Verlangt NIS2 Penetrationstests? Wann und in welchem Umfang?
Verlangt NIS2 explizite Penetrationstests? Wann sind sie sinnvoll, welche Standards (OSSTMM, PTES) gelten und was das BSI erwartet — Stand 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-07-06
Verlangt NIS2 Penetrationstests? Wann und in welchem Umfang?
Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.
Was NIS2 wirklich verlangt
Art. 21 Abs. 2 NIS2 listet 11 Mindestmaßnahmen — eine explizite Pen-Test-Pflicht steht nicht darunter. Aber zwei Maßnahmen führen praktisch dorthin:
- lit. e) „Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen, einschließlich Verwaltung und Offenlegung von Schwachstellen" — verlangt strukturiertes Schwachstellen-Management
- lit. f) „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit" — verlangt Wirksamkeits-Tests
Beide Pflichten lassen sich ohne strukturierte Sicherheitstests nicht erfüllen. Die EU-Implementing Acts werden voraussichtlich konkretere Anforderungen zu Test-Frequenzen und -Methoden festlegen. Bis dahin gilt: was als „Stand der Technik" für vergleichbare Unternehmen angemessen wäre.
Die Aufsichtspraxis in den EU-Vorreiter-Staaten (FR, IT, AT) erkennt typischerweise an: jährlicher Pen-Test der Internet-Perimeter, alle 2-3 Jahre interne Pen-Tests, anlassbezogene Tests nach Architektur-Änderungen. Wer diese Frequenz hält, ist auf der sicheren Seite.
NIS2 vs. DORA: Hier zeigt sich der Unterschied
Während NIS2 keine explizite Pen-Test-Pflicht hat, schreibt DORA für große Finanzunternehmen alle drei Jahre Threat-Led Penetration Testing (TLPT) vor (Art. 26 DORA). TLPT ist eine besonders aufwändige, von der Aufsicht koordinierte Form, die auf TIBER-EU basiert. Für NIS2-Pflichtige außerhalb des Finanzsektors ist diese Strenge nicht erforderlich — aber das Niveau zeigt, wohin die regulatorische Reise im Risikomanagement langfristig geht.
Pen-Test-Standards im Überblick
Pen-Tests folgen etablierten Methodologien. Die wichtigsten:
OSSTMM (Open Source Security Testing Methodology Manual):
- Sehr breit angelegt, deckt physische und logische Sicherheit ab
- Wissenschaftlich-formaler Ansatz
- Für regulierte Unternehmen mit hohem Audit-Anspruch geeignet
PTES (Penetration Testing Execution Standard):
- Pragmatischer, sieben-Phasen-Ansatz
- Geeignet für kommerzielle Pen-Tests in IT-Umgebungen
- De-facto-Standard für viele Pen-Test-Anbieter
OWASP Testing Guide:
- Spezialisiert auf Web-Anwendungen
- Top-10-Liste der häufigsten Schwachstellen als Mindest-Test-Umfang
- Bei web-basierten Anwendungen Pflicht-Referenz
BSI-Durchführungskonzept Penetrationstests:
- Nationaler Standard, gut dokumentiert
- 5-Phasen-Modell (Vorbereitung, Informationsbeschaffung, Bewertung, Aktive Eindringversuche, Abschluss)
- Wird von deutschen Aufsichtsbehörden als Bezugsdokument akzeptiert
TIBER-EU / TLPT (Threat-Led Penetration Testing):
- EU-/EZB-Standard für Finanzsektor
- Threat-Intelligence-basiert, eng mit Aufsicht koordiniert
- Aufwendig (3-6 Monate pro Test, 6-stellige Kosten)
Das BSI Durchführungskonzept für Penetrationstests ist für deutsche Unternehmen die maßgebliche Referenz.
Test-Arten und Scope-Entscheidungen
| Test-Art | Beschreibung | Wann sinnvoll |
|---|---|---|
| External Network Pen-Test | Tests der Internet-exponierten Systeme | Jährlich — höchste Priorität |
| Internal Network Pen-Test | Tests des internen Netzes (Assume-Breach) | Alle 2-3 Jahre |
| Web Application Pen-Test | Tests einer einzelnen Web-App nach OWASP | Vor Major-Releases, jährlich für kritische Apps |
| API Pen-Test | Tests von REST/GraphQL-APIs | Vor neuen Schnittstellen, jährlich für kritische |
| Wireless Pen-Test | Tests von WLAN und Funk-Infrastruktur | Alle 2-3 Jahre, bei Standort-Änderungen |
| Social Engineering | Phishing-Simulationen, Tailgating-Tests | Jährlich, mit Schulungs-Kopplung |
| Red Team Exercise | Realistische, multi-vektorielle Angriffssimulation | Alle 2-3 Jahre für reife Organisationen |
| Cloud Pen-Test | Tests der Cloud-Konfiguration (AWS, Azure, GCP) | Jährlich für Cloud-First-Unternehmen |
Die Scope-Entscheidung ist die wichtigste Vor-Test-Entscheidung. Ein zu enger Scope produziert kosmetische Berichte, ein zu breiter Scope sprengt das Budget. Die BSI-Empfehlung: Scope-Festlegung gemeinsam mit dem Pen-Test-Anbieter, auf Basis der Asset-Liste und der Risikobewertung.
Frequenz und Trigger-Ereignisse
NIS2-konforme Test-Frequenz für KMU:
- Internet-Perimeter — mindestens jährlich, idealerweise gekoppelt mit jährlichem Vulnerability-Scan
- Interne Netzwerke — alle 2-3 Jahre, häufiger bei sicherheits-relevanten Umgebungen (OT, Forschungsumgebung)
- Kritische Web-Anwendungen — vor jedem Major-Release plus jährlich
- Architektur-Änderungen — bei jeder größeren Netzwerk-Umstrukturierung, Cloud-Migration, neuen Standorten
- Nach Vorfällen — Pen-Test als Validierung der Abhilfe-Maßnahmen
Mehrere Vorfall-Ereignisse triggern besonders genauen Nachweis: nach Major-Vorfällen ist ein nachweisbarer Pen-Test eines der zentralen Compliance-Belege.
Pen-Test als Einmal-Aktion
Ein Pen-Test ohne Folge-Aktivitäten ist verschwendetes Geld. Der Test produziert eine Liste von Findings — die Findings müssen priorisiert, gefixt und re-getestet werden. Wenn das Re-Test-Budget am Ende des Quartals fehlt und Findings „nächstes Jahr" gefixt werden, ist die Sicherheitslücke noch da, das Geld weg, und die Compliance-Wirkung null. Pen-Test + Remediation + Re-Test als zusammenhängendes Mini-Projekt budgetieren.
Auswahl des Pen-Test-Anbieters
Kriterien für die Anbieter-Auswahl:
- Zertifizierungen der Tester — OSCP, CREST, OSCE, GIAC-GPEN gelten als Mindeststandard
- BSI-Anerkennung — der Anbieter sollte in der BSI-Liste IT-Sicherheitsdienstleister gelistet sein
- Methodologie-Anwendung — konkrete Beschreibung, welcher Standard angewendet wird
- Berichts-Qualität — Demo-Berichte einfordern (anonymisiert), Berichtsstruktur prüfen
- Re-Test-Inklusive — ein Folge-Test 4-6 Wochen nach Remediation sollte Standard sein
- Liability und NDA — vertragliche Absicherung im Falle von Schäden während des Tests
- Eskalations-Pfad — was passiert bei kritischen Findings während des Tests?
Preise für KMU: external Pen-Test 5.000-15.000 €, internal Pen-Test 10.000-25.000 €, Web-App-Pen-Test 5.000-20.000 € (je nach Komplexität). Sehr günstige Angebote unter 3.000 € liefern meist nur automatisierte Scans — kein echter Pen-Test.
Praxis: Erste Pen-Test-Wellen für NIS2-Compliance
in einer Woche
Vorbereitung für den ersten Pen-Test ist in einer Woche machbar: (1) Scope-Definition — welche Systeme, welche IPs, welche Domains? (4h Workshop mit IT-Leitung), (2) Asset-Liste konsolidieren — ohne Inventar kein präziser Test (2h), (3) Anbieter-Shortlist von 3 zertifizierten Häusern erstellen, Angebote anfordern (3h), (4) Notfall-Kontakte definieren — wer ist erreichbar, wenn der Pen-Test ein produktives System trifft? (1h). Damit ist der Test in 4-6 Wochen durchführbar.
Erste Test-Welle:
- External Network Pen-Test — höchste Priorität, geringstes Risiko für Produktivbetrieb
- Web-App-Pen-Test der wichtigsten Anwendung — typisch Online-Shop, Kundenportal, B2B-Plattform
- Phishing-Simulation — günstig (1.000-5.000 €), hohe Lernwirkung
- Cloud-Konfigurations-Review — wenn Cloud-Migration relevant ist
- Internal Pen-Test — als zweite Welle nach Aufbau der Basis-Maßnahmen (sonst zu viele Findings)
Wichtig: die Test-Wellen über 6-18 Monate verteilen, nicht parallel. Sonst können die internen Teams die Findings nicht abarbeiten und der Effekt verpufft.
FAQ
Reichen automatische Vulnerability-Scans aus?
Nein. Automatische Scans (Tenable, Qualys, OpenVAS) finden bekannte Schwachstellen, aber keine logischen Lücken, keine Geschäftslogik-Fehler, keine kombinierten Angriffe. Sie sind notwendige Grundlage, ersetzen aber keinen Pen-Test. Die BSI-Empfehlung: monatlicher automatischer Scan plus jährlicher Pen-Test.
Müssen Pen-Tester vor Ort sein?
Bei externen Tests in der Regel nicht — sie testen über das Internet. Bei internen Tests ist eine VPN-Anbindung oder ein vor-Ort-Termin mit Test-Laptop üblich. Für sensible Umgebungen (OT, Hochsicherheit) sind vor-Ort-Tests Standard.
Was passiert, wenn der Pen-Test ein produktives System lahmlegt?
Das ist im Pen-Test-Vertrag (typisch „Rules of Engagement") klar zu regeln. Übliche Vereinbarungen: keine destruktiven Tests ohne explizite Zustimmung, keine DoS-Tests im Produktiv-Umfeld, sofortiger Test-Stopp bei kritischen Findings. Trotzdem kann ein Pen-Test unbeabsichtigte Effekte haben — eine Notfall-Eskalationskette muss vorab vereinbart sein.
Wie sehr sollten wir die Tester über unsere Umgebung informieren?
Drei Modelle: Black-Box (Tester kennt nichts, simuliert externen Angreifer), Grey-Box (Tester bekommt Basisinformationen, simuliert Insider mit Vorinformation), White-Box (Tester bekommt alles inkl. Doku und ggf. Code, max. Test-Effizienz). White-Box ist effizientester Einsatz des Budgets, Grey-Box ein guter Kompromiss aus Realismus und Effizienz.
Müssen Pen-Test-Berichte vorgehalten werden?
Ja. Im Rahmen der NIS2-Wirksamkeits-Bewertung (Art. 21 Abs. 2 lit. f) sind die Test-Berichte mindestens 3 Jahre aufzubewahren, in regulierten Branchen (Banken, Versicherungen) länger. Die Berichte sind als „streng vertraulich" zu klassifizieren — sie enthalten oft Angriffspfade, die im falschen Hände-Bereich gefährlich wären.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 6. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
NIS2-Asset-Management: Was erwartet das BSI?
Inventar, Klassifizierung, Tools: Was verlangt das BSI bei NIS2-Asset-Management von KMU? Praktische Umsetzungs-Hinweise — Stand 2026-05-16.
Welche Fristen gelten bei NIS2-Incident-Meldungen?
Art. 23 NIS2 schreibt drei Meldestufen vor: Frühwarnung binnen 24 Stunden, Vorfallmeldung binnen 72 Stunden, Abschlussbericht binnen einem Monat. Was an wen geht.
NIS2-Lieferanten: bin ich indirekt betroffen?
Auch wer nicht direkt unter NIS2 fällt, kann als Lieferant Pflichten erben. Wann das passiert, wie es vertraglich aussieht und was Zulieferer wissen sollten. Stand: 2026-05-15.