TroutTrout
Back to Blog
NIS2Compliance

NIS2-Compliance – Ein praktischer Leitfaden zur Erfüllung der Sicherheitspflichten gemäß Artikel 21

Trout Team4 min read

NIS2-Compliance verstehen

Cybersicherheitsvorschriften können komplex sein – insbesondere die NIS2-Richtlinie der Europäischen Union, die darauf abzielt, die Sicherheit von Netz- und Informationssystemen in der gesamten EU zu verbessern. Für Organisationen in kritischen und wichtigen Sektoren ist die Einhaltung der NIS2-Compliance nicht nur eine gesetzliche Pflicht, sondern eine strategische Notwendigkeit. Dieser Leitfaden erläutert NIS2 mit besonderem Fokus auf die Sicherheitspflichten gemäß Artikel 21.

Was ist NIS2?

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen 2 (NIS2) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie und wurde entwickelt, um den wachsenden und sich verändernden Cybersicherheitsbedrohungen in der EU zu begegnen. NIS2 erweitert den Anwendungsbereich der ursprünglichen Richtlinie, stellt strengere Sicherheitsanforderungen und bezieht mehr Sektoren und Organisationstypen ein.

Wesentliche Ziele von NIS2

  1. Harmonisierung der Vorschriften: NIS2 zielt darauf ab, ein einheitlicheres Cybersicherheitsniveau in den EU-Mitgliedstaaten zu etablieren.
  2. Verbesserte Zusammenarbeit: Die Richtlinie betont eine stärkere Kooperation zwischen den Staaten bei der Reaktion auf Bedrohungen und Vorfälle.
  3. Erweiterter Anwendungsbereich: Im Gegensatz zur Vorgängerrichtlinie erfasst NIS2 ein breiteres Spektrum an Sektoren, darunter Gesundheitswesen, digitale Infrastruktur und öffentliche Verwaltung.
  4. Risikomanagement und Meldepflichten: Organisationen sind verpflichtet, spezifische Sicherheitsmaßnahmen umzusetzen und Vorfälle den nationalen Behörden zu melden.

Fokus auf Artikel 21: Sicherheitspflichten

Artikel 21 der NIS2-Richtlinie legt die Sicherheitspflichten für wesentliche und wichtige Einrichtungen fest. Die Einhaltung dieses Artikels ist für Organisationen entscheidend, um ihre Betriebsabläufe gegen Cyberbedrohungen zu schützen und die Resilienz sicherzustellen.

Erforderliche Sicherheitsmaßnahmen

Zur Einhaltung von Artikel 21 müssen Organisationen eine Reihe technischer und organisatorischer Maßnahmen umsetzen:

  • Risikoanalyse und -management: Regelmäßige Risikobewertungen zur Identifikation und Minderung potenzieller Bedrohungen durchführen.
  • Vorfallsbehandlung: Prozesse zur Erkennung, Reaktion und Wiederherstellung nach Vorfällen etablieren.
  • Betriebskontinuität: Pläne zur Aufrechterhaltung des Betriebs entwickeln und pflegen, damit der Betrieb während und nach einem Vorfall fortgesetzt werden kann.
  • Überwachung und Protokollierung: Systeme zur kontinuierlichen Überwachung und Protokollierung implementieren, um Vorfälle zu erkennen und zu analysieren.
  • Lieferkettensicherheit: Sicherstellen, dass Sicherheitsmaßnahmen auch Drittanbieter und Partner einschließen.

Ausrichtung an bestehenden Standards

Organisationen können bestehende Rahmenwerke wie NIST SP 800-171, CMMC und IEC 62443 nutzen, um ihre Sicherheitspraktiken an den Anforderungen von Artikel 21 auszurichten. Diese Standards bieten umfassende Leitlinien für das Management von Cybersicherheitsrisiken und können den Compliance-Prozess vereinfachen.

Praktische Schritte zur Erreichung der NIS2-Compliance

Die Erreichung der NIS2-Compliance erfordert einen strukturierten Ansatz. Nachfolgend sind konkrete Maßnahmen aufgeführt, die Organisationen ergreifen können:

1. Gap-Analyse durchführen

Beginnen Sie mit einer Gap-Analyse, um Ihre aktuelle Sicherheitslage mit den NIS2-Anforderungen zu vergleichen. Identifizieren Sie Verbesserungsbedarf und priorisieren Sie diesen nach Risikoauswirkung.

2. Compliance-Roadmap entwickeln

Erstellen Sie eine detaillierte Roadmap, die die Schritte zur Behebung identifizierter Lücken beschreibt. Diese sollte Zeitpläne, Verantwortlichkeiten und Ressourcenzuweisungen umfassen.

3. Technische Kontrollen implementieren

Setzen Sie geeignete technische Kontrollen zum Schutz Ihrer Netz- und Informationssysteme ein. Dazu gehören Firewalls, Intrusion-Detection-Systeme und Verschlüsselungstechnologien.

4. Organisatorische Richtlinien stärken

Aktualisieren oder entwickeln Sie neue Cybersicherheitsrichtlinien und -verfahren zur Unterstützung der technischen Maßnahmen. Schulungsprogramme für Mitarbeitende sollten einbezogen werden, um Bewusstsein und Handlungsbereitschaft sicherzustellen.

5. Externe Experten einbinden

Erwägen Sie die Zusammenarbeit mit Cybersicherheitsexperten oder Beratern, die auf NIS2-Compliance spezialisiert sind. Ihr Fachwissen liefert wertvolle Erkenntnisse und beschleunigt den Compliance-Prozess.

6. Kontinuierliche Überwachung und Verbesserung

Etablieren Sie eine Kultur der kontinuierlichen Überwachung und Verbesserung. Überprüfen Sie Ihre Sicherheitsmaßnahmen regelmäßig und aktualisieren Sie diese, um auf neue Bedrohungen und Schwachstellen zu reagieren.

Herausforderungen und Überlegungen

Balance zwischen Compliance und Nutzbarkeit

Eine häufige Herausforderung besteht darin, strenge Sicherheitskontrollen mit der betrieblichen Effizienz in Einklang zu bringen. Setzen Sie Maßnahmen um, die schützen, ohne legitime Arbeitsabläufe zu blockieren.

Kostenaspekte

Compliance kann kostspielig sein, insbesondere für kleinere Organisationen. Priorisieren Sie Maßnahmen mit dem höchsten Wirkungsgrad im Verhältnis zu ihren Kosten und prüfen Sie kosteneffiziente Lösungen.

Lieferkettenabhängigkeiten

Da NIS2 die Lieferkettensicherheit betont, müssen Organisationen sicherstellen, dass auch ihre Lieferanten die geforderten Standards einhalten. Dies kann regelmäßige Audits und Bewertungen von Drittanbietern erfordern.

Fazit

Die Einhaltung von Artikel 21 ist kein einmaliges Projekt. Beginnen Sie mit der Gap-Analyse, priorisieren Sie die Kontrollen, die Ihre größten Risikobereiche adressieren, und erstellen Sie einen Maßnahmenplan mit klaren Verantwortlichkeiten. Ordnen Sie jede Anforderung aus Artikel 21 einer bestehenden Rahmenwerkkontrolle (NIST, IEC 62443) zu, um doppelten Aufwand zu vermeiden. Organisationen, die NIS2 als fortlaufendes Sicherheitsprogramm und nicht als Compliance-Übung behandeln, werden dauerhaft widerstandsfähiger sein.

Weitere NIS2-Ressourcen, Optionen für souveräne Deployments und Compliance-Leitfäden finden Sie im NIS2-Compliance für On-Premise OT Hub.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles