NIS2-Richtlinie: Umsetzung der Artikel 21 und 23
Was sind die Artikel 21 und 23 der NIS2?
Die NIS2-Richtlinie ist ein zentrales Element der europäischen Cybersicherheitsstrategie und betrifft seit ihrem Inkrafttreten deutlich mehr Unternehmen als ihr Vorgänger. Sie verpflichtet sogenannte „wesentliche“ und „wichtige“ Einrichtungen dazu, angemessene Maßnahmen zur Gewährleistung ihrer IT-Sicherheit umzusetzen – und das verbindlich.
Besonders relevant sind die Artikel 21 und 23 der Richtlinie: Während Artikel 21 konkrete Sicherheitsanforderungen definiert, regelt Artikel 23 die Meldepflicht bei Sicherheitsvorfällen. Beide Artikel stellen Unternehmen vor die Herausforderung, nicht nur technische, sondern auch organisatorische Vorkehrungen zu treffen – in vielen Fällen unter Einhaltung enger Fristen.
Artikel 21: Sicherheitsanforderungen im Detail
Artikel 21 der NIS2-Richtlinie bildet das Herzstück der Sicherheitsanforderungen. Er verpflichtet Unternehmen dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um Risiken für die Sicherheit ihrer Netz- und Informationssysteme wirksam zu erkennen, zu verhindern und zu minimieren. Diese Maßnahmen müssen dem Stand der Technik entsprechen und im Verhältnis zu den tatsächlichen Risiken stehen.
Im folgenden ist eine kurze Zusammenfassung des Artikel 21 und die darin stehenden Punkte:
Risikomanagement und Sicherheitsrichtlinien
Unternehmen müssen strukturierte Verfahren einführen, um Risiken für ihre IT-Systeme systematisch zu identifizieren und zu bewerten. Darauf aufbauend sollen Sicherheitsrichtlinien definiert und regelmäßig überprüft werden.
Vorfallmanagement
Es sind Prozesse zur Erkennung, Analyse, Behandlung und Nachverfolgung von Sicherheitsvorfällen zu etablieren. Ziel ist es, Auswirkungen zu begrenzen und aus Vorfällen zu lernen.
Geschäftskontinuität und Krisenmanagement
Unternehmen müssen sicherstellen, dass bei Störungen kritischer Systeme ein Notbetrieb möglich ist. Dazu gehören unter anderem Backup-Strategien, Notfallpläne und Wiederanlaufverfahren.
Sicherheit in der Systementwicklung und -wartung
Sicherheitsaspekte müssen über den gesamten Lebenszyklus von IT-Systemen berücksichtigt werden – vom Design über die Entwicklung bis hin zu Wartung und Updates.
Wirksamkeitsbewertung von Sicherheitsmaßnahmen
Alle Maßnahmen sollen regelmäßig evaluiert und bei Bedarf angepasst werden. Dies kann durch interne Audits, externe Prüfungen oder technische Tests erfolgen.
Cyberhygiene und Schulungen
Alle Mitarbeitenden müssen regelmäßig geschult werden, um ein grundlegendes Sicherheitsbewusstsein im Unternehmen zu verankern. Auch einfache Maßnahmen wie sichere Passwörter oder Sensibilisierung für Phishing spielen hier eine Rolle.
Kryptografie und Verschlüsselung
Schutz sensibler Daten durch den Einsatz von Verschlüsselungstechnologien wird ausdrücklich empfohlen – insbesondere bei der Übertragung und Speicherung von Informationen.
Zugriffsmanagement und Personalsicherheit
Nur befugte Personen dürfen Zugriff auf sensible Systeme erhalten. Dazu zählen auch Hintergrundüberprüfungen und klare Regelungen bei Rollenwechseln oder dem Ausscheiden von Mitarbeitenden.
Authentifizierungs- und Kommunikationssicherheit
Artikel 21 fordert den Einsatz moderner Authentifizierungsmechanismen, wie z. B. Multi-Faktor-Authentifizierung, sowie sichere Kommunikationsprotokolle.
Artikel 23: Meldepflichten bei Sicherheitsvorfällen
Neben präventiven Sicherheitsmaßnahmen legt die NIS2-Richtlinie auch besonderen Wert auf ein effektives Reaktionsmanagement. Artikel 23 verpflichtet Unternehmen dazu, erhebliche Sicherheitsvorfälle an die zuständigen Behörden zu melden – schnell, strukturiert und nachvollziehbar.
Wann muss gemeldet werden?
Meldepflichtig ist jeder Vorfall, der erhebliche Auswirkungen auf die Erbringung der betroffenen Dienste hat. Dazu zählen zum Beispiel:
Ausfälle kritischer Systeme,
Datenlecks mit sensiblen Informationen,
erfolgreiche Cyberangriffe mit erheblichen Folgen,
länger andauernde Beeinträchtigungen von Diensten.
Was als „erheblich“ gilt, wird unter anderem anhand der Dauer, geografischen Auswirkung und des Umfangs der Störung bewertet.
Fristen und Ablauf der Meldung
Die NIS2-Richtlinie sieht ein gestuftes Meldeverfahren vor:
Frühwarnung innerhalb von 24 Stunden
Erste Einschätzung des Vorfalls, inklusive Angabe, ob er durch eine rechtswidrige oder böswillige Handlung verursacht wurde.
Detailbericht innerhalb von 72 Stunden
Konkretisierung der Vorfallsdetails, betroffene Systeme, Ursachenanalyse und erste Maßnahmen.
Abschlussbericht innerhalb eines Monats
Vollständige Dokumentation mit Ursachen, Auswirkungen, getroffenen Maßnahmen und Lessons Learned.
Wohin wird gemeldet?
Die Meldung muss an die national zuständige Behörde oder das jeweilige CSIRT (Computer Security Incident Response Team) erfolgen. In Deutschland ist dies meist das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder eine landesspezifische Stelle.
Bedeutung für Unternehmen
Die Meldepflicht stellt sicher, dass Bedrohungslagen frühzeitig erkannt und gemeinsam bewältigt werden können – sie erhöht aber auch den Handlungsdruck auf Unternehmen. Ein funktionierendes Incident-Response-Konzept ist daher unerlässlich, um innerhalb der engen Fristen strukturiert reagieren zu können.
Praktische Umsetzung von NIS2 in Unternehmen
Die Anforderungen der NIS2-Richtlinie – insbesondere aus den Artikeln 21 und 23 – wirken auf viele Unternehmen zunächst komplex und formal. In der Praxis lassen sie sich jedoch systematisch und schrittweise umsetzen. Entscheidend ist, die Anforderungen nicht isoliert zu betrachten, sondern sie in bestehende Prozesse und Systeme zu integrieren.
1. ISMS als Basis etablieren
Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) bildet das Fundament zur Erfüllung der NIS2-Anforderungen. Es hilft dabei, Risiken strukturiert zu erfassen, Maßnahmen zu dokumentieren und Verantwortlichkeiten zu klären. Wer bereits nach ISO/IEC 27001 oder dem BSI IT-Grundschutz arbeitet, hat viele Grundlagen bereits geschaffen.
2. Sicherheitsmaßnahmen dokumentieren und priorisieren
Im ersten Schritt sollten alle bestehenden technischen und organisatorischen Maßnahmen dokumentiert werden. Darauf aufbauend lassen sich Lücken identifizieren – z. B. fehlende Notfallpläne, unklare Rollen oder fehlende Schulungskonzepte. Priorisierung nach Risiko hilft, mit den wichtigsten Maßnahmen zu starten.
3. Incident-Response-Prozesse aufbauen
Um die Anforderungen aus Artikel 23 zu erfüllen, müssen Unternehmen klare Prozesse für die Behandlung und Meldung von Sicherheitsvorfällen etablieren. Dazu gehören:
die Definition, wann ein Vorfall meldepflichtig ist,
die Benennung zuständiger Rollen (z. B. Incident Manager, ISB),
und Checklisten oder Templates für Meldungen.
4. Mitarbeitende einbinden und schulen
Technische Maßnahmen allein reichen nicht – das Sicherheitsbewusstsein der Mitarbeitenden ist ein zentraler Erfolgsfaktor. Regelmäßige Schulungen, Phishing-Tests und Sicherheitskampagnen tragen dazu bei, eine Kultur der Aufmerksamkeit zu etablieren.
5. Tools und Automatisierung nutzen
Die Umsetzung der Anforderungen lässt sich mit spezialisierten Tools effizienter gestalten – z. B. durch ISMS-Softwarelösungen mit Risikomanagement, Maßnahmenverfolgung, Rollensteuerung und Schnittstellen zu technischen Systemen. Auch automatisierte Vorfallerkennung und Dokumentation gewinnen an Bedeutung.
Fazit und Ausblick für NIS2
Mit der NIS2-Richtlinie rückt Cybersicherheit endgültig ins Zentrum unternehmerischer Verantwortung – nicht nur für kritische Infrastrukturen, sondern für eine breite Gruppe von Organisationen in ganz Europa. Die Artikel 21 und 23 bilden dabei den Kern: Sie definieren verbindliche Anforderungen an technische und organisatorische Sicherheitsmaßnahmen sowie an den Umgang mit Sicherheitsvorfällen.
Unternehmen, die frühzeitig Strukturen, Prozesse und Zuständigkeiten schaffen, profitieren doppelt: Sie erfüllen nicht nur regulatorische Vorgaben, sondern stärken auch nachhaltig ihre Resilienz gegenüber Cyberbedrohungen. Der Aufbau eines ISMS und die Etablierung klarer Meldeprozesse sind zentrale Hebel für eine zukunftssichere Sicherheitsstrategie.
Der Ausblick ist klar: NIS2 wird nicht die letzte Regulierungswelle bleiben. Die Fähigkeit, auf Veränderungen strukturiert und integriert zu reagieren, wird zum Wettbewerbsfaktor – und Informationssicherheit zum festen Bestandteil moderner Unternehmensführung.
Welche Unternehmen sind von der NIS2-Richtlinie betroffen?
Alle „wesentlichen“ und „wichtigen Einrichtungen“ in Sektoren wie Energie, Transport, Gesundheitswesen, Verwaltung, digitale Dienste und viele mehr. Die Einstufung erfolgt u. a. anhand von Größe, Branche und Relevanz für die Gesellschaft.
Was muss ein Unternehmen konkret nach Artikel 21 umsetzen?
Artikel 21 fordert umfassende technische und organisatorische Sicherheitsmaßnahmen – z. B. Risikomanagement, Vorfallmanagement, Zugriffssteuerung, Verschlüsselung und Schulungen. Diese Maßnahmen müssen dokumentiert, regelmäßig überprüft und kontinuierlich verbessert werden.
Wann genau muss ein Sicherheitsvorfall gemeldet werden?
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
An wen wird gemeldet?
Die Meldung erfolgt an die zuständige nationale Behörde oder das zuständige CSIRT (z. B. in Deutschland häufig das BSI). Unternehmen sollten intern genau festlegen, wer meldet und wie die Prozesse ablaufen.
Wie kann ich mein Unternehmen auf NIS2 vorbereiten?
Durch den Aufbau eines ISMS, die Durchführung einer Risikoanalyse, die Schulung von Mitarbeitenden, die Dokumentation bestehender Maßnahmen und – wenn nötig – die Nutzung spezialisierter Tools zur Unterstützung der Umsetzung.