NIS2 Verschlüsselung nach Artikel 21(2)(h): Welche Algorithmen BSI TR-02102 empfiehlt — und was Prüfer kontrollieren
Ein Sicherheitsprüfer, der Ihr NIS2-Kryptografiekonzept bewertet, fragt nicht: Verschlüsseln Sie Ihre Daten? Die Frage lautet: Welche Algorithmen setzen Sie ein, nach welcher Norm, mit welchem Schlüsselverwaltungsprozess — und können Sie das dokumentieren?
Artikel 21 Absatz 2 Buchstabe h der NIS2-Richtlinie (EU) 2022/2555 verpflichtet betroffene Einrichtungen, „Konzepte und Verfahren in Bezug auf den Einsatz von Kryptografie und, wo angemessen, Verschlüsselung“ einzuführen. Der Wortlaut ist bewusst technologieneutral. Die Umsetzungspflicht ist konkret — und seit dem Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 ohne Schonfrist in Deutschland vollständig durchsetzbar.
Das BSI hat mit seiner Technischen Richtlinie BSI TR-02102 (Version 2026-01, Stand 23. Januar 2026) eine klare Referenz veröffentlicht: konkrete Algorithmen, Mindest-Schlüssellängen, Protokollversionen und — neu in der jüngsten Aktualisierung — erweiterte Empfehlungen zur Post-Quanten-Kryptografie. Dieser Leitfaden erläutert, was Artikel 21(2)(h) tatsächlich fordert, welche Verfahren heute noch als Stand der Technik gelten, warum Krypto-Agilität eine NIS2-Pflicht ist und welche Nachweise Prüfer konkret erwarten.
Was Artikel 21(2)(h) tatsächlich verlangt
Artikel 21(2)(h) formuliert die Anforderung bewusst offen: „Konzepte und Verfahren in Bezug auf den Einsatz von Kryptografie und, wo angemessen, Verschlüsselung.“ Die konkrete Ausgestaltung übernimmt der Anhang des NIS2UmsuCG, der die Richtlinienanforderung in drei operative Bereiche gliedert. Für Anbieter digitaler Dienste — Cloud, DNS, CDN, Managed Services — ergänzt die Durchführungsverordnung (EU) 2024/2690 weitere technische Spezifikationen im Anhang, Abschnitt 9.
Abschnitt 9.1 — Kryptografiekonzept: Einrichtungen müssen ein dokumentiertes Konzept erstellen, das den Einsatz kryptografischer Verfahren regelt. Es muss auf den Ergebnissen der Risikobewertung und der Klassifizierung aller schutzbedürftigen Informationen und Systeme basieren.
Abschnitt 9.2 — Technische Umsetzung: Das Konzept muss drei Pflichtkomponenten adressieren: (a) Festlegung der erforderlichen Kryptografiestärke, -art und -qualität je Schutzklasse; (b) Definition genehmigter Protokolle und Algorithmen einschließlich eines Krypto-Agilitäts-Ansatzes; (c) vollständiges Schlüsselmanagement mit zwölf Kernelementen.
Abschnitt 9.3 — Regelmäßige Überprüfung: Das Konzept muss periodisch aktualisiert werden, um mit dem aktuellen Stand der Technik Schritt zu halten. Einmalige Ersterstellung ohne Folgereviews ist kein ausreichender Nachweis.
Für welche Einrichtungen gilt die Pflicht?
| Einrichtungstyp | Rechtsgrundlage | Gilt seit |
|---|---|---|
| Wesentliche Einrichtungen (KRITIS-Sektoren) | NIS2UmsuCG, BSIG § 30 Abs. 2 Nr. 8 | 6. Dezember 2025 |
| Wichtige Einrichtungen | NIS2UmsuCG, BSIG § 30 Abs. 2 Nr. 8 | 6. Dezember 2025 |
| Digitale Dienstleister (Cloud, CDN, DNS, MSP) | CIR (EU) 2024/2690, Anhang Abschn. 9 | November 2024 |
Ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft ist, bestimmt sich nach Sektor, Größenschwelle und Art der erbrachten Dienste. Die vollständigen Anforderungen nach Artikel 21 gelten für alle zehn Sicherheitsmaßnahmen gleichrangig — Kryptografie ist Maßnahme Nr. 8.
Das Drei-Ebenen-Modell für die Umsetzung
Das BSI empfiehlt für den NIS2-konformen Einstieg in die Kryptografiekontrollen einen strukturierten Dreischritt, der das Gerüst des Kryptografiekonzepts bildet.
Ebene 1 — Inventar: Alle kryptografischen Verfahren, Schlüsselmaterialien und Zertifikate systematisch erfassen und in einem aktuellen Krypto-Register dokumentieren. Der Umfang wird regelmäßig unterschätzt: Neben HTTPS-Verbindungen gehören dazu S/MIME-Zertifikate für E-Mail, SSH-Schlüssel auf Servern, Festplattenverschlüsselung auf Endgeräten, IPsec-Tunnel zu Partnersystemen und — häufig vergessen — Legacy-Protokolle in OT- und Produktionsumgebungen.
Ebene 2 — Bewertung: Für jedes System und jeden Datensatz prüfen: Welche Schutzklasse gilt? Wie lange müssen die Daten vertraulich bleiben? Ist das eingesetzte Verfahren noch als Stand der Technik anerkannt? Besondere Aufmerksamkeit gilt langlebigen Infrastrukturen und Daten, deren Vertraulichkeit über 2031 hinaus erforderlich ist — dort greift die Post-Quanten-Problematik bereits heute.
Ebene 3 — Migrationsplanung: Aufbau eines dokumentierten Fahrplans für die Ablösung veralteter Algorithmen und die schrittweise Einführung quantenresistenter Verfahren. Das BSI empfiehlt, Pilotumgebungen früh einzurichten, um technische Abhängigkeiten zu identifizieren, bevor Produktivsysteme migriert werden müssen.
Empfohlene Algorithmen nach BSI TR-02102 (Version 2026-01)
Das BSI aktualisiert BSI TR-02102 jährlich. Die aktuelle Version 2026-01 gilt als maßgeblicher nationaler Standard für „Stand der Technik“ im Sinne des NIS2UmsuCG. Die Richtlinie gliedert sich in vier Teile: TR-02102-1 (allgemeine Algorithmen und Schlüssellängen), TR-02102-2 (Transport Layer Security), TR-02102-3 (IPsec und IKEv2) sowie TR-02102-4 (Secure Shell). Das BSI stellt alle Teile als PDF zum Download zur Verfügung.
Das Sicherheitsniveau wurde seit 2023 auf 120 Bit angehoben. Der Planungshorizont beträgt sieben Jahre — Algorithmen, die heute empfohlen werden, sind für Systeme ausgelegt, die bis etwa 2033 in Betrieb sind.
| Verfahrenstyp | Empfohlener Algorithmus | Mindestanforderung | Relevanter TR-Teil |
|---|---|---|---|
| Symmetrische Verschlüsselung | AES (bevorzugt AES-GCM) | ≥ 256 Bit | TR-02102-1 |
| Asymmetrisch — RSA | RSA-OAEP, RSA-PSS | ≥ 3.000 Bit (Primzahl p) | TR-02102-1 |
| Asymmetrisch — ECC | ECDSA, ECDH | ≥ 250 Bit (Ordnung q) | TR-02102-1 |
| Hashfunktionen | SHA-256, SHA-384, SHA-512 | ≥ 256 Bit Hash-Länge | TR-02102-1 |
| Transport Layer Security | TLS 1.3 (bevorzugt), TLS 1.2 | Empfohlene Cipher Suites per TR-02102-2 | TR-02102-2 |
| VPN / IPsec | IKEv2 (IKEv1 nicht empfohlen) | Per TR-02102-3 | TR-02102-3 |
| Fernzugriff / Remote-Administration | SSH (aktuelle Protokollversion) | Per TR-02102-4 | TR-02102-4 |
Ein praktischer Hinweis für Prüfer: Das BSI hält ausdrücklich fest, dass nicht in TR-02102 aufgeführte Verfahren nicht zwingend als unsicher gelten. Entscheidend für den Nachweis ist, dass gewählte Verfahren dokumentiert begründet wurden. TR-02102 ist der kürzeste Weg zu einem revisionssicheren Nachweis.
Das 12-Elemente-Schlüsselmanagement
Der häufigste Prüfmangel bei Kryptografiekontrollen ist nicht die falsche Algorithmuswahl — es ist unvollständiges Schlüsselmanagement. Abschnitt 9.2(c) des NIS2UmsuCG-Anhangs listet zwölf Kernelemente, die das Schlüsselmanagement-Framework adressieren muss. Fehlende Elemente werden in Audits als Lücke gewertet, auch wenn der technische Algorithmus korrekt implementiert ist.
| # | Element | Praktische Umsetzung |
|---|---|---|
| 1 | Schlüsselerzeugung | Dokumentiertes Verfahren je Systemtyp; Hardware-Zufallsgenerator (TRNG/HSM) für hochkritische Schlüssel |
| 2 | Zertifikatausstellung | Prozess für Public-Key-Zertifikate; CA-Auswahl und Vertrauensanker begründet dokumentiert |
| 3 | Schlüsselverteilung und -aktivierung | Sichere Übergabe; nur authentifizierte Systeme erhalten Schlüsselmaterial; Out-of-band-Verteilung für Master-Schlüssel |
| 4 | Schlüsselspeicherung | Zugriffskontrollierter Speicher; HSM oder TPM für hochkritische Schlüssel; verschlüsselte Software-Keystores als Mindestlösung |
| 5 | Schlüsselrotation und -aktualisierung | Definierte Laufzeiten; automatisierte Rotation für TLS-Zertifikate (z. B. via ACME-Protokoll) |
| 6 | Umgang mit kompromittierten Schlüsseln | Incident-Response-Plan inkl. Notfallrevokation und Neuausstellung; verknüpft mit NIS2-Vorfallmanagement |
| 7 | Schlüsselwiderruf | OCSP/CRL-Integration; Widerruf in definierten SLAs (Richtwert: < 4 Stunden für kritische Systeme) |
| 8 | Schlüsselwiederherstellung | Treuhandmodell für kritische Schlüssel; Backup-Verfahren schriftlich dokumentiert und getestet |
| 9 | Schlüsselarchivierung | Langfristarchiv für Entschlüsselung historischer Daten; vom Produktivschlüsselspeicher getrennt |
| 10 | Schlüsselvernichtung | Zertifiziertes Löschverfahren (Referenz: NIST SP 800-88); Vernichtungsnachweis archivieren |
| 11 | Audit-Logging | Protokollierung aller Schlüsseloperationen mit Zeitstempel und Nutzer-ID; Logs integritätsgesichert |
| 12 | Aktivierungs- und Deaktivierungszeiträume | Definierte Schlüssellebensdauer; erzwungene Deaktivierung nach Ablauf; keine unbefristeten Schlüssel für Produktivsysteme |
Schlüsselmanagement und Zugangssteuerung sind untrennbar verbunden: Wer auf Schlüsselmaterial zugreifen darf, muss im Zugangskontrollkonzept nach Artikel 21 geregelt sein. Prüfer betrachten beide Bereiche häufig gemeinsam.
Krypto-Agilität und Post-Quanten-Kryptografie
Krypto-Agilität als NIS2-Pflichtanforderung
Der Begriff Krypto-Agilität bezeichnet die Fähigkeit einer IT-Infrastruktur, kryptografische Algorithmen und Protokolle schnell auszutauschen, ohne Systeme neu entwickeln zu müssen. Abschnitt 9.2(b) des NIS2UmsuCG-Anhangs schreibt diesen Ansatz ausdrücklich als Pflichtkomponente des Kryptografiekonzepts vor — es handelt sich nicht um eine optionale Architekturempfehlung.
In der Praxis bedeutet Krypto-Agilität: kein Hard-Coding von Algorithmen in Anwendungscode; zentrale Konfiguration kryptografischer Parameter über klar definierte Schnittstellen; einen formalen Prozess zur Algorithmusablösung mit definierten Verantwortlichkeiten und SLAs sowie Testumgebungen, in denen neue Algorithmen validiert werden können, bevor sie in Produktion gehen. Organisationen, die heute noch TLS 1.0 oder 1.1 betreiben, zeigen damit das genaue Gegenteil von Krypto-Agilität — das ist ein konkreter, dokumentierbarer Prüfmangel.
Post-Quanten-Kryptografie: Zeitplan und empfohlene Algorithmen
Die bislang eingesetzte asymmetrische Kryptografie — RSA und ECC — bietet keinen ausreichenden Schutz vor Angriffen mit hinreichend leistungsfähigen Quantencomputern. Das BSI empfiehlt gemeinsam mit 17 europäischen Partnern den aktiven Wechsel zu quantenresistenten Verfahren bis spätestens 2030. Der alleinige Einsatz klassischer Schlüsseleinigungsverfahren gilt laut BSI nur noch bis Ende 2031 als akzeptabel.
| Zeitraum | Empfohlene Maßnahme |
|---|---|
| Jetzt — 2027 | Inventar aller klassischen Asymmetrieverfahren erstellen; Krypto-Agilität herstellen; PQC-Readiness prüfen |
| 2027 — 2030 | Hybride Implementierung: klassische und quantenresistente Verfahren kombiniert einsetzen |
| Bis 2031 | Vollständige PQC-Migration für kritische Systeme und langlebige Daten abschließen |
Das BSI und NIST empfehlen gemeinsam drei standardisierte Post-Quanten-Algorithmen: ML-KEM (NIST FIPS 203, früher als Kyber bekannt) für Schlüsseleinigung und -kapselung; ML-DSA (NIST FIPS 204, früher Dilithium) für digitale Signaturen; sowie SLH-DSA (NIST FIPS 205, früher SPHINCS+) als hashbasiertes Signaturverfahren mit anderem Sicherheitsfundament als Fallback-Option.
Das BSI hat 2024 die erste quantensichere Smartcard mit ML-KEM nach FIPS 203 auf EAL6+-Niveau zertifiziert — ein Beleg, dass produktionsreife Implementierungen heute bereits verfügbar sind und keine Ausrede für aufgeschobene Migrationsplanung mehr bieten.
Der Harvest-now-decrypt-later-Angriff macht die Dringlichkeit greifbar: Angreifer sammeln heute verschlüsselte Kommunikation und Daten und entschlüsseln sie, sobald Quantencomputer verfügbar sind. Für Daten, die langfristig vertraulich bleiben müssen — Vertragsunterlagen, geistiges Eigentum, Patientendaten, Beschäftigtendaten — beginnt das Risikofenster nicht erst in zehn Jahren, sondern jetzt.
Was Prüfer kontrollieren: Nachweis-Checkliste
Ein NIS2-Prüfer, der Artikel 21(2)(h) bewertet, sucht nicht primär nach technischer Perfektion. Er bewertet die Nachvollziehbarkeit der Entscheidungen, die Vollständigkeit der Dokumentation und die Evidenz für regelmäßige Überprüfung. Die zehn Cybersicherheitsmaßnahmen nach Artikel 21 werden als zusammenhängendes System bewertet — Kryptografie verbindet sich mit Zugangskontrolle, Risikoanalyse und Vorfallmanagement.
| Prüfpunkt | Erforderlicher Nachweis | Häufiger Mangel |
|---|---|---|
| Kryptografiekonzept vorhanden | Schriftliches Dokument, datiert, genehmigt, versioniert | Kein eigenständiges Konzept; nur generische ISO-27001-Policy |
| Algorithmen dokumentiert | Liste genehmigter Verfahren mit Normenbezug (z. B. BSI TR-02102-1 v2026-01) | Formulierung „AES und RSA“ ohne Schlüssellängenangabe |
| Schlüsselmanagement vollständig | Prozessdokumentation für alle 12 Elemente | Speicherung und Rotation vorhanden; Vernichtung und Audit-Log fehlen |
| Krypto-Inventar aktuell | Aktuelles Register aller Verfahren, Zertifikate und Schlüsselmaterialien | OT-Umgebungen und Altsysteme nicht erfasst |
| Krypto-Agilität belegt | Architekturnachweis oder Konfigurationsmanagement zeigt Austauschbarkeit der Algorithmen | Algorithmen hard-coded; keine dokumentierten Ablöseprozesse |
| PQC-Planung vorhanden | Migrationsfahrplan mit Zeitplan, Systemumfang und Verantwortlichkeiten | Keine Auseinandersetzung mit quantenresistenten Verfahren |
| Überprüfungsrhythmus belegt | Nachweise der letzten Kryptografie-Reviews (Datum, Teilnehmer, Ergebnisse, Folgeentscheidungen) | Einmalige Ersterstellung; keine Folgereviews dokumentiert |
| Verbindung zur Risikobewertung | Kryptografiemaßnahmen aus Risikobewertung abgeleitet und rückverfolgbar | Konzept ohne Bezug zur Schutzbedarfsanalyse |
Das BSI empfiehlt, den IT-Grundschutz-Baustein TecM (Kryptografie) sowie die ISO 27001:2022 Controls A.5.31 (Krypto-Richtlinie) und A.8.24 (Einsatz von Kryptografie) als Strukturgrundlage zu nutzen. Wer ISO 27001 zertifiziert ist, hat damit eine Basis — muss aber prüfen, ob die deutschen NIS2-spezifischen Anforderungen, insbesondere das 12-Elemente-Schlüsselmanagement und die PQC-Planung, vollständig abgedeckt sind.
Rollenspezifische Handlungsempfehlungen
| Rolle | Unmittelbare Aufgabe |
|---|---|
| CISO / IT-Sicherheitsmanager | Krypto-Inventar erstellen; TR-02102-2 für TLS-Compliance durchsetzen; PQC-Roadmap aufsetzen; Krypto-Agilität in Architekturrichtlinien verankern |
| IT-Betrieb | Zertifikatsmanagement automatisieren (ACME oder interne PKI); SSH-Schlüssel inventarisieren; TLS 1.0/1.1 deaktivieren; Schlüsselrotation und Audit-Logs einrichten |
| Compliance-Beauftragter | Kryptografiekonzept als Pflichtdokument im Richtlinienrahmen verankern; Überprüfungsrhythmus (mindestens jährlich oder bei Algorithmus-Updates) definieren; Prüfnachweise strukturiert archivieren |
| Geschäftsführung / KMU-Inhaber | PQC-Migration als Investitionsentscheidung verstehen: einmalige Architekturmodernisierung ist günstiger als wiederholte Notfall-Patches; Budget ab 2027 einplanen; Haftungsrisiko durch fehlende Dokumentation ernst nehmen |
Häufige Fragen
Muss ich wirklich alle Daten verschlüsseln?
Artikel 21(2)(h) fordert Konzepte und Verfahren — nicht die pauschale Verschlüsselung aller Daten. Was verschlüsselt werden muss, ergibt sich aus Ihrer Schutzbedarfsanalyse. Daten mit hohem Schutzbedarf — personenbezogen, vertraulich, betriebskritisch — müssen sowohl bei der Übertragung als auch im Ruhezustand gesichert sein.
Genügt TLS 1.2 noch?
BSI TR-02102-2 empfiehlt TLS 1.3 als bevorzugte Version. TLS 1.2 ist noch akzeptabel, wenn ausschließlich die in TR-02102-2 empfohlenen Cipher Suites konfiguriert sind. TLS 1.0 und 1.1 gelten nicht mehr als Stand der Technik und sind in keiner aktuellen Prüfung vertretbar.
Muss ich heute schon Post-Quanten-Algorithmen einsetzen?
Nein — der alleinige Einsatz klassischer Verfahren gilt laut BSI noch bis Ende 2031 als akzeptabel. NIS2 verlangt aber heute eine dokumentierte Auseinandersetzung mit dem Thema und einen Migrationsfahrplan. Wer 2031 ohne Vorbereitung dasteht, hat keinen Nachweis über regelmäßige Konzeptüberprüfung — das ist ein Prüfmangel unabhängig vom Einsatz konkreter PQC-Algorithmen.
Gilt das auch für kleine Unternehmen?
Ja, sofern das Unternehmen als wesentliche oder wichtige Einrichtung nach NIS2UmsuCG eingestuft ist. Die Anforderungen skalieren mit dem Risikoprofil: Ein kleines Unternehmen muss nicht für jeden Schlüssel ein HSM einsetzen, aber ein dokumentiertes Konzept, ein vollständiges Schlüsselmanagement und ein Überprüfungsrhythmus sind auch für KMU Pflicht — ohne Ausnahme.
Dieser Artikel stellt allgemeine Informationen bereit und ist keine Rechts- oder Regulierungsberatung. Anforderungen können je nach Rechtsordnung und Organisationstyp variieren. Konsultieren Sie für Ihre konkrete Situation einen qualifizierten Rechts- oder Compliance-Spezialisten.
Quellen
- Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau — NIS2-Richtlinie, Artikel 21. EUR-Lex.
- Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Version 2026-01. BSI.
- Bundesamt für Sicherheit in der Informationstechnik (BSI). #nis2know: Kryptografische Verfahren — Konzepte und Prozesse. BSI.
- nis2-umsetzung.com. NIS2-Anforderungen an Kryptografie: Anhang Abschnitt 9 zum NIS2UmsuCG. nis2-umsetzung.com.
- Europäische Kommission. Durchführungsverordnung (EU) 2024/2690 — Anhang Abschnitt 9: Kryptografie. EUR-Lex.
- Security Insider. Quantencomputer: NIS 2 erhöht den Druck auf Unternehmen — BSI und 17 europäische Partner empfehlen PQC-Migration bis 2030. Security Insider.
