagen: Dok 21 (Verfahren zur Protokollierung und Überwachung), Dok 48 (Richtlinie zum Umgang mit Vorfällen), Dok 49 (Verfahren zur Reaktion auf geringfügige Vorfälle), Dok 50 (Vorfallsprotokoll), Dok 51 (Formulare zur Vorfallsmeldung und -benachrichtigung), Dok 52 (Register der Korrekturmaßnahmen).

Abschnitt 4 — Business Continuity und Krisenmanagement

Was er erfordert: Pläne und Verfahren zur Sicherstellung der Dienstleistungskontinuität und der Wiederherstellung nach Störungen, mit spezifischen Anforderungen an das Backup-Management, getestete Wiederherstellungsverfahren und Krisenkommun ikationsfähigkeiten.

Wesentliche Unteranforderungen:

4.1 BC/DR-Plan: Identifiziert kritische Betriebsprozesse sowie die Systeme, Daten, Mitarbeitenden und Abhängigkeiten von Dritten, die diese erfordern. Definiert RTOs und RPOs für jeden kritischen Dienst auf Basis einer Business-Impact-Analyse. Weist benannte Wiederherstellungsrollen mit Stellvertretungen zu. Dokumentiert Wiederherstellungsverfahren für mehrere Störungsszenarien, einschließlich Ransomware, Hardwareausfall und Ausfall von Betriebsstätten.
4.2 Backup und Redundanz: Eine dokumentierte Backup-Richtlinie, die Umfang (welche Daten und Systeme), Häufigkeit (abgestimmt auf RPOs), Speicherorte und Schutz vor denselben Risiken wie die Primärsysteme abdeckt — einschließlich offline oder unveränderlicher Kopien speziell zum Schutz vor Ransomware, die auf Backup-Repositories abzielt. Entscheidend ist: Wiederherstellungsverfahren müssen getestet, nicht nur dokumentiert werden. Testfrequenz und Testergebnisse (bestanden/nicht bestanden) müssen nachgewiesen werden.

4.3 Krisenmanagement: Krisenmanagementverfahren, die Eskalationskriterien (welches Störungsniveau löst Krisenmanagement statt normaler Vorfallsreaktion aus), eine Krisenteamstruktur mit definierten Befugnissen, außerbandmäßige Kommunikationskanäle, die bei Ausfall der primären IT-Systeme genutzt werden können, sowie Verfahren zur Koordination mit dem

Beziehung zur technischen Umsetzungsleitlinie der ENISA

Im Juni 2025 veröffentlichte ENISA seine Technical Implementation Guidance for CIR 2024/2690 — ein nicht bindendes, aber äußerst maßgebliches Dokument mit praktischen Empfehlungen zur Umsetzung jedes der 13 Abschnitte der CIR. Die Beziehung zwischen den drei technischen NIS2-Dokumenten bildet eine klare Hierarchie:

NIS2 Directive Article 21 — die rechtliche Verpflichtung (übergeordnet, prinzipienbasiert)
CIR 2024/2690 Annex — die technischen Anforderungen (spezifisch und unmittelbar anwendbar, jedoch stellenweise noch prinzipienbasiert)
ENISA Technical Implementation Guidance — praktische Empfehlungen, spezifische Kontrollbeispiele, empfohlene Tools und ISO 27001-Querverweise (nicht bindend, aber maßgeblich und aufsichtlich anerkannt)

Die ENISA-Leitlinie geht in mehreren Bereichen über die CIR hinaus und liefert konkrete Beispiele akzeptabler Kontrollen, empfohlene kryptografische Suiten, Rahmenpläne für Managementschulungen sowie explizite Zuordnungen zwischen den einzelnen CIR-Unteranforderungen und den ISO 27001:2022 Annex A-Kontrollen. Für Organisationen, die bereits über eine ISO 27001-Zertifizierung verfügen, ist die ENISA-Leitlinie das effizienteste Instrument zur Ermittlung der verbleibenden NIS2-Lücken.

Alle Dokumente in unserem Vorlagenpaket sind sowohl an den CIR-Mindestanforderungen als auch an den Empfehlungen der ENISA-Leitlinie ausgerichtet. Die vollständige Implementierung unseres Vorlagenpakets erfüllt alle drei Ebenen der NIS2-Anforderungshierarchie. Eine detaillierte Zusammenfassung der spezifischen Empfehlungen der ENISA, Abschnitt für Abschnitt, finden Sie in unserem Artikel zur ENISA Technical Implementation Guidance.

Zuordnung unserer Vorlagen zu den CIR-Anforderungen

Die häufigste Frage von Compliance-Teams lautet: “Welche Dokumente muss ich tatsächlich erstellen?” Die nachstehende Tabelle ordnet jeden Abschnitt des CIR Annex den spezifischen Dokumenten in unserem NIS2-Vorlagenpaket zu, die seine Anforderungen erfüllen. Eine vollständige Abdeckung aller 13 Abschnitte bedeutet keine Compliance-Lücken — und kein Dokument, das von Grund auf neu erstellt werden muss.

CIR Annex-Abschnitt	Dokumentennummer und -titel
1. Sicherheitsrichtlinie (1.1–1.3)	Doc 04: Information Security Policy • Doc 11: IT Security Policy • Doc 34: Statement of Acceptance of Cybersecurity Documents
2. Risikomanagement (2.1–2.1.1)	Doc 05: Risk Assessment Methodology • Doc 06: Risk Assessment Table • Doc 07: Risk Treatment Table • Doc 08: Acceptance of Residual Risks • Doc 09: Risk Assessment and Treatment Report • Doc 10: Risk Treatment Plan
3. Behandlung von Sicherheitsvorfällen (3.1–3.6)	Doc 21: Logging and Monitoring Procedure • Doc 48: Incident Handling Policy • Doc 49: Minor Incident Response Procedure • Doc 50: Incident Log • Doc 51: Incident Notification and Reporting Forms • Doc 52: Corrective Actions Register
4. Geschäftskontinuität (4.1–4.3)	Doc 23: Backup Policy • Doc 35: BIA Methodology • Doc 36: BIA Questionnaire • Doc 37: Business Continuity Strategy • Doc 38: Business Continuity Plan • Doc 39: Crisis Management Plan • Doc 40: Exercising and Testing Plan • Doc 41: Exercising and Testing Report
5. Sicherheit in der Lieferkette (5.1–5.2)	Doc 42: Supplier Security Policy • Doc 43: Supplier Security Clauses • Doc 44: Confidentiality Statement • Doc 45: Supplier Directory
6. Beschaffung, Entwicklung & Wartung (6.1–6.2)	Doc 20: Vulnerability and Patch Management Procedure • Doc 22: ICT Change Management Procedure • Doc 31: ICT Acquisition, Development and Maintenance Policy • Doc 32: ICT Security Requirements Appendix
7. Bewertung der Wirksamkeit (7.1–7.2)	Doc 40: Exercising and Testing Plan • Doc 41: Exercising and Testing Report • Doc 46: Cybersecurity Measurement Methodology • Doc 47: Cybersecurity Measurement Report
8. Cyber-Hygiene & Schulung (8.1–8.2)	Doc 03: Initial Training Plan • Doc 12: Clear Desk and Clear Screen Policy • Doc 19: Network Security Policy • Doc 20: Vulnerability and Patch Management Procedure
9. Kryptografie (9.1)	Doc 25: Secure Communication Policy • Doc 27: Encryption and Cryptographic Controls Policy
10. Personalsicherheit (10.1–10.2)	Doc 33: HR Security Policy • Doc 34: Statement of Acceptance of Cybersecurity Documents • Doc 44: Confidentiality Statement
11. Zugangskontrolle (11.1–11.7)	Doc 13: Mobile Device and Remote Work Policy • Doc 14: BYOD Policy • Doc 25: Secure Communication Policy • Doc 28: Access Control Policy • Doc 29: Authentication Policy • Doc 30: Password Policy
12. Asset-Management (12.1–12.3)	Doc 16: Information Classification Policy • Doc 17: Asset Management Procedure • Doc 18: IT Asset Register • Doc 26: Disposal and Destruction Policy
13. Physische & Umgebungssicherheit (13.1)	Doc 12: Clear Desk and Clear Screen Policy • Doc 15: Physical Security Policy

Jeder Abschnitt des CIR Annex wird durch mindestens ein Vorlagendokument abgedeckt. Die komplexesten Abschnitte — Risikomanagement, Behandlung von Sicherheitsvorfällen, Geschäftskontinuität — werden durch vollständige Suiten miteinander verknüpfter Dokumente abgedeckt, die jede Unteranforderung adressieren. Einen schrittweisen Implementierungsansatz finden Sie in der NIS2-Compliance-Checkliste.

Häufig gestellte Fragen

Gilt die CIR für alle NIS2-Einrichtungen verbindlich?

Unmittelbar verbindlich nur für die 11 Einrichtungstypen gemäß NIS2 Article 2(2) — vorwiegend Anbieter digitaler Infrastrukturen (Cloud, MSPs, CDN-Anbieter, Rechenzentren, DNS, TLD-Register) sowie Vertrauensdiensteanbieter. Für alle anderen NIS2-Einrichtungen gilt sie als De-facto-Compliance-Maßstab: ENISA empfiehlt sie als Best Practice für die gesamte Article 21-Umsetzung, und die nationalen zuständigen Behörden verwenden sie als Aufsichtsreferenz.

Wie verhält sich die CIR zu ISO 27001?

Es bestehen erhebliche Überschneidungen. Organisationen mit ISO 27001-Zertifizierung haben die meisten CIR-Anforderungen bereits durch ihr bestehendes ISMS erfüllt. Die CIR fügt jedoch NIS2-spezifische Verpflichtungen hinzu, die durch ISO 27001 allein nicht abgedeckt werden: die 24/72-Stunden-Frist für die Meldung von Sicherheitsvorfällen, explizite Anforderungen zur Nachbereitung von Vorfällen, das klassifizierte Lieferantenverzeichnis, die Verpflichtung zur MFA für bestimmte Szenarien sowie Schulungs- und Rechenschaftspflichten für das Leitungsorgan gemäß Article 20. Die ENISA-Leitlinie stellt detaillierte Querverweise bereit, um Organisationen bei der Identifizierung verbleibender Lücken zu unterstützen.

Wann ist die CIR in Kraft getreten?

Verabschiedet am 17. Oktober 2024, veröffentlicht im Amtsblatt der EU am 18. Oktober 2024. Als unmittelbar anwendbare EU-Verordnung trat sie mit der Veröffentlichung in Kraft und gilt einheitlich in allen 27 Mitgliedstaaten — eine nationale Umsetzung ist weder erforderlich noch zulässig, um ihre Anforderungen zu modifizieren.

Können wir die CIR als vollständiges Compliance-Rahmenwerk verwenden?

Ja. Die Implementierung aller 13 Annex-Abschnitte erfüllt Article 21 der NIS2. Die CIR ist der spezifischste, technisch detaillierteste und aufsichtlich anerkannte technische Standard, der derzeit für die Erfüllung von Article 21 zur Verfügung steht. Für Einrichtungen der Liste in Article 2(2) ist sie verpflichtend. Für alle anderen bietet sie den stärkstmöglichen Nachweis der Sorgfaltspflicht.

Was ist mit sektorspezifischen Anforderungen, die über die CIR hinausgehen?

Einige Sektoren unterliegen zusätzlichen Verpflichtungen durch sektorspezifische Rechtsvorschriften. Finanzunternehmen, die DORA unterliegen, Energiebetreiber gemäß den Netzkodizes sowie Gesundheitseinrichtungen nach der DSGVO haben jeweils Anforderungen, die NIS2 überlagern. In allen Fällen legt die CIR den NIS2-Mindeststandard fest, und die sektorspezifischen Rechtsvorschriften kommen hinzu. Wo beide gelten, sollten beide umgesetzt und die Überschneidungen sowie sektorspezifischen Ergänzungen dokumentiert werden.

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechts- oder Regulierungsberatung dar. Die Anforderungen können je nach Rechtsraum und Organisationstyp variieren. Ziehen Sie für eine auf Ihre Situation zugeschnittene Beratung einen qualifizierten Rechts- oder Compliance-Spezialisten hinzu.

Quellen

Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 — Volltext auf EUR-Lex
Directive (EU) 2022/2555 (NIS2 Directive), Articles 20, 21, 22, and 23 — EUR-Lex
ENISA Technical Implementation Guidance for CIR 2024/2690 (June 2025) — ENISA-Publikationen
Pressemitteilung der Europäischen Kommission zur Verabschiedung der Implementing Regulation 2024/2690, Oktober 2024

NIS2-Durchführungsverordnung (CIR 2024/2690): Vollständiger Leitfaden zu den technischen Anforderungen

Was ist CIR 2024/2690 und warum ist sie bedeutsam

Drei Merkmale machen die CIR einzigartig bedeutsam

Für wen gilt die CIR

Warum die CIR auch dann relevant ist, wenn sie nicht rechtlich verbindlich ist

Übersicht aller 13 CIR-Annex-Abschnitte

Anforderungen Abschnitt für Abschnitt