Zwei Frameworks, ein Problem
Rüstungsunternehmen mit Betrieb in den USA und der EU stehen vor zwei großen Cybersicherheits-Compliance-Anforderungen: CMMC Level 2 (basierend auf NIST SP 800-171 Rev 2) und der NIS2-Richtlinie (Artikel 21 Risikomanagementmaßnahmen). Beide sind durchsetzbar. Beide haben reale Konsequenzen bei Nichteinhaltung. Und beide traten in etwa zum gleichen Zeitpunkt in Kraft.
Der naheliegende Ansatz ist, zwei separate Compliance-Programme aufzubauen – eines für jedes Framework. Das ist teuer und unnötig. Die Kontrollanforderungen überschneiden sich zu etwa 70–80 %. Eine einzige On-Premise-Zero-Trust-Architektur, richtig konzipiert, kann beide erfüllen.
Herkunft der Frameworks
CMMC Level 2 bildet die 110 Sicherheitsanforderungen aus NIST SP 800-171 direkt ab. Es schützt Controlled Unclassified Information (CUI) in der Verteidigungslieferkette. Die Bewertung erfolgt durch C3PAOs (CMMC Third-Party Assessment Organizations). Nichterfüllung bedeutet den Verlust von DoD-Verträgen – und mit der nahenden Frist im Oktober 2026 ist die Zeit knapp.
NIS2 Artikel 21 schreibt zehn Kategorien von Cybersicherheits-Risikomanagementmaßnahmen für wesentliche und wichtige Einrichtungen vor. Es schützt die operative Resilienz kritischer Infrastrukturen in der EU. Die Durchsetzung ist in den meisten EU-Mitgliedstaaten bereits aktiv. Nichterfüllung bedeutet Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes sowie mögliche persönliche Haftung der Geschäftsleitung.
Unterschiedliche Ursprünge. Unterschiedliche Durchsetzungsbehörden. Liest man die tatsächlichen Kontrollanforderungen jedoch nebeneinander, ist die Überschneidung erheblich.
Die Überschneidung: Kontrollbereich-Mapping
Die folgende Tabelle ordnet die wichtigsten Kontrollbereiche beiden Frameworks zu. Wo beide Frameworks dieselbe Fähigkeit erfordern, erfüllt eine einzige Implementierung beide.
| Kontrollbereich | CMMC Level 2 (NIST 800-171) | NIS2 Artikel 21 | Überschneidung |
|---|---|---|---|
| Zugriffskontrolle | AC 3.1.1–3.1.22 (22 Anforderungen) | Art. 21(2)(i) — Zugriffskontrollrichtlinien | Vollständig — beide erfordern Least-Privilege, MFA, Session-Controls |
| Netzwerksegmentierung | SC 3.13.1–3.13.16 (System-/Kommunikationsschutz) | Art. 21(2)(a) — Risikoanalyse, Netzwerksicherheit | Vollständig — beide erfordern Grenzschutz und Segmentierung |
| Incident Response | IR 3.6.1–3.6.3 | Art. 21(2)(b) — Incident-Handling | Vollständig — beide erfordern Erkennung, Reaktion, Meldung und Nachbereitung |
| Monitoring & Audit | AU 3.3.1–3.3.9 | Art. 21(2)(a) — Risikoanalyse, Wirksamkeitsbewertung | Vollständig — beide erfordern Protokollierung, Prüfpfad und Überprüfung |
| Risikobewertung | RA 3.11.1–3.11.3 | Art. 21(2)(a) — Risikoanalyserichtlinien | Vollständig — beide erfordern regelmäßige Risikobewertung |
| Business Continuity | CP 3.8.9 (begrenzt) | Art. 21(2)(c) — Business Continuity und Krisenmanagement | Teilweise — NIS2 ist umfassender; CMMC fokussiert auf CUI-Verfügbarkeit |
| Lieferkettensicherheit | SR 3.17.1–3.17.3 (NIST 800-171 Rev 3 ergänzt weitere) | Art. 21(2)(d) — Lieferkettensicherheit | Teilweise — NIS2 erfordert umfassenderes Lieferantenrisikomanagement |
| Verschlüsselung | SC 3.13.8, 3.13.11 (CUI bei Übertragung und Speicherung) | Art. 21(2)(h) — Kryptografie und Verschlüsselung | Vollständig — beide erfordern Verschlüsselung sensibler Daten |
| Personalsicherheit | PS 3.9.1–3.9.2 | Art. 21(2)(j) — Personalsicherheit | Vollständig — beide erfordern Überprüfungsverfahren und Offboarding-Prozesse |
| Schwachstellenmanagement | SI 3.14.1–3.14.7 | Art. 21(2)(e) — Schwachstellenbehandlung und -offenlegung | Vollständig — beide erfordern Patching, Scanning und Behebung |
| Konfigurationsmanagement | CM 3.4.1–3.4.9 | Art. 21(2)(a) — Sicherheitsrichtlinien für Informationssysteme | Vollständig — beide erfordern Baselines, Änderungskontrolle und Härtung |
| Physische Sicherheit | PE 3.10.1–3.10.6 | Art. 21(2)(a) — Sicherheit der physischen Umgebung | Vollständig — beide erfordern physische Zugangskontrollen |
| Authentifizierung | IA 3.5.1–3.5.11 | Art. 21(2)(i) — Multi-Faktor-Authentifizierung | Vollständig — beide erfordern MFA und Identitätsmanagement |
| CUI-spezifische Handhabung | MP 3.8.1–3.8.9 (Medienschutz, Kennzeichnung) | Nicht spezifisch adressiert | Nur CMMC — CUI-Kennzeichnung, Handhabung und Vernichtung |
| Managementhaftung | Nicht adressiert | Art. 20, Art. 32(5) — persönliche Haftung der Geschäftsleitung | Nur NIS2 — kein CMMC-Äquivalent |
Von 14 Kontrollbereichen überschneiden sich 11 vollständig, 2 teilweise, und jedes Framework hat eine einzigartige Anforderung, die das andere nicht adressiert.
Wo sie sich unterscheiden
CMMC-spezifisch: CUI-Handhabung
CMMC Level 2 enthält Anforderungen, die ausschließlich aufgrund von Controlled Unclassified Information bestehen:
- Medienschutz — CUI muss gekennzeichnet, nachverfolgt und bei Nichtmehrbedarf vernichtet werden
- CUI-Grenzbereichsdefinition — Es muss genau definiert werden, wo CUI vorhanden ist und fließt (das CUI-Enklave)
- FIPS 140-2-validierte Verschlüsselung — Nicht nur „Verschlüsselung", sondern speziell FIPS-validierte Module
- Bewertungsmethodik — CMMC erfordert eine C3PAO-Bewertung nach einer spezifischen Bewertungsmethodik
NIS2 kennt kein Konzept von CUI. Es erfordert keine Datenklassifizierung auf dieser Ebene.
NIS2-spezifisch: Lieferkette und Governance
NIS2 geht in zwei Bereichen über CMMC hinaus:
- Lieferkettensicherheit — Artikel 21(2)(d) erfordert die Bewertung der Sicherheit direkter Lieferanten und Dienstleister, einschließlich lieferantenspezifischer Schwachstellen
- Verantwortlichkeit des Leitungsorgans — Artikel 20 erfordert die Genehmigung und Aufsicht der Geschäftsleitung über Cybersicherheitsmaßnahmen, mit persönlicher Haftung bei grober Fahrlässigkeit
- Business Continuity — Artikel 21(2)(c) erfordert eine umfassende Kontinuitätsplanung, die über die CMMC-Anforderungen zur CUI-Verfügbarkeit hinausgeht
Der Einzel-Architektur-Ansatz
So erfüllt eine einzige On-Premise-Zero-Trust-Bereitstellung beide Frameworks gleichzeitig:
1. Netzwerksegmentierung (CMMC SC + NIS2 Art. 21(2)(a))
Bereitstellung eines Access Gate-Appliance oder einer VM an der Grenze zwischen IT und OT sowie zwischen Netzwerkzonen. Dies schafft:
- Die CUI-Enklave-Grenze gemäß CMMC (CUI fließt nur innerhalb definierter Segmente)
- Die Netzwerksicherheitsarchitektur gemäß NIS2 (risikoproportionale Segmentierung)
Eine Segmentierungsbereitstellung. Zwei Compliance-Anforderungen erfüllt.
2. Zero-Trust-Zugriffskontrolle (CMMC AC/IA + NIS2 Art. 21(2)(i))
Durchsetzung von sitzungsbasiertem, identitätsverifiziertem Zugriff mit MFA an jeder Zonengrenze:
- CMMC erfordert Least-Privilege-Zugriff auf CUI mit Multi-Faktor-Authentifizierung
- NIS2 erfordert Zugriffskontrollrichtlinien und MFA, wo angemessen
Dieselbe Policy-Engine. Derselbe Durchsetzungspunkt. Beide Frameworks erfüllt.
3. Audit-Protokollierung und Monitoring (CMMC AU + NIS2 Art. 21(2)(a))
Erfassung aller Zugriffsereignisse, Sitzungsaufzeichnungen und Richtlinienänderungen in manipulationssicheren, On-Premise gespeicherten Protokollen:
- CMMC erfordert Audit-Protokolle, die ausreichen, um sicherheitsrelevante Ereignisse zu rekonstruieren
- NIS2 erfordert Maßnahmen zur Bewertung der Wirksamkeit des Cybersicherheits-Risikomanagements
Ein Log-Stream. Zwei Prüfpfade.
4. Incident-Erkennung und -Reaktion (CMMC IR + NIS2 Art. 21(2)(b))
Protokollbewusstes Monitoring des OT-Datenverkehrs mit Alarmierung bei anomalen Zugriffsmustern:
- CMMC erfordert Incident-Response-Fähigkeit mit Meldung an DoD
- NIS2 erfordert Incident-Handling mit 24-Stunden-Erstmeldung und 72-Stunden-Detailbericht
Dieselbe Erkennungs-Engine. Unterschiedliche Meldevorlagen.
5. Verschlüsselung (CMMC SC + NIS2 Art. 21(2)(h))
FIPS 140-2-validierte Verschlüsselung für Daten bei Übertragung und Speicherung:
- CMMC erfordert explizit FIPS-Validierung
- NIS2 erfordert risikoproportionale Verschlüsselung
Der Einsatz FIPS-validierter Module erfüllt beide Anforderungen. Es gibt kein Szenario, in dem FIPS-Validierung den NIS2-Standard „proportional" verfehlt.
Was separat bleibt
Auch mit einer einheitlichen Architektur hat jedes Framework einzigartige administrative Anforderungen:
| Anforderung | Framework | Maßnahme |
|---|---|---|
| CUI-Kennzeichnungs- und Handhabungsverfahren | CMMC | CUI-Fluss dokumentieren, Kennzeichnungen anbringen, Personal schulen |
| C3PAO-Bewertungsvorbereitung | CMMC | SSP, POA&M und Nachweispakete vorbereiten |
| Schulung des Leitungsorgans | NIS2 | Führungskräfte schulen, Teilnahme dokumentieren |
| Lieferantenrisikobewertungen | NIS2 | Lieferkettensicherheit bewerten und dokumentieren |
| Einrichtung der Meldewege an nationale Behörden | NIS2 | 24h/72h-Incident-Meldekanäle einrichten |
Dies sind Dokumentations- und Prozessaufgaben. Sie erfordern keine separate technische Infrastruktur.
Einmal aufbauen, zweimal zertifizieren
Die Rechnung ist einfach. Zwei separate Compliance-Architekturen zu bauen verdoppelt die Infrastrukturkosten, verdoppelt den Wartungsaufwand und erzeugt zwei Kontrollsätze, die unweigerlich auseinanderdriften. Eine einzige On-Premise-Zero-Trust-Architektur – mit der darin definierten CUI-Enklave und darüber gelegter NIS2-Governance – ergibt eine Infrastruktur zum Warten, einen Kontrollsatz zum Auditieren und zwei erfüllte Frameworks. Beginnen Sie mit dem strengeren Standard (der Spezifität von CMMC Level 2), und NIS2-Compliance folgt mit minimalem Zusatzaufwand.
Weitere CMMC-Ressourcen, Fallstudien und Implementierungsleitfäden finden Sie im CMMC Compliance for On-Premise Hub.
Weitere NIS2-Ressourcen, souveräne Bereitstellungsoptionen und Compliance-Leitfäden finden Sie im NIS2 Compliance for On-Premise OT Hub.
