NIS2 Anforderungen — Die 10 Mindestmaßnahmen nach Artikel 21
Letzte Aktualisierung: 23. März 2026
NIS2 Anforderungen nach Art. 21 definieren 10 Mindestmaßnahmen, die alle wesentlichen und wichtigen Einrichtungen zur Cybersicherheit umsetzen müssen — verhältnismäßig nach Unternehmensgröße, Risikolage und Kritikalität der betroffenen Dienste. Für Deutschland sind damit in 18 Sektoren voraussichtlich mehr als 29.000 Unternehmen betroffen; maßgeblich sind Art. 21 Abs. 2 Buchst. a bis j der Richtlinie (EU) 2022/2555 sowie die nationale Umsetzung im BSIG-Umfeld.
Die Kernbotschaft lautet: NIS2 verlangt kein starres Enterprise-Programm für jeden Betrieb, aber eine nachvollziehbare Abdeckung aller zehn Maßnahmenfelder. Wer die Richtlinie nur als Meldepflicht versteht, greift zu kurz. Art. 21 ist der eigentliche Pflichtenkatalog für Cyber-Risikomanagement. Wenn Sie zuerst den Gesamtüberblick brauchen, helfen der Einstieg Was ist die NIS2-Richtlinie?, die operative NIS2 Checkliste und der Fahrplan zur NIS2 Implementierung.
Gemäß Art. 21 Abs. 1 NIS2 müssen die Maßnahmen „geeignet und verhältnismäßig“ sein. Das bedeutet praktisch: Ein regionales Gesundheitsunternehmen mit 80 Beschäftigten muss dieselben Themen adressieren wie ein großer Energieversorger, aber nicht mit denselben Budgets, Tool-Landschaften oder Audit-Tiefen. Entscheidend ist, ob die Schutzmaßnahmen in der konkreten Organisation wirksam, dokumentiert und steuerbar sind.
Art. 21 steht außerdem nicht isoliert. Maßnahme 2 verweist unmittelbar auf die Meldelogik aus Art. 23 NIS2, Maßnahme 7 hat eine enge Verbindung zur Management-Verantwortung aus Art. 20, und mehrere Maßnahmen überschneiden sich mit etablierten Frameworks wie dem BSI IT-Grundschutz oder ISO 27001. Für viele Unternehmen ist daher nicht die Frage, ob sie „etwas“ tun, sondern ob ihre bestehenden Kontrollen die regulatorische Struktur von NIS2 bereits belastbar abbilden.
Die folgende Tabelle verdichtet die zehn Mindestmaßnahmen in ein praxisnahes Raster. Sie eignet sich als Management-Überblick, als Einstieg für Gap-Analysen und als Grundlage für die Priorisierung eines Umsetzungsprogramms.
| Nr. | Maßnahme | Artikel | Kerninhalt | Typische Umsetzung |
|---|---|---|---|---|
| 1 | Risikoanalyse und Sicherheitskonzepte | Art. 21 Abs. 2 lit. a | Risiken identifizieren und Sicherheitsrichtlinien festlegen | Risikoanalyse, Asset-Inventar, Sicherheitsleitlinie |
| 2 | Bewältigung von Sicherheitsvorfällen | Art. 21 Abs. 2 lit. b | Vorfälle erkennen, eindämmen, behandeln und melden | Incident-Response-Plan, Eskalationsmatrix, Meldeprozess |
| 3 | Business Continuity und Krisenmanagement | Art. 21 Abs. 2 lit. c | Betriebsfähigkeit bei Störungen aufrechterhalten | Backups, Restore-Tests, Notfallhandbuch, Krisenteam |
| 4 | Sicherheit der Lieferkette | Art. 21 Abs. 2 lit. d | Drittparteirisiken steuern | Lieferantenklassifizierung, Sicherheitsklauseln, Reviews |
| 5 | Sichere Beschaffung, Entwicklung und Wartung | Art. 21 Abs. 2 lit. e | Systeme sicher auswählen, entwickeln und patchen | Patch-Management, Secure-by-Design, Schwachstellenprozess |
| 6 | Bewertung der Wirksamkeit von Maßnahmen | Art. 21 Abs. 2 lit. f | Kontrollen testen und verbessern | Audits, Pentests, KPIs, Management-Review |
| 7 | Cyberhygiene und Schulungen | Art. 21 Abs. 2 lit. g | Mitarbeitende und Leitung befähigen | Awareness, Phishing-Tests, Onboarding, Führungskräfte-Schulung |
| 8 | Kryptografie und Verschlüsselung | Art. 21 Abs. 2 lit. h | Daten und Kommunikation kryptografisch schützen | Verschlüsselungskonzept, Schlüsselmanagement, TLS |
| 9 | Personalsicherheit und Zugangskontrollen | Art. 21 Abs. 2 lit. i | Zugänge und Rollen sicher steuern | IAM, Least Privilege, Joiner-Mover-Leaver-Prozess |
| 10 | Multi-Faktor-Authentifizierung | Art. 21 Abs. 2 lit. j | Konten und Kommunikation zusätzlich absichern | MFA, sichere Admin-Zugänge, geschützte Fernzugriffe |
NIS2 Artikel 21 — Die 10 Mindestmaßnahmen im Überblick
NIS2 Artikel 21 definiert zehn Mindestmaßnahmen, die nicht als optionale Best Practices, sondern als regulatorischer Mindeststandard zu verstehen sind. Gemäß Art. 21 Abs. 2 der Richtlinie (EU) 2022/2555 müssen wesentliche und wichtige Einrichtungen diese Maßnahmen „mindestens“ umsetzen. Das Wort „mindestens“ ist entscheidend: Die zehn Punkte bilden keinen Abschlusskatalog, sondern die untere Pflichtschwelle. Je nach Branche, Bedrohungslage, Vernetzungsgrad und möglicher Auswirkung auf Wirtschaft und Gesellschaft können zusätzliche Kontrollen notwendig sein.
Für die Praxis ist besonders wichtig, dass NIS2 keinen rein technischen Sicherheitsbegriff verwendet. Der Katalog reicht von Richtlinien, Prozessen und Schulungen bis zu Lieferkettensicherheit, Verschlüsselung und MFA. Unternehmen können deshalb nicht argumentieren, ein Antivirus oder eine Firewall genüge bereits. NIS2 verlangt ein steuerbares System aus Governance, Prävention, Reaktion und Wiederherstellung.
Das Verhältnismäßigkeitsprinzip aus Art. 21 Abs. 1 soll verhindern, dass kleinere Einrichtungen an denselben Maßstäben gemessen werden wie Konzerne mit weltweiten Security Operations Centers. Es bedeutet aber ausdrücklich nicht, dass KMU einzelne Maßnahmen ignorieren dürfen. Ein mittelständischer Betrieb darf seine Risikoanalyse pragmatischer dokumentieren, seine Krisenorganisation schlanker aufsetzen und Audits risikobasiert skalieren. Er darf jedoch keine der zehn Kategorien leer lassen.
Für deutsche Unternehmen ist Art. 21 auch deshalb zentral, weil sich aus ihm die operativen Anforderungen für Prüfungen, Management-Berichte und Bußgeldrisiken ableiten. Wer NIS2 umsetzen will, sollte deshalb nicht mit einer isolierten Meldelogik beginnen, sondern mit einem strukturierten Soll-Ist-Abgleich entlang der zehn Maßnahmen. Dafür ist die NIS2 Checkliste ein sinnvoller erster Schritt. Die enge Verknüpfung zu Vorfallmeldungen erläutert ergänzend der Beitrag zur 24-Stunden-Meldepflicht nach NIS2.
Maßnahme 1: Risikoanalyse und Sicherheitskonzepte
Maßnahme 1 bildet das Fundament aller weiteren NIS2 Anforderungen, weil sie das Risikobild und die Sicherheitslogik des Unternehmens definiert. Gemäß Art. 21 Abs. 2 lit. a der Richtlinie (EU) 2022/2555 müssen Einrichtungen Konzepte für Risikoanalyse und Sicherheit von Informationssystemen etablieren. Gemeint ist kein bloßes Dokument für den Prüfordner, sondern eine nachvollziehbare Bewertung der eigenen Bedrohungen, Abhängigkeiten, Schwachstellen und Schutzbedarfe.
In der Praxis beginnt diese Maßnahme mit einem sauberen Inventar kritischer Systeme, Prozesse und Informationen. Unternehmen müssen wissen, welche Anwendungen, Daten, Lieferanten, Standorte und Kommunikationswege für ihren Betrieb wesentlich sind. Erst darauf aufbauend lassen sich realistische Risiken wie Ransomware, Fehlkonfigurationen, Insider-Handlungen, Produktionsausfälle oder Lieferkettenstörungen bewerten. Genau hier hilft der BSI IT-Grundschutz als praxistaugliches Framework, weil er systematisch von Bausteinen, Schutzbedarf und Maßnahmen ausgeht.
Das Sicherheitskonzept übersetzt dieses Risikobild in verbindliche Regeln. Dazu gehören etwa Passwortrichtlinien, Zugriffsregeln, Geräteverwaltung, Umgang mit externen Dienstleistern, Patch-Prozesse und Notfallgrundsätze. Wichtig ist, dass diese Vorgaben durch die Geschäftsleitung gebilligt und in den Betrieb übersetzt werden. Ein Sicherheitskonzept ohne Verantwortliche, Review-Zyklus und Management-Unterstützung ist regulatorisch schwach.
Für KMU muss die Umsetzung nicht kompliziert sein. Ein risikobasiertes Register, eine priorisierte Maßnahmenliste und eine konsistente Sicherheitsleitlinie reichen oft als belastbarer Start. Entscheidend ist, dass die Risikoanalyse regelmäßig aktualisiert wird und nicht nach dem Erstprojekt veraltet. Wer hier sauber arbeitet, schafft die Grundlage für alle weiteren NIS2 Maßnahmen und erleichtert zugleich den Einstieg in NIS2 Implementierung und Fahrplan.
Maßnahme 2: Bewältigung von Sicherheitsvorfällen
Maßnahme 2 verlangt, dass Unternehmen Sicherheitsvorfälle nicht improvisiert, sondern geordnet erkennen, eindämmen, analysieren und dokumentieren. Art. 21 Abs. 2 lit. b NIS2 nennt die Bewältigung von Sicherheitsvorfällen ausdrücklich als Mindestmaßnahme. Das bedeutet praktisch: Es braucht einen Incident-Response-Prozess mit Rollen, Eskalationen, Kommunikationswegen und klaren Entscheidungen für die ersten Stunden eines Vorfalls.
Besonders relevant ist die Verknüpfung mit Art. 23 NIS2. Unternehmen müssen erhebliche Vorfälle gestuft melden, typischerweise mit Frühwarnung innerhalb von 24 Stunden, weiterer Meldung innerhalb von 72 Stunden und Abschlussbericht binnen eines Monats. Die Vorfallbewältigung ist daher nicht nur eine technische Disziplin, sondern immer auch eine regulatorische Steuerungsaufgabe. Wer seine Meldefristen erst im Krisenfall interpretiert, verliert wertvolle Zeit.
Ein belastbarer IR-Plan beantwortet mindestens diese Fragen: Wer entscheidet über die Eskalation? Wer isoliert Systeme? Wer spricht mit Dienstleistern, Versicherern, Kunden und Behörden? Welche Logs und Beweise müssen gesichert werden? Wann wird die Geschäftsleitung eingebunden? Für KMU genügt oft ein kompakter Notfallplan mit Kontaktliste, Schweregraden, Meldeweg und Standardmaßnahmen für Ransomware, Account-Kompromittierung oder Datenabfluss.
Die häufigste Schwäche liegt nicht in fehlender Technik, sondern in unklaren Zuständigkeiten. Wenn IT, Recht, Datenschutz und Management keine gemeinsame Lageführung haben, eskalieren operative Fehler schnell zu Compliance-Problemen. Deshalb sollte Maßnahme 2 immer zusammen mit der NIS2-Meldepflicht in 24 Stunden und dem Führungsrahmen für NIS2 und Geschäftsführer-Verantwortung betrachtet werden.
Maßnahme 3: Business Continuity und Krisenmanagement
Maßnahme 3 verpflichtet Unternehmen dazu, ihre Betriebsfähigkeit auch während schwerer Cybervorfälle aufrechtzuerhalten oder geordnet wiederherzustellen. Art. 21 Abs. 2 lit. c NIS2 nennt ausdrücklich Business Continuity, Backup-Management, Disaster Recovery und Krisenmanagement. Damit wird klar: Ein Unternehmen ist nicht NIS2-konform, wenn es Vorfälle zwar erkennt, aber keine belastbaren Wiederanlauf- und Notbetriebsprozesse besitzt.
Im Zentrum stehen die Fragen nach Wiederherstellungszeit und Datenverlust. Welche Systeme müssen in zwei Stunden wieder laufen, welche in 24 Stunden, und welche Daten dürfen höchstens einen halben Arbeitstag alt sein? Daraus ergeben sich RTO- und RPO-Ziele, die zur tatsächlichen Geschäftskritikalität passen müssen. Ein Backup ist nur dann ein wirksamer Nachweis, wenn Restore-Tests regelmäßig durchgeführt und dokumentiert werden.
Krisenmanagement ergänzt die technische Perspektive um Führung, Kommunikation und Priorisierung. Wer informiert Mitarbeitende, Kunden und Lieferanten? Wer entscheidet, welche Dienste zuerst wiederhergestellt werden? Welche manuellen Ausweichverfahren gelten, wenn ERP, E-Mail oder Produktionssysteme ausfallen? Gerade im Mittelstand ist ein schlankes, aber getestetes Krisenhandbuch oft wirkungsvoller als ein großer Papierordner ohne Übungspraxis.
Unternehmen sollten Maßnahme 3 nicht nur unter IT-Gesichtspunkten betrachten. Auch externe Abhängigkeiten, etwa Cloud-Dienste, OT-Fernwartung oder kritische Lieferanten, beeinflussen die Resilienz erheblich. Business Continuity ist deshalb eng mit den Maßnahmen 2 und 4 verzahnt. Wer Notfallplanung mit Vorfallbehandlung und Lieferantenmanagement kombiniert, reduziert reale Ausfallzeiten deutlich.
Maßnahme 4: Sicherheit der Lieferkette
Maßnahme 4 adressiert eines der größten realen Risiken vieler Unternehmen: die Abhängigkeit von Cloud-, Software-, OT-, Hosting- und Service-Anbietern. Art. 21 Abs. 2 lit. d NIS2 verlangt Maßnahmen zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte in den Beziehungen zu direkten Lieferanten und Diensteanbietern. Der Fokus liegt damit nicht auf abstrakter Sorgfalt, sondern auf konkreter Steuerung von Drittparteirisiken.
Praktisch beginnt das mit einer Lieferantenklassifizierung. Unternehmen müssen erkennen, welche Anbieter nur Randfunktionen erfüllen und welche kritische Geschäftsprozesse, privilegierte Zugriffe, Datenverarbeitung oder Wiederanlaufzeiten beeinflussen. Kritische Drittparteien brauchen eine tiefere Prüfung, etwa zu Sicherheitsstandards, Incident-Meldungen, Subunternehmern, Datenstandorten, Support-Ende und Fernzugriffen.
Ebenso wichtig sind vertragliche Sicherheitsklauseln. Dazu gehören Regelungen zu Vorfallmeldungen, Audit- und Informationsrechten, Mindestanforderungen an Zugriffsschutz, Business Continuity, Schwachstellenmanagement und gegebenenfalls Flow-down-Pflichten für Unterauftragnehmer. Ohne solche Klauseln bleibt Lieferkettensicherheit oft auf gutem Willen aufgebaut. Gerade unter NIS2 reicht das nicht.
Für viele Unternehmen ist Maßnahme 4 auch deshalb relevant, weil Kunden die Anforderungen entlang der Lieferkette weitergeben. Selbst wenn ein Zulieferer nicht unmittelbar selbst reguliert ist, kann er faktisch NIS2-nahe Nachweise liefern müssen. Wer das Thema vertiefen will, findet eine ausführliche Einordnung im Beitrag zur NIS2 Maßnahme sichere Entwicklung und in der übergreifenden NIS2 Checkliste.
Maßnahme 5: Sichere Beschaffung, Entwicklung und Wartung
Maßnahme 5 verlangt einen sicheren Lebenszyklus für Systeme, Software und digitale Komponenten. Art. 21 Abs. 2 lit. e NIS2 nennt ausdrücklich Sicherheit in der Anschaffung, Entwicklung und Wartung von Netzen und Informationssystemen, einschließlich Umgang mit Schwachstellen und Offenlegung. Für Unternehmen heißt das: Nicht nur der Betrieb, sondern bereits Auswahl, Beschaffung, Konfiguration, Patchen und Weiterentwicklung müssen sicherheitsorientiert erfolgen.
Für die meisten KMU steht dabei weniger eigene Softwareentwicklung als verlässliches Patch- und Schwachstellenmanagement im Vordergrund. Welche Systeme laufen mit welchen Versionen? Welche Komponenten sind bald nicht mehr unterstützt? Wie schnell werden kritische Sicherheitsupdates bewertet, getestet und ausgerollt? Ein dokumentierter Patch-Prozess ist unter NIS2 kein Bonus, sondern Mindestanforderung.
Wo Unternehmen selbst entwickeln oder Individualsoftware beauftragen, wird Secure-by-Design besonders relevant. Dazu gehören Code-Reviews, Dependency-Management, Testumgebungen, abgesicherte Deployment-Prozesse und ein Prozess für bekannte Schwachstellen. Auch Software-Stücklisten und Transparenz über eingesetzte Bibliotheken gewinnen an Bedeutung, vor allem im Zusammenspiel mit Lieferkettenrisiken.
In der Beschaffungspraxis bedeutet Maßnahme 5, Sicherheitsanforderungen bereits vor Vertragsabschluss in Auswahlkriterien zu überführen. Wer unsichere Altprodukte, veraltete Betriebssysteme oder schlecht wartbare Speziallösungen einkauft, baut das nächste Compliance-Problem oft schon in der Investitionsphase ein. Den operativen Tiefgang dazu behandelt der Beitrag NIS2 Maßnahme sichere Entwicklung.
Maßnahme 6: Bewertung der Wirksamkeit von Maßnahmen
Maßnahme 6 macht klar, dass NIS2 nicht bei der Einführung von Kontrollen endet. Gemäß Art. 21 Abs. 2 lit. f müssen Unternehmen die Wirksamkeit ihrer Cyber-Risikomanagement-Maßnahmen bewerten. Es reicht also nicht, Policies zu schreiben, MFA technisch einzuschalten oder Schulungen zu buchen. Die Organisation muss belegen können, dass die Maßnahmen tatsächlich funktionieren.
In der Praxis geschieht das über Audits, technische Tests, Management-Reviews und wenige, aber aussagekräftige Kennzahlen. Typische KPIs sind etwa Patch-Quote innerhalb definierter Fristen, MFA-Abdeckung, Zeit bis zur Incident-Erkennung, Erfolgsquote von Restore-Tests oder Schulungsabschlussrate. Entscheidend ist nicht die Menge der Kennzahlen, sondern ihr Bezug zu realen Risiken und Geschäftsprozessen.
Pentests, Schwachstellenscans, Tabletop-Übungen und interne Audits sind typische Instrumente, um Kontrollen gegen die betriebliche Realität zu prüfen. Wer etwa behauptet, Backups seien belastbar, muss Restore-Tests nachweisen können. Wer Phishing-Risiken adressiert, sollte simulierte Angriffe oder Awareness-Messwerte vorhalten. Genau dadurch wird aus formaler Compliance eine wirksame Sicherheitssteuerung.
Für die Geschäftsleitung ist Maßnahme 6 besonders wichtig, weil sie den Nachweis der Überwachungspflicht unterstützt. Management-Reporting sollte daher regelmäßig zeigen, welche Kontrollen wirksam sind, wo Defizite bestehen und welche Korrekturmaßnahmen beschlossen wurden. Auf diese Weise wird Art. 21 zu einem lebenden Steuerungsmodell statt zu einer einmaligen Dokumentationsübung.
Maßnahme 7: Cyberhygiene und Schulungen
Maßnahme 7 verpflichtet Unternehmen zu grundlegender Cyberhygiene und regelmäßigen Schulungen für Mitarbeitende und Leitung. Art. 21 Abs. 2 lit. g NIS2 nennt ausdrücklich Basiskontrollen wie sichere Passwörter, den bewussten Umgang mit Phishing, Meldewege für Vorfälle und Schulungsmaßnahmen. In Verbindung mit Art. 20 NIS2 wird außerdem deutlich, dass auch Geschäftsleitung und Aufsichtsorgane Cyber-Risiken verstehen und Trainings wahrnehmen müssen.
Für die Praxis bedeutet das: Awareness darf kein einmaliges Pflichtvideo sein. Wirksam ist ein Programm erst, wenn es wiederkehrende Unterweisungen, Rollenbezug, Onboarding für neue Mitarbeitende, klare Meldekultur und praktische Tests kombiniert. Phishing-Simulationen, kurze Auffrischungen, Management-Briefings und messbare Abschlussquoten sind im Mittelstand oft die sinnvollste Mindestlösung.
Cyberhygiene umfasst darüber hinaus alltägliche Verhaltensregeln. Dazu gehören Bildschirmsperre, saubere Passwortnutzung, sichere Nutzung von Fernzugriffen, Verbot unautorisierter Software, vorsichtiger Umgang mit Anhängen und die schnelle Eskalation verdächtiger Aktivitäten. Gerade weil viele reale Vorfälle mit Social Engineering, Fehlklicks oder unbedachten Freigaben beginnen, ist diese Maßnahme operativ hoch relevant.
Unternehmen sollten Schulungen nicht als reine Personalentwicklung betrachten, sondern als Teil ihres Nachweissystems. Teilnahme, Inhalte, Zielgruppen und Tests müssen dokumentiert werden. Wer die Rolle der Leitung vertiefen will, findet eine ergänzende Einordnung unter NIS2 und Geschäftsführer. Die passende Handlungsempfehlung für die Praxis lautet: Jetzt NIS2-Schulung starten.
Maßnahme 8: Kryptografie und Verschlüsselung
Maßnahme 8 verlangt einen angemessenen Einsatz von Kryptografie und Verschlüsselung, um Vertraulichkeit, Integrität und teils auch Authentizität von Informationen zu schützen. Art. 21 Abs. 2 lit. h NIS2 nennt diese Maßnahme ausdrücklich als Mindestanforderung. Praktisch heißt das nicht, „alles verschlüsseln“ ohne Plan, sondern ein belastbares Verschlüsselungskonzept für Daten, Kommunikationswege, Speicherorte und Schlüsselverwaltung zu etablieren.
Im Mittelpunkt stehen Fragen wie: Welche Daten müssen im Ruhezustand verschlüsselt sein? Welche Übertragungen brauchen TLS oder VPN? Wie werden mobile Geräte, Backups, E-Mail-Verkehr und portable Datenträger abgesichert? Wer verwaltet kryptografische Schlüssel, und wie wird verhindert, dass dieselbe Person Daten und Schlüssel gleichermaßen unkontrolliert beherrscht? Genau an solchen Detailfragen entscheidet sich, ob Verschlüsselung in Audits als wirksam oder nur oberflächlich gilt.
Für KMU sollte der erste Schritt eine Klassifizierung sensibler Daten sein. Wer nicht weiß, wo besonders schützenswerte Informationen liegen, verschlüsselt oft die falschen Bereiche oder vergisst zentrale Schwachstellen wie lokale Admin-Notebooks, Cloud-Freigaben oder ungeschützte Backup-Medien. Ein pragmatisches Konzept priorisiert deshalb Kundendaten, sensible Betriebsinformationen, Identitätsdaten und geschäftskritische Dokumente.
Wichtig ist auch die Verbindung zu den Maßnahmen 4, 9 und 10. Lieferantenzugriffe, Identitätskontrollen und MFA beeinflussen die Wirksamkeit kryptografischer Schutzmaßnahmen direkt. Eine starke Verschlüsselung verliert an Wert, wenn Schlüssel unsicher verwaltet, privilegierte Zugänge zu breit vergeben oder Fernwartungsverbindungen schlecht abgesichert sind.
Maßnahme 9: Personalsicherheit und Zugangskontrollen
Maßnahme 9 verbindet organisatorische Personalsicherheit mit technischen Zugriffskontrollen. Nach Art. 21 Abs. 2 lit. i NIS2 geht es um Konzepte für Personal, Zugriff auf Systeme und Daten sowie Asset-Management. Praktisch betrifft diese Maßnahme jeden Mitarbeiterlebenszyklus: Einstellung, Rollenwechsel, Berechtigungsvergabe, Review privilegierter Konten und sauberes Offboarding.
Der Kern der Maßnahme ist das Prinzip der minimalen Rechtevergabe. Mitarbeitende sollen nur auf die Systeme und Informationen zugreifen können, die sie für ihre Aufgabe tatsächlich benötigen. Das reduziert den Schaden bei Fehlbedienung, Insider-Risiken und kompromittierten Konten erheblich. Technisch wird dieses Prinzip meist über IAM, rollenbasierte Berechtigungen, Freigabeprozesse und regelmäßige Rezertifizierungen umgesetzt.
Personalsicherheit beginnt jedoch bereits vor der Kontovergabe. Sicherheitsrelevante Rollen brauchen klare Verantwortlichkeiten, Vertraulichkeitsregeln, Awareness im Onboarding und verbindliche Prozesse für Geräteausgabe, Passwortmanager, Remote Access und Meldewege. Besonders kritisch sind Rollenwechsel und Austritte. Viele Unternehmen verlieren hier die Übersicht, sodass frühere Rechte oder Admin-Konten unnötig aktiv bleiben.
Für NIS2 ist Maßnahme 9 auch deshalb wichtig, weil sie mehrere Angriffspfade gleichzeitig adressiert: kompromittierte Identitäten, unkontrollierte Dienstleisterzugänge, Schatten-IT und fehlendes Asset-Management. Unternehmen, die Joiner-Mover-Leaver-Prozesse und Zugriffskontrollen sauber dokumentieren, verbessern nicht nur ihre Compliance, sondern senken oft sofort die reale Angriffsfläche.
Maßnahme 10: Multi-Faktor-Authentifizierung
Maßnahme 10 konkretisiert den Identitätsschutz und hebt Multi-Faktor-Authentifizierung als eigenständige Mindestanforderung hervor. Art. 21 Abs. 2 lit. j NIS2 nennt ausdrücklich Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation und gegebenenfalls gesicherte Notfallkommunikationssysteme. Damit macht die Richtlinie klar, dass Passwörter allein für kritische Zugänge nicht mehr genügen.
In der Praxis sollte MFA zuerst dort ausgerollt werden, wo der größte Hebel besteht: Administratorenkonten, Remote-Zugänge, Cloud-Dienste, E-Mail, VPN, Identitätsplattformen und sensible Fachanwendungen. Gerade E-Mail-Konten spielen eine zentrale Rolle, weil sie oft für Passwort-Resets, Identitätsdiebstahl und interne Freigaben missbraucht werden. Wer hier keine MFA hat, trägt ein vermeidbares Grundrisiko.
Wichtig ist, MFA nicht als technische Einzelmaßnahme zu missverstehen. Sie funktioniert nur zuverlässig mit sauberem Rollenmodell, Ausnahmeregeln, Break-Glass-Konzept, Geräteverwaltung und sicherer Nutzerkommunikation. Auch die Wahl des zweiten Faktors zählt: App-basierte Authentisierung oder Hardware-Token sind in der Regel robuster als unsichere oder leicht abfangbare Verfahren.
NIS2 erwähnt zudem sichere Kommunikation, was über klassische Logins hinausgeht. Unternehmen sollten daher prüfen, wie Krisenkommunikation, Administratorenabsprachen und sensible Fernzugriffe geschützt werden. MFA ist oft die schnellste Maßnahme mit hoher Risikoreduktion, aber sie entfaltet ihren vollen Wert erst im Zusammenspiel mit Zugangskontrollen, Schulungen und Incident Handling.
Verhältnismäßigkeit — Was KMU wirklich umsetzen müssen
KMU müssen unter NIS2 alle zehn Maßnahmenbereiche abdecken, aber nicht in derselben Tiefe wie Konzerne mit eigenen Security-Teams, 24/7-SOC und mehreren Rechenzentren. Genau dafür steht das Verhältnismäßigkeitsprinzip aus Art. 21 Abs. 1 NIS2. Die angemessene Umsetzung hängt von Unternehmensgröße, Risikoexposition, Kritikalität der Dienstleistungen, Schadenspotenzial und Stand der Technik ab.
Praktisch bedeutet das: Ein mittelständisches Unternehmen braucht nicht zwingend ein großes GRC-Tool, ein eigenes CERT oder quartalsweise Red-Team-Übungen. Es braucht aber ein belastbares Minimum in jeder Kategorie. Dazu gehören eine aktuelle Risikoanalyse, definierte Vorfallwege, getestete Backups, priorisierte Lieferantenbewertungen, dokumentiertes Patch-Management, einige wirksame KPIs, wiederkehrende Schulungen, ein Verschlüsselungskonzept, saubere Berechtigungsprozesse und MFA für kritische Konten.
Die richtige Frage lautet deshalb nicht „Müssen wir alles wie ein Großkonzern machen?“, sondern „Können wir für jede Maßnahme plausibel nachweisen, dass unsere Lösung zum Risiko passt und praktisch funktioniert?“ Wenn die Antwort nein ist, besteht Handlungsbedarf. Für viele KMU ist ein Stufenmodell sinnvoll: zuerst Basiskontrollen schließen, dann Dokumentation verbessern, anschließend Wirksamkeitstests und Management-Reporting ausbauen.
Typische Prioritäten für KMU sind Maßnahme 1, 2, 3 und 10, weil sie Risikotransparenz, Incident-Reaktion, Wiederanlauf und Identitätsschutz direkt verbessern. Danach folgen oft Lieferkette, Schulungen und Berechtigungsmanagement. Ein pragmatischer Einstieg ist die Kombination aus Soll-Ist-Check, Maßnahmen-Roadmap und Führungskräfte-Sensibilisierung. Genau dafür eignen sich die NIS2 Checkliste, der NIS2 Implementierungsfahrplan und die CTA Jetzt NIS2-Schulung starten.
FAQ (Schema-relevant)
Was sind die 10 NIS2-Mindestmaßnahmen nach Artikel 21?
Die 10 NIS2-Mindestmaßnahmen stehen in Art. 21 Abs. 2 Buchst. a bis j der Richtlinie (EU) 2022/2555. Sie umfassen Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Beschaffung und Entwicklung, Wirksamkeitsprüfung, Cyberhygiene und Schulungen, Kryptografie, Personalsicherheit sowie Multi-Faktor-Authentifizierung.
Müssen KMU alle 10 NIS2-Maßnahmen umsetzen?
Ja, soweit das Unternehmen unter NIS2 fällt, müssen alle zehn Themenbereiche adressiert werden. Die Umsetzungstiefe ist aber verhältnismäßig auszugestalten. Ein KMU darf einfacher und schlanker umsetzen als ein Konzern, darf jedoch keine Kategorie vollständig auslassen.
Wie hängen die NIS2-Maßnahmen mit ISO 27001 zusammen?
ISO 27001 ist für viele Unternehmen die beste strukturelle Grundlage, weil sie Risiken, Policies, Audits, Lieferantensteuerung und Awareness bereits systematisch organisiert. NIS2 geht jedoch weiter, weil die Richtlinie konkrete regulatorische Pflichten, Management-Verantwortung, Nachweisfähigkeit und Vorfallmeldungen verlangt. ISO 27001 hilft stark, ersetzt aber keine Prüfung gegen Art. 20, 21 und 23 NIS2.
Welche NIS2-Maßnahme hat die höchste Priorität?
Die höchste Priorität hat in der Regel die Risikoanalyse nach Art. 21 Abs. 2 lit. a. Ohne klares Risikobild lassen sich die übrigen Maßnahmen nicht sinnvoll priorisieren. Unmittelbar danach folgen meist Incident Handling, Business Continuity und MFA, weil diese vier Bereiche die größten operationellen Risiken zuerst adressieren.
Wer ist für die Umsetzung der NIS2-Maßnahmen verantwortlich?
Die Umsetzung ist eine Querschnittsaufgabe. Operativ sind IT, Informationssicherheit, Einkauf, HR, Fachbereiche und gegebenenfalls Datenschutz beteiligt. Die Letztverantwortung für Billigung und Überwachung der Maßnahmen liegt nach Art. 20 NIS2 aber bei Geschäftsführung oder Vorstand. Genau deshalb sollte die Leitung die eigene Rolle aktiv verstehen und dokumentiert wahrnehmen.
Reicht ISO 27001 für NIS2-Compliance?
Nein. ISO 27001 ist ein sehr starker Baustein, aber keine automatische NIS2-Erfüllung. Unternehmen müssen zusätzlich sicherstellen, dass sie die gesetzlichen Pflichten aus der Richtlinie (EU) 2022/2555 und ihrer nationalen Umsetzung vollständig abbilden, insbesondere Meldeprozesse, Management-Einbindung, Verhältnismäßigkeit und sektorspezifische Anforderungen.
Fazit
NIS2 Anforderungen nach Art. 21 lassen sich auf einen einfachen Satz verdichten: Jedes betroffene Unternehmen muss alle zehn Mindestmaßnahmen abdecken, aber in einer Ausprägung, die zur eigenen Größe, Risikolage und Kritikalität passt. Der regulatorische Maßstab ist nicht Perfektion, sondern belastbare, dokumentierte und wirksame Cyber-Resilienz.
Der sinnvollste nächste Schritt ist ein strukturierter Soll-Ist-Abgleich entlang der zehn Maßnahmen mit klarer Priorisierung. Für den Einstieg eignen sich Was ist die NIS2-Richtlinie?, die NIS2 Checkliste, der NIS2 Implementierungsfahrplan und die praxisnahe CTA Jetzt NIS2-Schulung starten.