NIS2 Maßnahme 6 — Wirksamkeitsprüfung der Cybersicherheit
Letzte Aktualisierung: 21. März 2026
Die NIS2-Maßnahme 6 gemäß Art. 21(2)(f) verpflichtet betroffene Unternehmen, die Wirksamkeit ihrer Cybersicherheitsmaßnahmen regelmäßig zu bewerten und zu testen. Für die NIS2 Wirksamkeitsprüfung heißt das praktisch: mindestens ein dokumentiertes Prüfprogramm pro Jahr, zusätzliche risikobasierte Tests für kritische Systeme und eine Management-Auswertung entlang von Kennzahlen, Audits und technischen Prüfungen; in ISO-Logik entspricht das vor allem Kapitel 9 zur Leistungsbewertung.
Die kurze Antwort lautet daher: Ein Unternehmen ist unter NIS2 nicht schon deshalb compliant, weil es Richtlinien, Firewalls oder MFA eingeführt hat. Es muss nachweisen können, dass diese Maßnahmen im Alltag funktionieren, Sicherheitslücken tatsächlich reduzieren und bei Audits, Penetrationstests oder Schwachstellenscans überprüft werden. Wenn Sie den Maßnahmenkatalog zuerst systematisch einordnen möchten, ergänzen diese Seite auch die Ticket-Zielseiten NIS2 Maßnahme Risikoanalyse, NIS2 Checkliste, NIS2 Haftung Geschäftsführer sowie die NIS2-Schulung. Im bestehenden Wissensbereich passen außerdem NIS2 Maßnahme 4 Lieferkettensicherheit und der NIS2 Incident Response Plan.
Wichtig für die Rechtslage in Deutschland ist die Datumsfrage: Art. 21 Abs. 2 Buchst. f der Richtlinie (EU) 2022/2555 ist die europäische Primärnorm. Der frühere deutsche Entwurfsbezug lautete § 30 Abs. 2 Nr. 6 BSIG-E im Bundestagsentwurf vom 2. Oktober 2024; inzwischen ist die Materie nach aktuellem Stand im geltenden § 30 Abs. 2 Nr. 6 BSIG abgebildet. Für die Praxis zählt deshalb nicht nur der alte Entwurfswortlaut, sondern die heute geltende Pflichtlogik.
Was verlangt Art. 21(2)(f) NIS2 konkret?
Art. 21 Abs. 2 Buchst. f NIS2 verlangt Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Der Kern der Norm ist einfach: Maßnahmen müssen nicht nur beschlossen und eingeführt, sondern regelmäßig auf ihre tatsächliche Wirkung geprüft werden. Genau darin liegt der Unterschied zwischen einem formalen Sicherheitsprogramm und einer nachweisbar funktionierenden Sicherheitsorganisation.
Für Unternehmen bedeutet das erstens eine Testpflicht. Kritische Schutzmaßnahmen wie Zugriffskontrollen, Backup-Prozesse, Patch-Management, Incident Response, Netzsegmentierung oder Lieferantenkontrollen müssen anhand geeigneter Methoden überprüft werden. Geeignet heißt hier nicht immer maximal aufwendig, sondern risikobasiert. Ein mittelständischer Maschinenbauer braucht kein permanentes Red Teaming auf Konzernniveau, aber sehr wohl ein systematisches Prüfprogramm.
Für Unternehmen bedeutet das zweitens eine Bewertungspflicht. Die Ergebnisse von Audits, Scans oder Tests müssen analysiert, priorisiert und in Korrekturmaßnahmen übersetzt werden. Ein Scan-Report, der im Ticketsystem verschwindet, erfüllt Maßnahme 6 nicht. NIS2 erwartet Wirksamkeitsbewertung, also eine Aussage darüber, ob Kontrollen Ziele erreichen, Schwachstellen sinken und Risiken vertretbar bleiben.
Für Unternehmen bedeutet das drittens eine Governance-Pflicht. Die Geschäftsleitung muss nicht jede technische Prüfung selbst durchführen, aber sie muss ein System billigen und überwachen, das Wirksamkeit messbar macht. Damit wird Maßnahme 6 schnell zum Bindeglied zwischen operativer Sicherheit, Revision und Organverantwortung. Wer diese Perspektive vertiefen will, sollte auch IT-Sicherheit für Geschäftsführer und Geschäftsführer-Haftung bei Cyberangriffen einordnen.
Aus juristischer Sicht ist außerdem relevant, dass NIS2 keine starre Checklistenpflicht formuliert, sondern eine verhältnismäßige, risikobasierte Prüfung verlangt. Ein Unternehmen muss also begründen können, warum es welche Frequenz, welche Methoden und welche Prüftiefe gewählt hat. Diese Dokumentationsfähigkeit ist oft wichtiger als ein isolierter Einzeltest.
Wirksamkeitsprüfung vs. Audit — der Unterschied
Die NIS2 Wirksamkeitsprüfung wird häufig mit einem Audit gleichgesetzt. Das ist zu eng. Ein Audit ist nur eine von mehreren Methoden, mit denen Wirksamkeit überprüft werden kann. Die Wirksamkeitsprüfung ist der Oberbegriff; das Audit ist ein einzelnes Werkzeug innerhalb dieses Rahmens.
Ein klassisches Audit prüft vor allem, ob Vorgaben, Prozesse und Kontrollen vorhanden, angemessen dokumentiert und grundsätzlich umgesetzt sind. Es beantwortet Fragen wie: Gibt es eine Patch-Richtlinie? Gibt es ein Rollenmodell? Werden Backup-Tests dokumentiert? Das ist wichtig, aber noch kein Beleg dafür, dass Angriffe erkannt, Schwachstellen priorisiert und reale Fehlkonfigurationen gefunden werden.
Eine Wirksamkeitsprüfung fragt weiter: Funktioniert die Richtlinie auch praktisch? Werden kritische Patches rechtzeitig eingespielt? Erkennen Mitarbeitende Phishing? Sind Backups im Restore wirklich verwendbar? Werden Schwachstellen mit hohem Risiko schneller geschlossen als solche mit niedrigem Risiko? Können Administratorrechte missbraucht werden? An dieser Stelle kommen technische Tests, Metriken und Simulationen ins Spiel.
Das Verhältnis lässt sich so zusammenfassen:
| Frage | Audit | Wirksamkeitsprüfung |
|---|---|---|
| Prüft Dokumentation und Prozessdesign? | Ja | Ja |
| Prüft reale technische Schwächen? | Teilweise | Ja, regelmäßig |
| Nutzt Kennzahlen und Trenddaten? | Selten als Hauptfokus | Ja |
| Umfasst Penetrationstests und Scans? | Nicht zwingend | Typischerweise ja |
| Bewertet den Erfolg von Maßnahmen über Zeit? | Eher begrenzt | Ja, ausdrücklich |
In der Praxis braucht ein belastbares NIS2-Programm beides. Audits schaffen Struktur, Nachvollziehbarkeit und Governance. Wirksamkeitsprüfungen zeigen, ob Kontrollen unter realen Bedingungen tragen. Wer nur auditiert, riskiert Scheinsicherheit. Wer nur testet, aber ohne Programm, riskiert Aktionismus ohne Steuerung.
Gerade mittelständische Unternehmen profitieren davon, Audit und Wirksamkeitsprüfung nicht organisatorisch zu trennen, sondern in einen gemeinsamen Zyklus zu bringen: Audit identifiziert Lücken im System, technische Prüfungen verifizieren die reale Wirksamkeit, Kennzahlen zeigen Trends, und das Management priorisiert Maßnahmen nach Risiko und Aufwand.
Methoden: Penetrationstests, Schwachstellenscans, Red Teaming
Art. 21(2)(f) NIS2 schreibt keine einzelne Testmethode exklusiv vor. Die Norm verlangt vielmehr Verfahren, die zur Risikolage und Kritikalität der Einrichtung passen. In der Praxis haben sich drei Ebenen etabliert: automatisierte Schwachstellenscans, gezielte Penetrationstests und für reifere Organisationen Red-Teaming- oder Purple-Teaming-Ansätze.
Schwachstellenscans sind die Basismethode. Sie eignen sich, um Systeme regelmäßig auf bekannte Schwachstellen, Fehlkonfigurationen, offene Dienste, veraltete Softwarestände oder unsichere Zertifikatslagen zu prüfen. Ihr größter Vorteil ist die Wiederholbarkeit. Genau deshalb sollten sie bei exponierten oder kritischen Systemen nicht nur einmal im Jahr stattfinden, sondern kontinuierlich oder mindestens quartalsweise.
Penetrationstests gehen tiefer. Sie prüfen, ob ein Angreifer konkrete Schwächen tatsächlich ausnutzen kann und welche Auswirkungen daraus entstehen. Für NIS2 sind Penetrationstests besonders dort wertvoll, wo Kundendaten, privilegierte Zugänge, Produktionsnähe, Fernwartung, Cloud-Identitäten oder geschäftskritische Anwendungen betroffen sind. Ein jährlicher Pentest für alle Systeme ist nicht zwingend, für kritische Angriffsflächen aber oft der plausibelste Mindeststandard.
Red Teaming ist die anspruchsvollere Variante. Dabei wird nicht nur eine Liste bekannter Schwachstellen geprüft, sondern ein realistisches Angriffsszenario simuliert, häufig unter Einbeziehung von Identitäten, Prozessen, Detektion und Reaktionsfähigkeit. Für die meisten KMU ist das kein Startpunkt, sondern ein Reifegradschritt. Wenn jedoch die Frage lautet, ob Ihr SOC, Ihre Alarmierung und Ihre Entscheidungswege unter Druck funktionieren, ist Red Teaming wertvoller als ein rein technischer Scan.
Ein praxistaugliches Methodenmodell sieht häufig so aus:
- Monatliche oder kontinuierliche Schwachstellenscans für externe und interne kritische Systeme.
- Jährliche Penetrationstests für Internet-facing Anwendungen, IAM, VPN, Cloud-Administrationspfade oder OT-nahe Übergänge.
- Anlassbezogene Sondertests nach größeren Änderungen, Migrationen, M&A, Lieferantenwechseln oder Sicherheitsvorfällen.
- Reifegradabhängig Purple Teaming oder Red Teaming für besonders kritische Umgebungen.
Wichtig ist die saubere Abgrenzung: Ein Penetrationstest ersetzt kein Schwachstellenmanagement, und ein Schwachstellenscan ersetzt keinen Penetrationstest. Wer nur einen Jahrestest einkauft, aber laufende Exponierung nicht überwacht, verfehlt den Gedanken der Wirksamkeitsprüfung.
KPI-Framework für Cybersicherheit (Metriken und Dashboards)
NIS2 Wirksamkeitsprüfung wird erst dann steuerbar, wenn Unternehmen Kennzahlen definieren. Ein KPI-Framework übersetzt technische Einzelbefunde in Management-Sichtbarkeit. Die Frage lautet also nicht nur, ob Findings existieren, sondern ob sich Sicherheitswirkung über Zeit messen lässt.
Gute Sicherheits-KPIs haben drei Eigenschaften. Erstens sind sie risikobezogen und nicht bloß bequem messbar. Zweitens sind sie trendfähig, also periodisch vergleichbar. Drittens lösen sie Handlungen aus, etwa Eskalationen, Maßnahmen oder Management-Reviews. Eine Kennzahl ohne Schwellenwert und ohne Verantwortlichen ist keine Steuerung.
Für Maßnahme 6 eignen sich insbesondere diese Kennzahlen:
| KPI | Aussage | Sinnvoller Rhythmus | Typischer Zielwert |
|---|---|---|---|
| Patch-Compliance kritisch | Wie viele kritische Patches fristgerecht umgesetzt sind | Monatlich | 95 bis 100 % |
| Mean Time to Remediate | Wie schnell kritische Schwachstellen geschlossen werden | Monatlich | risikobasiert, z. B. unter 14 Tagen |
| Backup-Restore-Erfolgsquote | Ob Wiederherstellungen praktisch funktionieren | Quartalsweise | 100 % kritische Restores erfolgreich |
| MFA-Abdeckung | Wie viele relevanten Konten mit MFA geschützt sind | Monatlich | 100 % privilegierte Konten |
| Phishing-Meldequote | Ob Mitarbeitende verdächtige Mails erkennen und melden | Quartalsweise | ansteigender Trend |
| Audit-Findings offen/überfällig | Ob identifizierte Lücken fristgerecht abgearbeitet werden | Monatlich | keine überfälligen High Findings |
| Incident-Detection-to-Containment | Zeit zwischen Erkennung und Eindämmung | Pro Vorfall, monatlich aggregiert | sinkender Trend |
Diese Metriken dürfen nicht isoliert betrachtet werden. Eine gute Patch-Compliance kann trügerisch sein, wenn der Scope unvollständig ist. Eine niedrige Incident-Zahl kann auf Sicherheit hindeuten, aber auch auf schwache Erkennung. Ein Dashboard ist deshalb nur so gut wie die Datenqualität und die Interpretation im Kontext.
Für das Management empfiehlt sich ein Dashboard auf drei Ebenen. Ebene eins zeigt wenige Steuerungskennzahlen mit Ampellogik. Ebene zwei verdichtet Risiken nach Geschäftsprozess, Standort oder Kritikalität. Ebene drei enthält technische Tiefendaten für Security, IT und Revision. So lassen sich operative Details und Vorstandssicht trennen, ohne den Zusammenhang zu verlieren.
Der eigentliche Mehrwert von KPIs liegt im Trend. Maßnahme 6 will nicht nur einen Momentbefund, sondern eine nachvollziehbare Aussage darüber, ob die Sicherheitslage stabiler oder schlechter wird. Wenn die Zahl kritischer Schwachstellen über drei Quartale steigt, ist das ein Wirksamkeitsproblem, selbst wenn formal alle Richtlinien vorhanden sind.
Auditprogramm aufbauen — Frequenz, Scope, Dokumentation
Ein Auditprogramm für NIS2 Maßnahme 6 braucht keinen bürokratischen Überbau, aber einen klaren Jahresplan. Wer auf Zuruf prüft, kann weder Vollständigkeit noch Verhältnismäßigkeit belegen. Das Auditprogramm ist daher das organisatorische Rückgrat der Wirksamkeitsprüfung.
Der erste Baustein ist die Frequenz. Nicht jede Kontrolle braucht denselben Prüfzyklus. Kritische technische Themen wie Schwachstellenmanagement, externe Angriffsflächen oder privilegierte Zugänge verlangen häufigere Reviews als etwa ein vollständiges Policy-Audit. Ein realistisches Modell ist: monatliche KPI-Reviews, quartalsweise Kontrolltests, jährliche Gesamtprüfung und anlassbezogene Sonderprüfungen.
Der zweite Baustein ist der Scope. Der Scope sollte sich an kritischen Prozessen, exponierten Systemen, regulatorischen Pflichten, Lieferantenabhängigkeiten und Vorfallhistorie orientieren. Typische Scope-Kandidaten sind Identitäts- und Zugriffsmanagement, Backups, Incident Response, externe Anwendungen, Cloud-Administrationspfade, OT-Schnittstellen und kritische Dienstleister. Genau hier hilft auch die Vorarbeit aus der NIS2 Maßnahme Lieferkettensicherheit.
Der dritte Baustein ist die Dokumentation. Für jede Prüfung sollten mindestens Ziel, Methode, Prüfumfang, Datum, Prüfer, Findings, Risikobewertung, Maßnahmen, Fristen und Verantwortliche dokumentiert werden. Ohne diese Kette entsteht kein belastbarer Nachweis, dass Prüfungen zu Verbesserungen führen.
Ein pragmatischer Jahresplan kann so aussehen:
- Monatlich: KPI-Review für Patching, MFA, Findings, Restore-Erfolge und offene Hochrisiken.
- Quartalsweise: Schwachstellenscans, Zugriffsreview, Backup-Restore-Test, Review kritischer Lieferantenkontrollen.
- Halbjährlich: Themenaudit zu Incident Response, IAM oder externen Angriffsflächen.
- Jährlich: Gesamtbewertung der Wirksamkeit mit Management-Review und Priorisierung des Folgejahrs.
- Anlassbezogen: Sonderprüfung nach Sicherheitsvorfällen, größeren Migrationen oder neuen kritischen Services.
Viele Unternehmen machen den Fehler, Auditberichte nur als Belegsammlung zu behandeln. Für Maßnahme 6 reicht das nicht. Ein Auditprogramm ist erst dann wirksam, wenn Findings in einen Maßnahmenprozess mit Eigentümer, Fälligkeitsdatum und Eskalationslogik überführt werden. Offene Findings ohne Fristüberwachung sind aus NIS2-Sicht fast so problematisch wie fehlende Prüfungen.
BSI-Anforderungen und ISO 27001 Annex A.18
Das BSI spiegelt die NIS2-Logik inzwischen im deutschen Aufsichtsrahmen. Für Unternehmen ist dabei wichtig, dass die frühere Formulierung aus dem Bundestagsentwurf als § 30 Abs. 2 Nr. 6 BSIG-E heute in der geltenden BSIG-Systematik fortlebt. Materiell bleibt die Aussage gleich: Es braucht Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
Die deutsche Perspektive ist deshalb keine andere als die europäische, sondern eine Konkretisierung für Aufsicht und Nachweis. Das BSI erwartet keine Scheinaudits, sondern nachvollziehbare Prozesse, mit denen Einrichtungen Schwachstellen finden, Risiken priorisieren, Maßnahmen bewerten und Ergebnisse dokumentieren. Wer schon heute mit BSI-Prüfmaßstäben denkt, reduziert spätere Reibung deutlich.
Für ISO-27001-orientierte Unternehmen ist Maßnahme 6 besonders anschlussfähig. Der naheliegendste Bezugspunkt ist Kapitel 9 der ISO 27001 zur Leistungsbewertung, also Monitoring, Measurement, Analysis, Evaluation, Internal Audit und Management Review. In älteren Annex-A-Strukturen werden außerdem häufig A.18.2 für Compliance-Prüfung, A.12.6 für das Management technischer Schwachstellen und A.14.2 für Sicherheit in Entwicklungs- und Testprozessen als relevante Anker genannt.
Die folgende Mapping-Tabelle ist kein Vollersatz für eine Normanalyse, aber ein praxistauglicher Startpunkt:
| NIS2 Maßnahme 6 | Praktische Anforderung | ISO-27001-Bezug |
|---|---|---|
| Art. 21(2)(f) Bewertung der Wirksamkeit | Prüfverfahren, KPIs, technische Tests, Management-Review | ISO 27001 Kapitel 9 Leistungsbewertung |
| Audit- und Review-Zyklus | Interne Audits, Nachverfolgung, Korrekturmaßnahmen | ISO 27001 9.2 Internal Audit |
| KPI- und Management-Dashboard | Analyse, Bewertung, Verbesserungsentscheidungen | ISO 27001 9.1 und 9.3 |
| Schwachstellenmanagement | Identifikation, Priorisierung, Behebung | Annex A.12.6 in älteren Strukturen |
| Compliance- und Kontrollprüfung | Regelmäßige Überprüfung der Sicherheitsvorgaben | Annex A.18.2 in älteren Strukturen |
| Sichere Änderungen und Tests | Prüfung von Änderungen, Releases, Testumgebungen | Annex A.14.2 in älteren Strukturen |
Der zentrale Punkt ist: ISO 27001 kann NIS2 Maßnahme 6 stark unterstützen, ersetzt aber keine risikobasierte Rechtsprüfung. Ein zertifiziertes oder ISO-orientiertes ISMS ist ein Vorteil, wenn Kennzahlen, technische Tests und Management-Reviews tatsächlich gelebt werden. Ohne diese operative Tiefe bleibt das Mapping ein Papierbezug.
Häufige Umsetzungsfehler bei der NIS2 Wirksamkeitsprüfung
Der häufigste Fehler ist die Gleichsetzung von Existenz und Wirksamkeit. Viele Unternehmen sagen: „Wir haben eine Richtlinie, also ist die Maßnahme erfüllt.“ NIS2 fragt aber nicht nur, ob eine Kontrolle existiert, sondern ob sie nachweisbar wirkt.
Der zweite Fehler ist Prüfungsblindheit nach dem Projektstart. Nach einer Einführung von MFA, EDR oder Backup-Lösungen folgt oft kein strukturierter Wirksamkeitszyklus mehr. Gerade dadurch entsteht das Risiko, dass Maßnahmen technisch vorhanden, aber operativ unterlaufen oder falsch konfiguriert sind.
Der dritte Fehler ist KPI-Formalismus. Teams messen nur, was leicht verfügbar ist, statt das, was Risiko sichtbar macht. Ein Dashboard mit grünen Prozentwerten hilft nicht, wenn es keine Aussage über kritische Angriffsflächen, überfällige Findings oder fehlgeschlagene Restores enthält.
Der vierte Fehler ist fehlende Management-Verankerung. Wirksamkeitsprüfung wird dann zu einem rein technischen Nebenprozess, obwohl sie eigentlich die Schnittstelle zwischen Sicherheit, Governance und Haftungsprävention ist. Spätestens wenn Aufsicht, Kunden oder Versicherer Nachweise verlangen, fällt diese Lücke auf.
Der fünfte Fehler ist fehlende Verknüpfung mit Schulung und Vorfallmanagement. Wenn Pentests Schwächen zeigen, Scans Risiken finden oder Audits unklare Meldewege aufdecken, muss das in Trainings, Richtlinien und Incident-Playbooks zurückgespielt werden. Sonst bleibt Maßnahme 6 isoliert und verliert ihren eigentlichen Mehrwert.
FAQ
Was fordert NIS2 Art. 21(2)(f) zur Wirksamkeitsprüfung?
Art. 21 Abs. 2 Buchst. f NIS2 fordert Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen. Unternehmen müssen also prüfen und dokumentieren, ob ihre Sicherheitskontrollen tatsächlich funktionieren, Risiken senken und regelmäßig bewertet werden.
Wie oft muss die Wirksamkeit geprüft werden?
NIS2 nennt keinen starren Einheitsrhythmus. Sinnvoll ist in der Praxis ein jährliches Gesamtprogramm mit quartalsweisen Kontrolltests, monatlichen KPI-Reviews und anlassbezogenen Sonderprüfungen für kritische Änderungen oder Vorfälle.
Reicht ein Penetrationstest für die NIS2-Wirksamkeitsprüfung?
Nein. Ein Penetrationstest ist nur ein Teil des Gesamtprogramms. Zusätzlich brauchen Unternehmen Audits, Schwachstellenscans, KPI-Auswertungen, Management-Reviews und eine belastbare Nachverfolgung von Findings.
Welche ISO-27001-Kontrollen decken NIS2 Maßnahme 6 ab?
Am nächsten liegen ISO 27001 Kapitel 9 zur Leistungsbewertung sowie die klassischen Bezüge zu A.18.2, A.12.6 und A.14.2 in älteren Annex-A-Strukturen. Diese Kontrollen helfen beim Aufbau eines Prüfprogramms, ersetzen aber nicht die spezifische NIS2-Risikologik.
Wer darf die NIS2-Wirksamkeitsprüfung durchführen?
Interne und externe Prüfer kommen gleichermaßen in Betracht. Entscheidend sind Fachkunde, ausreichende Unabhängigkeit und ein Prozess, der Findings sauber bewertet, priorisiert und in Maßnahmen überführt.
Fazit: NIS2 Maßnahme 6 ist der Realitätscheck für Ihr Sicherheitsprogramm
Die NIS2 Wirksamkeitsprüfung ist der Punkt, an dem Sicherheitsmaßnahmen den Praxistest bestehen müssen. Art. 21(2)(f) verlangt nicht bloß Kontrollkataloge, sondern einen wiederkehrenden Realitätscheck aus Audits, technischen Prüfungen, Kennzahlen, Management-Reviews und dokumentierter Nachverfolgung.
Der sinnvollste nächste Schritt ist deshalb kein isolierter Einzeltest, sondern ein risikobasiertes Prüfprogramm mit klarer Frequenz, priorisierten Systemen und einem kleinen, aber belastbaren KPI-Set. Wenn Sie diese Logik organisationsweit verankern wollen, ist die NIS2-Schulung der pragmatische Einstieg. Für angrenzende Bausteine sollten Sie außerdem den NIS2 Incident Response Plan, NIS2 Maßnahme 4 Lieferkettensicherheit und den Überblick CRA, NIS2 und AI Act heranziehen.