Wissen/Verlangt NIS2 Penetrationstests? Wann und in welchem Umfang?

Verlangt NIS2 Penetrationstests? Wann und in welchem Umfang?

Verlangt NIS2 explizite Penetrationstests? Wann sind sie sinnvoll, welche Standards (OSSTMM, PTES) gelten und was das BSI erwartet — Stand 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-07-06

nis2penetrationstestsicherheitstestbsiosstmmptes

Verlangt NIS2 Penetrationstests? Wann und in welchem Umfang?

Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Was NIS2 wirklich verlangt

Art. 21 Abs. 2 NIS2 listet 11 Mindestmaßnahmen — eine explizite Pen-Test-Pflicht steht nicht darunter. Aber zwei Maßnahmen führen praktisch dorthin:

  • lit. e) „Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen, einschließlich Verwaltung und Offenlegung von Schwachstellen" — verlangt strukturiertes Schwachstellen-Management
  • lit. f) „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit" — verlangt Wirksamkeits-Tests

Beide Pflichten lassen sich ohne strukturierte Sicherheitstests nicht erfüllen. Die EU-Implementing Acts werden voraussichtlich konkretere Anforderungen zu Test-Frequenzen und -Methoden festlegen. Bis dahin gilt: was als „Stand der Technik" für vergleichbare Unternehmen angemessen wäre.

Die Aufsichtspraxis in den EU-Vorreiter-Staaten (FR, IT, AT) erkennt typischerweise an: jährlicher Pen-Test der Internet-Perimeter, alle 2-3 Jahre interne Pen-Tests, anlassbezogene Tests nach Architektur-Änderungen. Wer diese Frequenz hält, ist auf der sicheren Seite.

Hinweis

NIS2 vs. DORA: Hier zeigt sich der Unterschied

Während NIS2 keine explizite Pen-Test-Pflicht hat, schreibt DORA für große Finanzunternehmen alle drei Jahre Threat-Led Penetration Testing (TLPT) vor (Art. 26 DORA). TLPT ist eine besonders aufwändige, von der Aufsicht koordinierte Form, die auf TIBER-EU basiert. Für NIS2-Pflichtige außerhalb des Finanzsektors ist diese Strenge nicht erforderlich — aber das Niveau zeigt, wohin die regulatorische Reise im Risikomanagement langfristig geht.

Pen-Test-Standards im Überblick

Pen-Tests folgen etablierten Methodologien. Die wichtigsten:

OSSTMM (Open Source Security Testing Methodology Manual):

  • Sehr breit angelegt, deckt physische und logische Sicherheit ab
  • Wissenschaftlich-formaler Ansatz
  • Für regulierte Unternehmen mit hohem Audit-Anspruch geeignet

PTES (Penetration Testing Execution Standard):

  • Pragmatischer, sieben-Phasen-Ansatz
  • Geeignet für kommerzielle Pen-Tests in IT-Umgebungen
  • De-facto-Standard für viele Pen-Test-Anbieter

OWASP Testing Guide:

  • Spezialisiert auf Web-Anwendungen
  • Top-10-Liste der häufigsten Schwachstellen als Mindest-Test-Umfang
  • Bei web-basierten Anwendungen Pflicht-Referenz

BSI-Durchführungskonzept Penetrationstests:

  • Nationaler Standard, gut dokumentiert
  • 5-Phasen-Modell (Vorbereitung, Informationsbeschaffung, Bewertung, Aktive Eindringversuche, Abschluss)
  • Wird von deutschen Aufsichtsbehörden als Bezugsdokument akzeptiert

TIBER-EU / TLPT (Threat-Led Penetration Testing):

  • EU-/EZB-Standard für Finanzsektor
  • Threat-Intelligence-basiert, eng mit Aufsicht koordiniert
  • Aufwendig (3-6 Monate pro Test, 6-stellige Kosten)

Das BSI Durchführungskonzept für Penetrationstests ist für deutsche Unternehmen die maßgebliche Referenz.

Test-Arten und Scope-Entscheidungen

Test-Art Beschreibung Wann sinnvoll
External Network Pen-Test Tests der Internet-exponierten Systeme Jährlich — höchste Priorität
Internal Network Pen-Test Tests des internen Netzes (Assume-Breach) Alle 2-3 Jahre
Web Application Pen-Test Tests einer einzelnen Web-App nach OWASP Vor Major-Releases, jährlich für kritische Apps
API Pen-Test Tests von REST/GraphQL-APIs Vor neuen Schnittstellen, jährlich für kritische
Wireless Pen-Test Tests von WLAN und Funk-Infrastruktur Alle 2-3 Jahre, bei Standort-Änderungen
Social Engineering Phishing-Simulationen, Tailgating-Tests Jährlich, mit Schulungs-Kopplung
Red Team Exercise Realistische, multi-vektorielle Angriffssimulation Alle 2-3 Jahre für reife Organisationen
Cloud Pen-Test Tests der Cloud-Konfiguration (AWS, Azure, GCP) Jährlich für Cloud-First-Unternehmen

Die Scope-Entscheidung ist die wichtigste Vor-Test-Entscheidung. Ein zu enger Scope produziert kosmetische Berichte, ein zu breiter Scope sprengt das Budget. Die BSI-Empfehlung: Scope-Festlegung gemeinsam mit dem Pen-Test-Anbieter, auf Basis der Asset-Liste und der Risikobewertung.

Frequenz und Trigger-Ereignisse

NIS2-konforme Test-Frequenz für KMU:

  • Internet-Perimeter — mindestens jährlich, idealerweise gekoppelt mit jährlichem Vulnerability-Scan
  • Interne Netzwerke — alle 2-3 Jahre, häufiger bei sicherheits-relevanten Umgebungen (OT, Forschungsumgebung)
  • Kritische Web-Anwendungen — vor jedem Major-Release plus jährlich
  • Architektur-Änderungen — bei jeder größeren Netzwerk-Umstrukturierung, Cloud-Migration, neuen Standorten
  • Nach Vorfällen — Pen-Test als Validierung der Abhilfe-Maßnahmen

Mehrere Vorfall-Ereignisse triggern besonders genauen Nachweis: nach Major-Vorfällen ist ein nachweisbarer Pen-Test eines der zentralen Compliance-Belege.

Achtung

Pen-Test als Einmal-Aktion

Ein Pen-Test ohne Folge-Aktivitäten ist verschwendetes Geld. Der Test produziert eine Liste von Findings — die Findings müssen priorisiert, gefixt und re-getestet werden. Wenn das Re-Test-Budget am Ende des Quartals fehlt und Findings „nächstes Jahr" gefixt werden, ist die Sicherheitslücke noch da, das Geld weg, und die Compliance-Wirkung null. Pen-Test + Remediation + Re-Test als zusammenhängendes Mini-Projekt budgetieren.

Auswahl des Pen-Test-Anbieters

Kriterien für die Anbieter-Auswahl:

  • Zertifizierungen der Tester — OSCP, CREST, OSCE, GIAC-GPEN gelten als Mindeststandard
  • BSI-Anerkennung — der Anbieter sollte in der BSI-Liste IT-Sicherheitsdienstleister gelistet sein
  • Methodologie-Anwendung — konkrete Beschreibung, welcher Standard angewendet wird
  • Berichts-Qualität — Demo-Berichte einfordern (anonymisiert), Berichtsstruktur prüfen
  • Re-Test-Inklusive — ein Folge-Test 4-6 Wochen nach Remediation sollte Standard sein
  • Liability und NDA — vertragliche Absicherung im Falle von Schäden während des Tests
  • Eskalations-Pfad — was passiert bei kritischen Findings während des Tests?

Preise für KMU: external Pen-Test 5.000-15.000 €, internal Pen-Test 10.000-25.000 €, Web-App-Pen-Test 5.000-20.000 € (je nach Komplexität). Sehr günstige Angebote unter 3.000 € liefern meist nur automatisierte Scans — kein echter Pen-Test.

Praxis: Erste Pen-Test-Wellen für NIS2-Compliance

Praxis-Tipp

in einer Woche

Vorbereitung für den ersten Pen-Test ist in einer Woche machbar: (1) Scope-Definition — welche Systeme, welche IPs, welche Domains? (4h Workshop mit IT-Leitung), (2) Asset-Liste konsolidieren — ohne Inventar kein präziser Test (2h), (3) Anbieter-Shortlist von 3 zertifizierten Häusern erstellen, Angebote anfordern (3h), (4) Notfall-Kontakte definieren — wer ist erreichbar, wenn der Pen-Test ein produktives System trifft? (1h). Damit ist der Test in 4-6 Wochen durchführbar.

Erste Test-Welle:

  1. External Network Pen-Test — höchste Priorität, geringstes Risiko für Produktivbetrieb
  2. Web-App-Pen-Test der wichtigsten Anwendung — typisch Online-Shop, Kundenportal, B2B-Plattform
  3. Phishing-Simulation — günstig (1.000-5.000 €), hohe Lernwirkung
  4. Cloud-Konfigurations-Review — wenn Cloud-Migration relevant ist
  5. Internal Pen-Test — als zweite Welle nach Aufbau der Basis-Maßnahmen (sonst zu viele Findings)

Wichtig: die Test-Wellen über 6-18 Monate verteilen, nicht parallel. Sonst können die internen Teams die Findings nicht abarbeiten und der Effekt verpufft.

FAQ

Reichen automatische Vulnerability-Scans aus?

Nein. Automatische Scans (Tenable, Qualys, OpenVAS) finden bekannte Schwachstellen, aber keine logischen Lücken, keine Geschäftslogik-Fehler, keine kombinierten Angriffe. Sie sind notwendige Grundlage, ersetzen aber keinen Pen-Test. Die BSI-Empfehlung: monatlicher automatischer Scan plus jährlicher Pen-Test.

Müssen Pen-Tester vor Ort sein?

Bei externen Tests in der Regel nicht — sie testen über das Internet. Bei internen Tests ist eine VPN-Anbindung oder ein vor-Ort-Termin mit Test-Laptop üblich. Für sensible Umgebungen (OT, Hochsicherheit) sind vor-Ort-Tests Standard.

Was passiert, wenn der Pen-Test ein produktives System lahmlegt?

Das ist im Pen-Test-Vertrag (typisch „Rules of Engagement") klar zu regeln. Übliche Vereinbarungen: keine destruktiven Tests ohne explizite Zustimmung, keine DoS-Tests im Produktiv-Umfeld, sofortiger Test-Stopp bei kritischen Findings. Trotzdem kann ein Pen-Test unbeabsichtigte Effekte haben — eine Notfall-Eskalationskette muss vorab vereinbart sein.

Wie sehr sollten wir die Tester über unsere Umgebung informieren?

Drei Modelle: Black-Box (Tester kennt nichts, simuliert externen Angreifer), Grey-Box (Tester bekommt Basisinformationen, simuliert Insider mit Vorinformation), White-Box (Tester bekommt alles inkl. Doku und ggf. Code, max. Test-Effizienz). White-Box ist effizientester Einsatz des Budgets, Grey-Box ein guter Kompromiss aus Realismus und Effizienz.

Müssen Pen-Test-Berichte vorgehalten werden?

Ja. Im Rahmen der NIS2-Wirksamkeits-Bewertung (Art. 21 Abs. 2 lit. f) sind die Test-Berichte mindestens 3 Jahre aufzubewahren, in regulierten Branchen (Banken, Versicherungen) länger. Die Berichte sind als „streng vertraulich" zu klassifizieren — sie enthalten oft Angriffspfade, die im falschen Hände-Bereich gefährlich wären.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 6. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.