Welche Mindestmaßnahmen verlangt NIS2 von KMU?

Begriff

Mit „Mindestmaßnahmen" sind die in Art. 21 Abs. 2 der Richtlinie (EU) 2022/2555 aufgelisteten Themenfelder gemeint, die jede erfasste Einrichtung adressieren muss. Die Richtlinie nennt sie „Risikomanagement-Maßnahmen für die Sicherheit von Netz- und Informationssystemen".

Wichtig: Die Liste ist ergebnis-orientiert formuliert. Die Richtlinie gibt nicht vor, wie eine Maßnahme technisch umzusetzen ist — nur dass das jeweilige Risiko angemessen behandelt wird. Der Maßstab ist Art. 21 Abs. 1: „dem Stand der Technik entsprechend, verhältnismäßig zum Risiko und unter Berücksichtigung der Kosten".

Für die Praxis heißt das: KMU dürfen ihre Umsetzung am tatsächlichen Risiko ausrichten. Eine 50-Mitarbeiter-Spezialwerkstatt braucht keine Air-Gap-Architektur, aber eine systematische Risiko-Bewertung und nachweisbare Schutzmaßnahmen schon.

Die 11 Mindestmaßnahmen im Einzelnen

1. Risikoanalyse- und Sicherheitskonzepte für Informationssysteme

Was die Richtlinie verlangt: Eine systematische Risiko-Analyse, die in dokumentierten Sicherheitskonzepten mündet. Die Konzepte müssen die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) für jedes wesentliche System adressieren.

Praxis für 50-250 MA:

• Inventar der schutzwürdigen Assets erstellen (Daten, Systeme, Prozesse).
• Pro Asset eine Schadensklasse und Eintrittswahrscheinlichkeit zuordnen — Format reicht ein einseitiges Excel pro Asset-Klasse.
• Sicherheitskonzept für die Top-Risiken aufschreiben (1-2 Seiten pro Konzept).
• Jährliche Review pflichten.

2. Bewältigung von Sicherheitsvorfällen

Was die Richtlinie verlangt: Definierter Incident-Response-Prozess mit klaren Rollen, Eskalationspfaden und Meldewegen.

Praxis:

• Incident-Response-Playbook erstellen (Trigger, Rollen, Erst-Reaktion, Eskalation, Meldepflicht, Recovery).
• 24-h-Erstmeldung an das BSI muss in den Prozess eingebaut sein (Art. 23 NIS2).
• Mindestens jährlich eine Übung („Tabletop-Exercise") durchführen und dokumentieren.

3. Geschäftskontinuität: Backup-Management und Krisenmanagement

Was die Richtlinie verlangt: Sicherstellung des Geschäftsbetriebs bei Sicherheits-Vorfällen — durch Backups, Wiederanlauf-Prozesse und Krisenkommunikation.

Praxis:

• Backup-Strategie mit definierten RPO/RTO-Werten je System.
• Backups regelmäßig auf Wiederherstellbarkeit testen — nicht nur auf Existenz.
• Krisenkommunikations-Plan: Wer informiert Kunden, Behörden, Mitarbeitende? Welche Kanäle, wenn das primäre System ausfällt?

4. Sicherheit der Lieferkette

Was die Richtlinie verlangt: Adressierung der Sicherheit von Lieferanten und direkten Dienstleistern. Insbesondere für IT-Dienste und Software-Lieferungen.

Praxis:

• Lieferanten-Inventar mit Risiko-Klassifikation.
• Sicherheits-Klauseln in Verträgen mit kritischen Lieferanten (z.B. Recht auf Audit, Meldung von Vorfällen, Mindeststandards).
• Bei Software: Stückliste (SBOM) und Patch-Verfahren mit dem Lieferanten klären.

Die Lieferketten-Anforderung ist auch der Grund, warum nicht-NIS2-Unternehmen als Zulieferer indirekt mitziehen müssen — siehe „NIS2-Lieferanten: bin ich indirekt betroffen?".

5. Sicherheit von Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen

Was die Richtlinie verlangt: Sicherheits-Aspekte müssen über den gesamten Lebenszyklus von IT-Systemen berücksichtigt werden — von der Beschaffung bis zur Außerbetriebnahme.

Praxis:

• Beschaffungs-Checkliste mit Sicherheits-Anforderungen (Updates verfügbar, Sicherheits-Konfiguration, EOL-Support).
• Schwachstellen-Management: Patch-Verfahren mit klaren SLAs (kritische Patches z.B. binnen 7 Tagen).
• Bei Eigenentwicklung: Secure-Coding-Praktiken, Code-Reviews, Tests.

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risiko­management­maßnahmen

Was die Richtlinie verlangt: Wirksamkeits-Prüfungen — interne Audits, Tests, Reviews. Es geht um das Schließen des Regelkreises: nicht nur einführen, sondern prüfen, ob die Maßnahmen wirken.

Praxis:

• Internes Audit-Programm (jährlich, themen-rotierend).
• KPI-Set: Anzahl Vorfälle, MTTR, Patch-Compliance-Quote, Backup-Restore-Erfolgsrate.
• Management-Review mindestens jährlich, mit dokumentierten Maßnahmen.

7. Grundlegende Verfahren im Bereich der Cyber­sicherheits­hygiene und Schulungen

Was die Richtlinie verlangt: Basis-Hygiene-Maßnahmen (Patch-Management, Härtung, Konfigurations-Standards) plus Schulungen für alle Mitarbeitenden.

Praxis:

• Härtungs-Standards für Endgeräte und Server (CIS-Benchmarks oder BSI-IT-Grundschutz als Vorlage).
• Jährliche Schulung „Cybersicherheits-Awareness" für alle Mitarbeitenden, mit Teilnahme-Nachweis.
• Spezialschulung für IT- und Security-Funktionen.

8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

Was die Richtlinie verlangt: Schriftliche Konzepte für Verschlüsselung in Transit und at Rest, plus für Schlüssel-Verwaltung.

Praxis:

• Mindeststandards: TLS 1.2 oder höher für Web/Email; Festplattenverschlüsselung auf Endgeräten; Backup-Verschlüsselung.
• Schlüssel-Verwaltungs-Konzept: Wer hat Zugriff, wie werden Schlüssel rotiert, was passiert bei Kompromittierung.
• Bei sensiblen Daten: End-to-End-Verschlüsselung prüfen.

9. Sicherheit des Personals, Zugriffskontroll-Konzepte und Verwaltung von Anlagen

Was die Richtlinie verlangt: Personelle Sicherheit (Onboarding, Offboarding, Sicherheits-Klauseln in Verträgen), differenzierte Zugriffs-Konzepte (Need-to-Know, Least Privilege) und Asset-Management.

Praxis:

• Onboarding-Checkliste: Background-Check (soweit zulässig), Geheimhaltungs-Vereinbarung, Awareness-Schulung.
• Offboarding-Prozess: Zugänge entziehen, Hardware einziehen, dokumentieren.
• Rollen-/Rechte-Konzept mit regelmäßiger Berechtigungs-Review (z.B. quartalsweise).
• Asset-Register (Hardware, Software, Daten).

10. Multi-Faktor-Authentisierung oder kontinuierliche Authentisierung und sichere Kommunikationsverfahren

Was die Richtlinie verlangt: MFA für alle relevanten Zugänge — insbesondere für privilegierte Konten, Remote-Zugriff und kritische Anwendungen. Plus sichere Kommunikation (Sprach-, Video-, Text-Kommunikation in Notfällen).

Praxis:

• MFA-Pflicht für: Admin-Accounts, VPN/Remote-Access, Cloud-Konsolen, Email für privilegierte Funktionen.
• SMS-OTP gilt nicht mehr als sicher — App- oder Hardware-Token einsetzen.
• Notfall-Kommunikations-Kanal definieren (z.B. signal- oder threema-basiert), falls primäre Systeme ausfallen.

11. Verfahren zur Bewertung der Wirksamkeit von Schulungen sowie für sichere Kommunikation

Hinweis: Die Nummer 11 ist in den deutschsprachigen Übersetzungen teilweise zusammengefasst mit Nr. 10 oder als eigenständige Position genannt. Die EUR-Lex-Originalfassung listet sie als Teilpunkt von Art. 21 Abs. 2 lit. j) („Multifaktor-Authentifizierung [...] und sichere [...] Kommunikationssysteme"). In der Praxis empfehlen das BSI und die ENISA, die Wirksamkeit der Schulungen separat zu prüfen.

Praxis:

• Schulungs-Wirksamkeit messen: Phishing-Test-Quote, Bestehensquote in Awareness-Tests.
• Notfall-Kommunikations-Verfahren mindestens jährlich testen.

Praxis: Wie KMU mit 50-250 MA das umsetzen

Empfehlung der ComplyCheck-Redaktion zur Umsetzungs-Reihenfolge:

1. Geschäftsleitungs-Genehmigung sicherstellen (Art. 20 NIS2 — Voraussetzung für alles andere).
2. Asset- und Risiko-Inventar anlegen (Maßnahme 1 und 9).
3. Basis-Hygiene ausrollen: MFA, Patch-Management, Backup-Test (Maßnahmen 3, 7, 10).
4. Incident-Response dokumentieren und üben (Maßnahme 2).
5. Lieferanten-Sicherheit und Beschaffungs-Standards parallel ausrollen (Maßnahmen 4 und 5).
6. Schulungen und Wirksamkeits-Reviews als laufenden Prozess etablieren (Maßnahmen 6 und 7).

Pragmatischer Aufwand: 3-6 Monate für die Grundausstattung, danach laufender Aufwand von 0,5-1,0 FTE im IT-Bereich. Für KMU mit unter 50 MA reicht teils ein externer CISO-as-a-Service.

Wer bereits ISO 27001 oder eine vollständige BSI-IT-Grundschutz-Umsetzung betreibt, deckt die meisten Maßnahmen ab — die NIS2-Spezifika (Meldepflicht, Geschäftsleitungs-Verantwortung, Schulungs-Wirksamkeit) sind aber separat zu adressieren.

FAQ

Müssen alle 11 Maßnahmen gleichzeitig umgesetzt sein?

Nein. Der Maßstab in Art. 21 Abs. 1 ist „dem Stand der Technik entsprechend, verhältnismäßig zum Risiko und unter Berücksichtigung der Kosten". Eine Roadmap-basierte Umsetzung über 6-12 Monate ist üblich und vertretbar — solange Risiko-Bewertung und Geschäftsleitungs-Genehmigung dokumentiert sind und kritische Lücken nicht offenbleiben.

Reicht ISO 27001 als NIS2-Nachweis?

Nicht automatisch. ISO 27001 deckt viele technische und organisatorische Maßnahmen ab, fokussiert aber auf ein Information-Security-Management-System (ISMS). Spezifische NIS2-Pflichten — z.B. die 24-Stunden-Meldepflicht, die Geschäftsleitungs-Verantwortung nach Art. 20 oder die konkrete Lieferketten-Verantwortung — müssen darüber hinaus dokumentiert werden. ISO 27001 ist ein starkes Fundament, aber kein vollständiger NIS2-Nachweis.

Was kostet die Umsetzung für einen 100-MA-Betrieb?

Stark abhängig vom Ausgangsniveau. Pragmatische Bandbreite (Erfahrungswerte, keine BSI-Vorgabe):

• 30-80k € Einmalaufwand für die Erstausstattung (Konzepte, Audit, Tooling) wenn wenig Vorhandenes da ist.
• 50-100k € jährlicher Folgeaufwand inkl. Schulungen, Audits, Patch-Management-Lizenzen.
• Plus interne FTE-Zeit (0,5-1,0 FTE in IT).

Wer bereits IT-Grundschutz oder ISO 27001 fährt, reduziert das deutlich.

Was sagt das BSI zur „Verhältnismäßigkeit"?

Das BSI verweist in seinem Handlungsleitfaden auf das Risiko-Management-Prinzip: Maßnahmen müssen geeignet sein, das identifizierte Risiko auf ein akzeptables Niveau zu senken. Eine objektive Schwelle gibt es nicht — der Maßstab ergibt sich aus der Risiko-Bewertung, die jede Einrichtung selbst durchführen und dokumentieren muss.

Müssen die Mindestmaßnahmen jährlich überprüft werden?

Ja, mindestens jährlich. Art. 21 Abs. 2 lit. f) verlangt „Konzepte und Verfahren zur Bewertung der Wirksamkeit". In der Praxis bedeutet das: internes Audit oder Management-Review mindestens einmal pro Jahr, bei wesentlichen Änderungen (neue Systeme, neue Bedrohungslagen) zusätzlich anlassbezogen.