NIS2 Sicherheitstests und Wirksamkeitsbewertung: Anforderungen nach CIR Anhang 7
Seit dem 6. Dezember 2025 gilt in Deutschland das neue BSIG ohne Übergangsfrist. Paragraf 30 Absatz 2 Satz 2 Nummer 6 verpflichtet wichtige und besonders wichtige Einrichtungen ausdrücklich, Konzepte und Verfahren zur Bewertung der Wirksamkeit ihrer Cybersicherheitsmaßnahmen einzuführen. Sicherheitstests sind dabei kein optionales Mittel, sondern das Hauptinstrument, mit dem Behörden und das BSI diese Wirksamkeit überprüfen.
Dieser Leitfaden erklärt, welche sechs Testmethoden die EU-Durchführungsverordnung (EU) 2024/2690 in Anhang 7 konkret benennt, wann Tests ausgelöst werden müssen, wie das BSI Wirksamkeit in drei Dimensionen bewertet und welche fünf Dokumente bei einem Audit den Unterschied machen.
Rechtlicher Rahmen: CIR 2024/2690 und BSIG §30
Die Pflicht zu Sicherheitstests ergibt sich aus zwei sich ergänzenden Rechtsquellen.
Auf EU-Ebene konkretisiert die Durchführungsverordnung (EU) 2024/2690 die allgemeinen Cybersicherheitspflichten aus Artikel 21 der NIS-2-Richtlinie in über 150 spezifische technische und organisatorische Anforderungen. Sie gilt unmittelbar für Anbieter digitaler Infrastrukturen und digitaler Dienste (Cloud, Rechenzentren, DNS, MSP, MSSP). Ihr Anhang 7 trägt den Titel „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen“ und listet die zulässigen Testmethoden abschließend auf.
Auf nationaler Ebene hat das BSIG diese Anforderung für alle weiteren NIS-2-Sektoren übernommen. Die NIS2-Anforderungen nach §30 BSIG verlangen unter Nummer 6 dieselben Konzepte und Verfahren zur Wirksamkeitsbewertung. Beide Rechtsquellen gelten seit dem 6. Dezember 2025 ohne Übergangsfrist.
| Rechtsquelle | Geltungsbereich | Testnorm |
|---|---|---|
| CIR (EU) 2024/2690 Anhang 7 | Cloud, DNS, RZ, MSP, MSSP | Art. 25 i.V.m. Anhang 7 |
| BSIG §30 Abs. 2 Nr. 6 | Alle NIS-2-Sektoren (Anhang I und II) | Konzepte + Verfahren Wirksamkeitsbewertung |
| NIS-2-Richtlinie Art. 21 Abs. 2 lit. f | EU-weit, alle betroffenen Einrichtungen | Policies zur Wirksamkeitsprüfung |
Was Anhang 7 konkret fordert: Die sechs Testmethoden
Der Wortlaut von Anhang 7 der CIR 2024/2690 benennt sechs Methoden, die einzeln oder kombiniert eingesetzt werden können. Tests können auf bestimmten Netz- und Informationssystemen oder in der gesamten Einrichtung durchgeführt werden.
| Testmethode | Was wird geprüft? | Manuell / Automatisiert |
|---|---|---|
| Penetrationstest | Gezielte Simulation eines Angriffs auf Systeme, Netzwerke oder Anwendungen durch qualifizierte Tester | Manuell (mit Tool-Unterstützung) |
| Schwachstellensuche (Vulnerability Scanning) | Automatisiertes Erkennen bekannter Schwachstellen anhand von CVE-Datenbanken und Signaturen | Automatisiert |
| SAST (Statische Anwendungssicherheitsprüfung) | Quellcode- und Konfigurationsanalyse ohne Ausführung des Programms | Automatisiert + manuell |
| DAST (Dynamische Anwendungssicherheitsprüfung) | Laufzeitanalyse von Anwendungen auf Sicherheitslücken unter realistischen Bedingungen | Automatisiert + manuell |
| Konfigurationstest | Prüfung von System- und Netzwerkkonfigurationen gegen Sicherheitsbaselines (z. B. CIS Benchmarks) | Automatisiert + manuell |
| Sicherheitsaudit | Prozess- und Dokumentenprüfung; Verifikation, ob Richtlinien im Betrieb tatsächlich eingehalten werden | Manuell |
Für Penetrationstests empfiehlt das BSI explizit den Einsatz qualifizierter, unabhängiger Tester. Selbstbewertungen durch das eigene IT-Team gelten für besonders wichtige Einrichtungen als nicht ausreichend, um die Anforderung der Ergebniswirksamkeit zu erfüllen.
Wann müssen Sicherheitstests durchgeführt werden?
Anhang 7 der CIR 2024/2690 definiert vier konkrete Auslöser, bei denen Einrichtungen Sicherheitstests durchzuführen haben:
- Bei Einrichtung neuer Systeme – bevor ein neues Netz- oder Informationssystem in Betrieb geht
- Nach Infrastruktur- oder Anwendungsaufrüstungen – nach signifikanten Upgrades oder Migrationen
- Nach erheblichen Änderungen – immer dann, wenn die Einrichtung selbst eine Änderung als erheblich einstuft
- Nach Wartungsarbeiten – wenn Wartung das Risikoprofil verändern könnte
Zusätzlich zu diesen ereignisgesteuerten Tests gilt als anerkannte Mindestpraxis: mindestens ein vollständiger Penetrationstest pro Jahr. Das BSI nennt diese Frequenz als Ausgangspunkt; Einrichtungen mit erhöhter Risikoexposition (kritische Infrastruktur, hochsensible Daten) sollten halbjährlich oder nach jeder wesentlichen Systemänderung testen.
| Auslöser | Empfohlene Testmethode | Priorität |
|---|---|---|
| Neues System in Betrieb | Penetrationstest + Konfigurationstest | Hoch |
| Infrastrukturaufrüstung | Schwachstellenscan + Penetrationstest | Hoch |
| Erhebliche Konfigurationsänderung | Konfigurationstest + DAST | Mittel |
| Anwendungsentwicklung / Release | SAST + DAST | Hoch |
| Routinemäßige Jahresprüfung | Vollständiger Penetrationstest | Hoch |
| Nach Sicherheitsvorfall | Alle relevanten Methoden | Kritisch |
Wirksamkeitsbewertung nach BSI: Die drei Dimensionen
Sicherheitstests allein reichen nicht aus. Das BSI unterscheidet explizit zwischen der Durchführung eines Tests und dem Nachweis seiner Wirksamkeit. Nach dem BSI-Modell muss jede Sicherheitsmaßnahme in drei Dimensionen bewertet werden:
1. Konzeptionelle Eignung
Ist die gewählte Maßnahme theoretisch geeignet, das identifizierte Risiko zu senken? Ein Penetrationstest, der nicht den tatsächlichen Angriffsvektor abdeckt, kann diese Dimension verfehlen.
2. Umsetzungstreue
Wird die Maßnahme wie geplant im Alltag angewendet? Beispiel: Das Schwachstellenscanning ist monatlich geplant, findet aber nur quartalsweise statt. Die Umsetzungstreue ist damit nicht erfüllt.
3. Ergebniswirksamkeit
Führt die Maßnahme zu messbaren Ergebnissen? Das BSI fordert, dass Prozesse nicht nur „etabliert“ (Reifegrad 3) sind, sondern „messbar“ (Reifegrad 4). Konkret bedeutet das: KPIs mit Grenzwerten, deren Unterschreitung automatisch Maßnahmen auslöst.
| BSI-Reifegrad | Bezeichnung | Was das in der Praxis bedeutet |
|---|---|---|
| Reifegrad 3 | Etabliert | Prozesse sind definiert und werden angewendet; keine Messung |
| Reifegrad 4 | Messbar | KPIs definiert, kontinuierliches Monitoring, Abweichungen lösen Korrekturmaßnahmen aus |
| Reifegrad 5 | Kontinuierlich verbessert | Mess- und Auditdaten fließen systematisch in Verbesserungsprozesse ein |
NIS-2 verlangt mindestens Reifegrad 4. Einrichtungen, die nur Reifegrad 3 nachweisen können, erfüllen die Anforderung an die Wirksamkeitsbewertung formal nicht.
Geeignete KPIs für den Nachweis von Reifegrad 4 sind unter anderem:
- Patch-Quote: Anteil kritischer Schwachstellen, die innerhalb von 72 Stunden behoben wurden
- Mean Time to Remediate (MTTR): durchschnittliche Behebungszeit nach Testergebnis
- Pentest-Wiederholungsrate: Anteil nachgetesteter kritischer Findings innerhalb von 30 Tagen
- Schwachstellen-Rückstandsquote: offene High/Critical-Findings älter als 90 Tage (Zielwert: 0)
Dokumentationspflichten: Was bei einem Audit zählt
Ein durchgeführter Test ohne lückenlose Dokumentation gilt im Prüfungskontext als nicht durchgeführt. Das BSI und die Aufsichtsbehörden erwarten eine Nachweiskette aus fünf Dokumenten:
1. Scoping-Dokument
Definiert, welche Systeme und Prozesse getestet werden. Das Scope muss mit dem Risikoregister und dem Asset-Inventar verknüpft sein. Systeme, die nicht im Scope auftauchen, gelten als ungeprüft.
2. Testbericht (unabhängiger Prüfer)
Enthält Methodik, Findings mit Schweregradbewertung (CVSS oder äquivalent) und reproduzierbare Beschreibungen der Schwachstellen. Für besonders wichtige Einrichtungen ist ein interner Bericht des eigenen IT-Teams nicht ausreichend.
3. Remediation-Tracking
Weist Findings einem Verantwortlichen zu, enthält Fristen und dokumentiert den Behebungsstatus. Kritische Findings, die nach drei Monaten noch offen sind, werden von Prüfern als Compliance-Versagen gewertet.
4. Retest-Bericht
Bestätigt, dass die Behebung der Schwachstellen tatsächlich wirksam war. Dieser Schritt wird in der Praxis am häufigsten ausgelassen. Ein Audit ohne Retest-Nachweis gilt als Lücke in der Ergebniswirksamkeit.
5. Management-Review-Dokumentation
Belegt, dass die Unternehmensleitung die Test-Ergebnisse zur Kenntnis genommen und die Maßnahmenverantwortung freigegeben hat. Das BSIG verpflichtet Geschäftsführer und Vorstände zur persönlichen Verantwortung für Cybersicherheitsmaßnahmen.
Schritt-für-Schritt-Umsetzung für Ihre Einrichtung
Die folgende Sequenz orientiert sich an der logischen Abhängigkeit der Schritte. Sie setzt voraus, dass eine Risikoanalyse bereits vorliegt, da das Testscoping ohne Risikoregister keine nachvollziehbare Priorisierung ermöglicht.
| Schritt | Aufgabe | Aufwand | Verantwortlich |
|---|---|---|---|
| 1 | Asset-Inventar vervollständigen; alle kritischen Systeme identifizieren | Mittel | IT / CISO |
| 2 | Testprogramm definieren: Methoden, Häufigkeit, Scope je Systemklasse | Mittel | CISO |
| 3 | Unabhängigen Pentest-Anbieter beauftragen (oder BSI-qualifizierten internen Tester) | Hoch | CISO / Beschaffung |
| 4 | Scoping-Dokument erstellen und mit Risikoregister verknüpfen | Niedrig | CISO / Compliance |
| 5 | Tests durchführen; Schwachstellenscans monatlich automatisieren | Mittel–Hoch | IT-Sicherheit / externer Anbieter |
| 6 | Findings priorisieren, Eigentümer zuweisen, Fristen setzen (Critical ≤30 Tage, High ≤90 Tage) | Niedrig | CISO |
| 7 | Behebung umsetzen und Retest beauftragen | Mittel | IT / externer Anbieter |
| 8 | KPIs messen, Ergebnisse an Geschäftsführung berichten (Reifegrad 4) | Niedrig | CISO / Compliance |
| 9 | Alle fünf Dokumente archivieren (mindestens 3 Jahre) | Niedrig | Compliance |
Rollenverantwortung: Wer macht was?
| Rolle | Kernaufgabe | Worauf achten? |
|---|---|---|
| CISO / IT-Sicherheitsmanager | Testprogramm, Scoping, Provideransteuerung, KPI-Monitoring | Unabhängigkeit des Testers sicherstellen; Retest nicht auslassen |
| Compliance-Beauftragter | Dokumentationsarchivierung, Audit-Vorbereitung, Fristenkontrolle | Alle fünf Dokumente vollständig; Management-Sign-off belegen |
| Geschäftsführung / Vorstand | Management-Review, Ressourcenfreigabe, persönliche Haftungsverantwortung | BSIG §38: persönliche Haftung bei grober Fahrlässigkeit; kein Delegieren der Verantwortung |
| IT-Betrieb | Schwachstellenbehebung, automatisiertes Scanning, Konfigurationstests | Fristen einhalten; Retest-Ergebnisse dokumentieren |
Häufige Fehler und wie Sie sie vermeiden
- Kein Scoping-Dokument: Ein Penetrationstest ohne definierten Scope ist weder reproduzierbar noch auditierbar. Prüfer erkennen fehlende Scoping-Dokumente sofort als Lücke.
- Selbsttest durch eigenes IT-Team: Für besonders wichtige Einrichtungen genügt interne Prüfung nicht. Die Unabhängigkeit des Testers ist Voraussetzung für den Nachweis der Ergebniswirksamkeit.
- Fehlender Retest: Das häufigste Audit-Versagen. Behobene Schwachstellen müssen durch einen Retest bestätigt werden. Andernfalls ist die Behebungswirksamkeit nicht dokumentiert.
- Kein Management-Sign-off: Der Abschlussbericht allein genügt nicht. Die Geschäftsführung muss Kenntnis und Maßnahmenverantwortung aktiv dokumentieren.
- Statische Tests ohne Häufigkeitsplan: Ein einmaliger Pentest ohne geplante Wiederholung erfüllt die Anforderung „regelmäßig“ nicht. Das Testprogramm muss Frequenzen und Auslöser schriftlich festlegen.
- KPIs ohne Grenzwerte: Metriken ohne definierte Schwellenwerte und Korrekturmechanismen erreichen nur Reifegrad 3. Reifegrad 4 erfordert, dass Grenzwertverletzungen automatisch eine dokumentierte Reaktion auslösen.
Häufig gestellte Fragen
Gilt Anhang 7 der CIR 2024/2690 für alle deutschen Unternehmen?
Nein. Die CIR 2024/2690 gilt unmittelbar nur für Anbieter digitaler Dienste und digitaler Infrastrukturen (Cloud, DNS, Rechenzentren, MSP, MSSP). Für alle anderen NIS-2-Sektoren gilt BSIG §30, der inhaltlich dieselben Anforderungen stellt.
Wie oft muss ein Penetrationstest durchgeführt werden?
Mindestens jährlich als Basisfrequenz. Zusätzlich ist nach jeder erheblichen Systemänderung, nach Infrastrukturaufrüstungen und nach Sicherheitsvorfällen zu testen. Die Frequenz muss schriftlich im Testprogramm festgelegt sein.
Kann ich einen Schwachstellenscan als Ersatz für einen Penetrationstest einreichen?
Nein. Ein automatisierter Schwachstellenscan und ein manueller Penetrationstest sind nach Anhang 7 der CIR getrennte Methoden mit unterschiedlichem Prüfungsumfang. Scans erkennen bekannte CVEs; Penetrationstests simulieren gezielte Angriffe und decken Angriffsketten auf.
Welche Qualifikation müssen Pentest-Anbieter nachweisen?
Das BSI empfiehlt Anbieter, die international anerkannte Zertifizierungen wie OSCP, OSCE, CREST oder CEH nachweisen können. Für KRITIS-Betreiber gibt es zusätzlich BSI-spezifische Qualifikationsanforderungen.
Wie lange müssen Testberichte aufbewahrt werden?
Die NIS-2-Richtlinie schreibt keine spezifische Aufbewahrungsfrist für Testberichte vor. In der Praxis gilt eine Mindestaufbewahrung von drei Jahren als Standard, um Entwicklungen über mehrere Prüfzyklen nachweisen zu können.
Was droht, wenn Sicherheitstests fehlen oder unvollständig sind?
Bei wichtigen Einrichtungen kann das BSI Bußgelder von bis zu 7 Millionen Euro verhängen. Bei besonders wichtigen Einrichtungen liegt die Obergrenze bei 10 Millionen Euro oder 2 % des globalen Jahresumsatzes. Geschäftsführer und Vorstände haften nach BSIG §38 persönlich bei grober Fahrlässigkeit.
Dieser Artikel stellt allgemeine Informationen bereit und ist kein rechtlicher oder regulatorischer Rat. Die Anforderungen können je nach Jurisdiktion und Organisationstyp variieren. Konsultieren Sie für Ihre spezifische Situation einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
Quellen
- Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 — EUR-Lex, Amtsblatt der Europäischen Union
- BSI – Bewertung der Wirksamkeit von Maßnahmen — Bundesamt für Sicherheit in der Informationstechnik
- NIS2 Implementing Act: ISO 27001 Mapping — OpenKRITIS
- BSI – NIS-2 für IT und TK: DurchführungsVO (EU) 2024/2690 — Bundesamt für Sicherheit in der Informationstechnik
