剣 KENSAI
← All posts · regulations · 2026-01-01 · 4 min

NIS2-Konformitätssicherheitsbewertung für EU-Organisationen

Die NIS2-Richtlinie (bis Oktober 2024 in nationales Recht umgesetzt) ​​erweitert den Umfang der Cybersicherheitsverpflichtungen in den EU-Mitgliedstaaten erheblich. KENSAI unterstützt wesentliche und wichtige Einrichtungen bei der Erfüllung der NIS2-Anforderungen gemäß Artikel 21 durch kontinuierliche Schwachstellenbewertung.

Starten Sie die NIS2-Bewertung → Buchen Sie eine Demo

Wer unterliegt NIS2?

NIS2 erweitert den Anwendungsbereich von NIS1 erheblich und deckt nun zwei Entitätskategorien ab:

KategorieSektorenAufsicht
Wesentliche WesenheitenEnergie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, RaumfahrtProaktive Überwachung; Pflichtprüfungen
Wichtige EinheitenPostdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, Fertigung, digitale Anbieter, ForschungReaktive Aufsicht; Ermittlungen ausgelöst

Größenschwellen: Gilt im Allgemeinen für mittelgroße Unternehmen (≥ 50 Mitarbeiter oder ≥ 10 Mio. € Umsatz). Für einige Sektoren (kritische Infrastruktur) gibt es keine Größenschwelle.

NIS2 Artikel 21: Maßnahmen zum Cybersicherheitsrisikomanagement

Artikel 21 verlangt „geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen“. Wichtige Anforderungen für das Schwachstellenmanagement:

Artikel 21 Absatz 2 Buchstabe a – Risikoanalyse und Informationssicherheitsrichtlinien

Richtlinien zur Risikoanalyse, einschließlich der systematischen Identifizierung von Schwachstellen in Systemen, die für die Bereitstellung wesentlicher Dienste verwendet werden.

Artikel 21 Absatz 2 Buchstabe e – Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheitsmaßnahmen während des gesamten Systemlebenszyklus, einschließlich Schwachstellenmanagement und Offenlegungsrichtlinien.

Artikel 21 Absatz 2 Buchstabe f – Richtlinien und Verfahren zur Bewertung der Wirksamkeit

Organisationen müssen über Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit verfügen. Sicherheitstests sind der wichtigste technische Mechanismus.

Artikel 21 Absatz 2 Buchstabe h – Sicherheit der Lieferkette

Sicherheitsmaßnahmen zur Behebung von Schwachstellen in der Lieferkette, einschließlich der Bewertung der Sicherheitspraktiken direkter Lieferanten und Dienstleister.

🚨 NIS2-Bußgelder: Bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes

Gegen wesentliche Unternehmen drohen Höchststrafen von 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Auf wichtige Unternehmen entfallen 7.000.000 € oder 1,4 % des weltweiten Umsatzes. NIS2 führt auch die persönliche Haftung des Managements ein – leitende Angestellte können persönlich für Fahrlässigkeit haftbar gemacht werden, die zu NIS2-Verstößen führt.

Anforderungen an das NIS2-Schwachstellenmanagement

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat Implementierungsleitfäden veröffentlicht, in denen die technischen Anforderungen von NIS2 klargestellt werden. Zu den Erwartungen an das Schwachstellenmanagement gehören:

Wie KENSAI die NIS2-Konformität unterstützt

✓ Wesentliche Service-Asset-Erkennung

Erkennt und inventarisiert automatisch alle IKT-Ressourcen, die an der Bereitstellung wesentlicher Dienste beteiligt sind – die Grundlage für die NIS2-Konformität.

✓ Verhältnismäßige Risikoprüfung

Konfigurieren Sie die Scanhäufigkeit und -tiefe proportional zur Anlagenkritikalität – wichtige Servicesysteme werden häufiger und gründlicher getestet.

✓ Bewertung der Lieferkette

Das externe Angriffsflächenmanagement für IKT-Lieferanten erfüllt die Sicherheitsanforderungen der Lieferkette gemäß NIS2 Artikel 21(2)(h).

✓ Management-Reporting

NIS2 macht das Management persönlich haftbar – KENSAI bietet Führungskräfte-Dashboards für Einblicke in das Schwachstellenrisiko auf Vorstandsebene.

✓ NIS2-Beweispaket

Erstellen Sie eine prüfungsbereite Dokumentation für die Inspektion durch die zuständige nationale Behörde – Scanverlauf, Sanierungsaufzeichnungen und Richtliniennachweise.

✓ Korrelation zwischen Vorfällen

Verknüpfen Sie Schwachstellen mit der 24-Stunden-Benachrichtigungspflicht bei Vorfällen – wissen Sie sofort, wenn eine Schwachstelle aktiv ausgenutzt wird.

NIS2 vs. NIS1: Was sich bei Sicherheitstests geändert hat

AspektNIS1 (2016)NIS2 (2022)
UmfangNur Betreiber wesentlicher DiensteWesentliche + wichtige Einheiten (10x mehr Organisationen)
SicherheitsmaßnahmenVage „geeignete Maßnahmen“Spezifische 10-Punkte-Sicherheitsmaßnahmenliste
AufsichtLeichte nationale AnsätzeHarmonisierte EU-weite proaktive Aufsicht
GeldstrafenJe nach Mitgliedsstaat unterschiedlichHarmonisierte Höchstbeträge (10 Mio. € / 2 % Umsatz)
Haftung des ManagementsNicht angegebenPersönliche Haftung für Führungskräfte
LieferketteNicht erforderlichAusdrücklich erforderlich

Erfüllen Sie die NIS2-Cybersicherheitsanforderungen mit KENSAI

Angesichts der persönlichen Haftung des Managements und Bußgeldern von bis zu 2 % des weltweiten Umsatzes ist die Einhaltung von NIS2 eine Angelegenheit auf Vorstandsebene. KENSAI bietet das automatisierte Schwachstellenmanagement und die Dokumentation, die zum Nachweis der NIS2-Konformität gegenüber den zuständigen nationalen Behörden erforderlich sind.

Starten Sie die NIS2-Konformität → Sprechen Sie mit einem NIS2-Experten

Verwandte Artikel