Artikel 21 der NIS2-Richtlinie verpflichtet alle betroffenen Einrichtungen, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen” zu ergreifen. Hier sind die 10 Kategorien verständlich erklärt.
1. Risikoanalyse und Sicherheitsrichtlinien
Entwickeln Sie ein systematisches Risikomanagement. Dokumentieren Sie Ihre Informationssicherheitsstrategie und überprüfen Sie sie regelmäßig. Basis: ISO 27001 oder BSI IT-Grundschutz.
2. Vorfallsmanagement (Incident Handling)
Etablieren Sie Prozesse zur Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle. Definieren Sie Rollen und Eskalationswege. Meldepflichten beachten →
3. Business Continuity Management (BCM)
Backup-Strategie, Disaster Recovery Plan, Krisenmanagement — damit Ihr Betrieb auch nach einem Vorfall weiterläuft.
4. Lieferkettensicherheit
Überprüfen Sie die Cybersicherheit Ihrer Lieferanten und Dienstleister. Nehmen Sie NIS2-Anforderungen in Lieferantenverträge auf. Besonders relevant für Einkauf und Beschaffung.
5. Sicherheit bei Entwicklung und Wartung
Patch-Management, Schwachstellenmanagement, Secure-by-Design bei der Beschaffung von IT- und OT-Systemen.
6. Wirksamkeitsbewertung
Regelmäßige Überprüfung Ihrer Maßnahmen: interne Audits, Penetrationstests, Metriken. Das Management muss über die Ergebnisse informiert werden.
7. Cyber-Hygiene und Schulungen
Security-Awareness-Training für alle Mitarbeitenden. Phishing-Tests. Passwortrichtlinien. Regelmäßige Schulung der Leitungsorgane (Art. 20).
8. Kryptographie und Verschlüsselung
Sensible Daten verschlüsseln — in der Übertragung (TLS) und bei der Speicherung. Schlüsselverwaltung dokumentieren.
9. Zugangskontrolle und Asset-Management
Least-Privilege-Prinzip umsetzen. IT- und OT-Asset-Inventar pflegen. Identitätsmanagement strukturieren.
10. Multi-Faktor-Authentifizierung (MFA)
MFA ist obligatorisch für privilegierte Zugänge, Remote-Zugang und den Zugriff auf kritische Systeme.
NIS2 Policy-Paket — fertige Richtlinien für alle 10 Maßnahmen →
Hinweis: Allgemeine Information. Kein Rechtsrat. Die konkreten Anforderungen hängen von Ihrem Sektor und Ihrer Unternehmensgröße ab.