NIS-2-Richtlinie
Cybersicherheit für kritische Infrastrukturen

Die NIS-2-Richtlinie schafft einen einheitlichen, verbindlichen Mindeststandard für Cybersicherheits-, Risiko- und Incident-Management in der EU. Ziel ist der Aufbau eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen – für resilientere digitale Infrastrukturen.

Mehr erfahren

Was ist NIS-2?

Die Richtlinie (EU) 2022/2555 ersetzt die ursprüngliche NIS-Richtlinie und etabliert harmonisierte Anforderungen an Cybersicherheits-, Risiko- und Incident-Management. Ein einheitlicher Rahmen für den europäischen Binnenmarkt – von Risikomanagement über Meldepflichten bis zu Aufsicht und Sanktionen.

Geltungsbereich & betroffene Einrichtungen

NIS-2 unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Cloud- und IT-Dienstleister wie ayedo fallen explizit in den Adressatenkreis.

Wesentliche Einrichtungen

Kritische Sektoren mit höchsten Anforderungen. Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, digitale Infrastruktur (Cloud, DNS, Rechenzentren, CDN). Öffentliche Verwaltungen. Unternehmen über dem KMU-Schwellenwert. Intensive Aufsicht.

Wichtige Einrichtungen

Indirekt kritische Akteure. Kleinere oder weniger systemrelevante Organisationen in denselben Sektoren. Proportional reduzierte, aber weiterhin verpflichtende Anforderungen. Aufsicht auf Risikobasis.

Cloud- & IT-Dienstleister

Explizit eingeschlossen. Cloud-Computing-Dienstleister, Rechenzentren, CDN-Betreiber, Managed-Service-Provider, Managed-Security-Services, Vertrauensdiensteanbieter. ayedo fällt als Managed-Service-/Cloud-Plattformanbieter in diese Kategorie.

Schwellenwerte & Größenklassen

Nach EU-KMU-Definition. Wesentliche Einrichtungen: meist über 250 Mitarbeiter oder €50M Umsatz. Wichtige Einrichtungen: darunter, aber systemrelevant. Nationale Behörden können Schwellen anpassen. Proportionalität für kleinere Akteure.

Governance & Verantwortung

Art. 20 verankert Cybersicherheit als Führungspflicht. Leitungsorgane (Management) müssen Risikomanagementmaßnahmen genehmigen, überwachen und können persönlich haftbar gemacht werden.

Board-Verantwortung

Vorstand trägt ultimative Verantwortung. Genehmigung von Cybersicherheits-Maßnahmen, Überwachung der Umsetzung, Budgetfreigabe. Persönliche Haftung bei grober Fahrlässigkeit. NIS-2 macht Cyber-Resilienz zur Chefsache – analog zu DORA.

Verpflichtende Schulungen

Awareness auf allen Ebenen. Vorstände müssen Cybersicherheits-Trainings absolvieren. Regelmäßige Security-Awareness-Programme für alle Mitarbeitenden. Spezialschulungen für IT/Security-Teams. Nachweis-/Dokumentationspflicht.

Überwachung & Reporting

Kontinuierliche Board-Updates. Regelmäßige Berichte über Sicherheitslage, Vorfälle, Maßnahmenwirksamkeit. KPIs/KRIs für Cyber-Resilienz. Audit-Trails für Entscheidungen. Nachweisbare Governance-Strukturen.

Sicherheits- & Risikomanagementmaßnahmen

Art. 21 definiert Mindestanforderungen an technische, operative und organisatorische Maßnahmen. Diese müssen dem Stand der Technik entsprechen, verhältnismäßig zum Risiko sein und den gesamten Lifecycle abdecken.

Risikoanalyse & Sicherheitskonzepte

Kontinuierliche Bewertung. Systematische Bedrohungsanalyse, Risikobewertung von Assets/Prozessen, dokumentierte Sicherheitskonzepte. Berücksichtigung von Lieferketten, Drittanbietern, technologischen Entwicklungen. Jährliche Reviews verpflichtend.

Incident-Handling

Verfahren für Erkennung, Meldung, Response. Strukturierte Prozesse für Detection, Triage, Eskalation, Remediation. Incident-Response-Pläne, Playbooks, definierte Verantwortlichkeiten. Integration mit CSIRTs und Behörden. 24h/72h/1M-Meldepfad.

Betriebsaufrechterhaltung

BCP, Backup, Wiederherstellung. Business Continuity Planning, Disaster Recovery, getestete Backups, Redundanz. RTO/RPO-Ziele definiert und nachgewiesen. Notfall- & Krisenmanagement-Pläne. Jährliche Tests mit Dokumentation.

Sicherheit der Lieferkette

Supply-Chain-Risk-Management. Vertragliche Absicherung von Sub-Providern, Auditierung, Bewertung der Cybersicherheitspraktiken. Berücksichtigung spezifischer Schwachstellen. Due-Diligence-Prozesse. Vendor-Risk-Register.

Sichere Entwicklung & Wartung

Secure-by-Design-Prinzipien. Sichere Softwareentwicklung (SSDLC), Schwachstellen-Management, CVE-Scanning, Patch-Management. Code-Reviews, SAST/DAST. Change-Management mit Audit-Trails.

Wirksamkeitsbewertung

Regelmäßige Audits & Tests. Interne/externe Security-Audits, Penetration-Tests, Red-Team-Übungen. Vulnerability-Assessments. Wirksamkeitsnachweis der Maßnahmen. Kontinuierliche Verbesserung basierend auf Findings.

Cyberhygiene & Schulungen

MFA, Least Privilege, Awareness. Multi-Faktor-Authentifizierung verpflichtend, Prinzip der minimalen Rechte, Zugriffskontrollen. Security-Awareness-Trainings für alle. Phishing-Simulationen. Passwort-Policies.

Kryptografie & Key-Management

Verschlüsselung & Schlüsselverwaltung. Einsatz von State-of-the-Art-Kryptografie (TLS 1.3+, AES-256), sichere Schlüsselspeicherung, Rotation, Trennung von Schlüsseln und Daten. Customer-Managed Keys wo möglich.

Personalsicherheit & Zugriffskontrolle

Rollen, Rechte, Überprüfungen. RBAC/ABAC-Modelle, Segregation of Duties, Background-Checks für kritische Rollen. Joiner/Mover/Leaver-Prozesse. Privileged Access Management (PAM). Audit-Logs für alle Zugriffe.

MFA & sichere Kommunikation

Authentifizierung & Notfall-Comms. Starke Authentifizierung für alle Systeme, verschlüsselte Kommunikationskanäle (E-Mail, Chat, VoIP). Notfall-Kommunikationspläne mit redundanten Kanälen. Out-of-Band-Verifikation für kritische Aktionen.

Lieferketten- & Drittparteimanagement

Art. 21 Abs. 3 verlangt explizit die Berücksichtigung der Cybersicherheitspraktiken von Sub-Providern. NIS-2 verankert damit ein Supply-Chain-Security-Mandat, ähnlich DORA.

Vendor-Risk-Register

Vollständige Lieferantenübersicht. Register aller Sub-Provider, Dienstleister, kritischen Zulieferer. Informationen: Services, Kritikalität, Standorte, Jurisdiktion, Zertifizierungen. Regelmäßige Updates. Verfügbar für Audits/Aufsicht.

Pre-Contract Due Diligence

Systematische Prüfung vor Beauftragung. Security-Assessments, Zertifizierungen (ISO 27001/9001), Audit-Reports, finanzielle Stabilität, Jurisdiktionsrisiken. Bewertung der Gesamtqualität der Cybersicherheitspraktiken. Score-basierte Entscheidung.

Vertragliche Absicherung

NIS-2-konforme Klauseln. SLAs für Sicherheit/Verfügbarkeit, Incident-Meldepflichten, Audit-Rechte, Sub-Contracting-Offenlegung, Datenverarbeitung-Standorte, Exit-Strategien. Kooperationspflicht mit Behörden.

Kontinuierliche Überwachung

Laufendes Vendor-Monitoring. Regelmäßige Re-Assessments, Tracking von Security-Incidents bei Lieferanten, Zertifizierungs-Status-Updates. Trigger-basierte Reviews bei Material-Changes. Eskalationsprozesse bei Non-Compliance.

Meldepflichten bei Sicherheitsvorfällen

Art. 23 ff. etabliert ein mehrstufiges Reporting-System – strukturell identisch mit DORA. Koordination über nationale CSIRTs und zentrale Anlaufstellen.

Frühwarnung: 24 Stunden

Initiale Meldung binnen 24h. Sobald Kenntnis über einen erheblichen Sicherheitsvorfall besteht, muss eine Frühwarnung an die zuständige Behörde/CSIRT erfolgen. Minimale Informationen: Art des Vorfalls, Betroffenheit, erste Einschätzung.

Incident-Meldung: 72 Stunden

Detaillierter Bericht binnen 72h. Umfassende Beschreibung: betroffene Systeme/Daten, Schweregrad, Auswirkungen, IoCs (Indicators of Compromise), erste Gegenmaßnahmen. Koordination mit CSIRT, Datenschutz-/Strafverfolgungsbehörden bei personenbezogenen Daten.

Abschlussbericht: 1 Monat

Finaler Bericht binnen 30 Tagen. Root-Cause-Analyse, Timeline, umgesetzte Remediation-Maßnahmen, Lessons Learned, Präventivmaßnahmen für die Zukunft. Strukturierte Dokumentation für regulatorische Nachvollziehbarkeit und interne Verbesserung.

Definition ’erheblich'

Schwellenwerte & Kriterien. Erheblich = signifikante Beeinträchtigung von Services, Datenintegrität/-vertraulichkeit, Verfügbarkeit kritischer Systeme. Auswirkung auf Geschäftsbetrieb, finanzielle Position oder Dritte. Nationale Behörden konkretisieren.

Aufsicht, Sanktionen & Durchsetzung

Kapitel VII gewährt nationalen Behörden umfangreiche Kontroll- und Durchsetzungsbefugnisse. Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Behördenbefugnisse

Weitreichende Aufsichtsinstrumente. Vor-Ort-Kontrollen, Security-Scans, Ad-hoc-Prüfungen, Auskunftsersuchen, Dokumentenanforderungen. Interviews mit Management/Personal. Zugang zu Systemen/Logs (mit Auflagen). Keine Ankündigung erforderlich.

Sanktionsmechanismen

Empfindliche Geldbußen möglich. Wesentliche Einrichtungen: bis zu €10M oder 2% des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu €7M oder 1,4% des Umsatzes. National geregelt, aber EU-Mindestvorgaben. Zusätzlich: öffentliche Bekanntmachung.

Aussetzungsbefugnisse

Vorübergehende Service-/Management-Suspendierung. Bei schwerwiegenden Verstößen können Behörden Dienstleistungen vorübergehend untersagen oder Management-Funktionen suspendieren. Ultima Ratio, aber rechtlich möglich. Sofortvollzug bei Gefahr im Verzug.

Nachweispflichten

Burden of Proof bei Einrichtung. Nachweispflicht für Konformität liegt bei der Einrichtung, nicht bei Behörde. Dokumentation, Audit-Reports, Test-Ergebnisse, Prozess-Nachweise müssen vorliegen. Fehlende Nachweise = Indiz für Non-Compliance.

ayedo und NIS-2

Unsere Software Delivery Plattform und Managed Services sind auf NIS-2-Konformität ausgelegt – von Risikomanagement über 24/7 Incident-Response bis zu Supply-Chain-Transparenz.

ISO 27001-Risikomanagement

Zertifizierte ISMS-Prozesse. ISO 27001/9001-basiertes Operations-Modell mit dokumentierten Policies, jährlichen Reviews, Board-tauglichen KPI/KRI-Dashboards. Asset-Inventare, Risikobewertungen, kontinuierliche Verbesserung. Audit-ready.

Zero-Trust & MFA

Starke Authentifizierung durchgehend. Network-Segmentierung, MFA/OIDC-Integration, Secrets-Management mit Customer-Managed Keys, Least-Privilege-Prinzip. GitOps-basierte Change-Kontrolle. RBAC/ABAC-Modelle. PAM für privilegierte Zugriffe.

24/7 Detection & Monitoring

Comprehensive Observability. Metrics, Logs, Traces mit standardisierten Schnittstellen. Definierte Alerting-Schwellen, Eskalations-Runbooks, 24/7-SOC-Integration. MTTA/MTTR-Tracking. Threat-Intelligence-Feeds. SIEM-Integration möglich.

Business Continuity & DR

Getestete Backup-/Restore-Prozesse. Multi-AZ/Region-Designs, dokumentierte RTO/RPO-Ziele. Automatisierte Backups mit standardkonformem Object Storage, Point-in-Time-Recovery. Jährliche DR-Tests inkl. Switchover. Forensische Backup-Retention. Segregierte Restore-Netze.

Incident Response & NIS-2-Meldung

Strukturierte 24h/72h/1M-Prozesse. Triage-Schwellen für ’erhebliche Vorfälle’, dedizierte Meldepfade zu Behörden/CSIRTs. Incident-Timeline-Dokumentation, Post-Incident-Reviews, Lessons-Learned-Integration. Crisis-Comms-Playbooks. ENISA-kompatible Formate.

Security Testing & Audits

Regelmäßige Assessments. Vulnerability-Scans, Penetration-Tests, interne/externe Audits. CVE-Scanning in CI/CD. SBOM-Generierung. Red-Team-Übungen auf Anfrage. Remediation-Tracking mit SLAs. Audit-Reports für Behörden/Kunden verfügbar.

Supply-Chain-Transparenz

Vendor-Risk-Register & Due Diligence. Vollständige Dokumentation der Sub-Provider (Cloud, Rechenzentren, OSS-Maintainer). ISO 27001-Zertifizierungen bevorzugt. EU-basierte Operations, DSGVO-Konformität. Vendor-Scoring, regelmäßige Re-Assessments.

Krypto & Secrets-Management

State-of-the-Art-Verschlüsselung. TLS 1.3+, AES-256, sichere Key-Rotation. Customer-Managed Keys, BYOK/BYOHSM-fähig. Trennung von Schlüsseln und Daten. Secrets-Management mit Audit-Trails. No-Escrow-Policy.

NIS-2-Enablement-Pakete

Turnkey-Konformitäts-Roadmaps. Gap-Assessment gegen NIS-2-Anforderungen, Risikomanagement-Framework-Setup, Incident-Response-Playbooks, Supply-Chain-Register, Board-Schulungen, Audit-Vorbereitung. Unterstützung bei Behörden-Interaktion.

NIS-2 im regulatorischen Kontext

NIS-2 ist das Querschnitts-Rahmenwerk für Cybersicherheit in der EU. Es verzahnt sich mit DORA, CRA, Cloud Sovereignty Framework, Data Act und GDPR.

NIS-2 & DORA

DORA ist lex specialis für Finanzsektor. NIS-2 gilt grundsätzlich für kritische/wichtige Einrichtungen; DORA präzisiert und erweitert für Finanzinstitute. Keine Doppel-Compliance: DORA-konforme Finanzentitäten erfüllen im Regelfall auch NIS-2. Strukturell identische Meldepfade (24h/72h/1M). Mehr zu DORA.

NIS-2 & Cyber Resilience Act

Komplementär auf Betreiber-/Produktebene. NIS-2 betrifft Infrastruktur- und Betreiberpflichten (Operations). CRA adressiert Cybersecurity von Produkten (Entwicklung, Lifecycle). Zusammen: sichere Produkte + resiliente Betriebsumgebungen. Mehr zu CRA.

NIS-2 & Cloud Sovereignty

Souveränität reduziert NIS-2-Risiken. Cloud Sovereignty Framework bewertet Exit-Fähigkeit, EU-Kontrolle, Lieferkettentransparenz – alles Faktoren, die NIS-2-Risikomanagement und Supply-Chain-Anforderungen direkt adressieren. EU-basierte Stacks minimieren jurisdiktionelle Risiken. Mehr zum Framework.

NIS-2 & Data Act

Interoperabilität unterstützt Resilienz. Data Act fordert Datenportabilität und Lock-in-Vermeidung – direkt relevant für NIS-2-BCP/Exit-Strategien. Offene Standards, standardisierte Schnittstellen erleichtern Disaster-Recovery und Provider-Switching bei Incidents. Mehr zum Data Act.

NIS-2 & GDPR

Ergänzende Anforderungen. GDPR fokussiert Datenschutz. NIS-2 adressiert Cybersicherheit und Verfügbarkeit. Überschneidungen: Security-Maßnahmen (Art. 32 GDPR), Incident-Meldung (NIS-2 an CSIRT, GDPR an DPA). Koordinierte Compliance, parallele Prozesse erforderlich.

ayedo Compliance-Übersicht

Comprehensive Compliance-Ansatz. Wie ayedo NIS-2, DORA, CRA, Data Act, GDPR, ISO 27001 systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen, Audit-Bereitschaft – hier finden Sie unsere vollständige Roadmap. Zur Übersicht.

Strategische Implikationen

NIS-2 verändert fundamental, wie digitale Infrastrukturen betrieben werden müssen. Von der Board-Verantwortung über Supply-Chain-Management bis zu Sanktionsrisiken – hier sind die Kernimplikationen.

Cybersicherheit wird Chefsache

Board-Verantwortung & persönliche Haftung. Vorstände müssen Cybersicherheits-Maßnahmen genehmigen, überwachen, Budgets freigeben. Persönliche Haftung bei grober Fahrlässigkeit. Schulungspflichten. Cyber-Resilienz als strategisches Board-Thema verankert.

Engineering-Disziplin verpflichtend

Umfassende Dokumentation Pflicht. Vollständige Asset-Inventare, Risikobewertungen, Datenfluss-Diagramme, Dependency-Maps. Segmentierte Architekturen, Change-/Patch-Prozesse nachweisbar. RTO/RPO definiert und getestet. SSDLC-Nachweise.

24/7-Operations & Incident-Response

Kontinuierliches Monitoring verpflichtend. 24/7-Fähigkeit für Detection, Alerting, Incident-Response. Strukturierte Meldepfade (24h/72h/1M). Krisen-Kommunikation, Post-Mortems. Jährliche BCP/DR-Tests. Integration mit CSIRTs.

Supply-Chain-Governance

Systematisches Vendor-Risk-Management. Due Diligence vor Beauftragung, Vendor-Scoring, vertragliche Absicherung, kontinuierliches Monitoring. Register aller Sub-Provider. Re-Assessments bei Material-Changes. Eskalation bei Non-Compliance.

Testing & Assurance

Regelmäßige Assessments verpflichtend. Vulnerability-Scans, Penetration-Tests, Red-Team-Übungen. Interne/externe Audits. Wirksamkeitsnachweis aller Maßnahmen. Remediation-Tracking. Kontinuierliche Verbesserung basierend auf Findings.

Sanktionsrisiken real

Empfindliche Geldbußen möglich. Bis zu €10M oder 2% des weltweiten Jahresumsatzes. Öffentliche Bekanntmachung. Service-Suspendierung möglich. Nachweispflicht bei Einrichtung. Non-Compliance kann existenzbedrohend sein.

Starten Sie Ihre NIS-2-Compliance

Ob Cloud-Provider, Managed-Service-Anbieter oder kritische Infrastruktur – wir unterstützen Sie bei der systematischen Umsetzung aller NIS-2-Anforderungen. Von Gap-Assessment bis zur vollständigen Konformität.

NIS-2-Gap-Assessment

Wir analysieren Ihre Organisation gegen NIS-2-Anforderungen: Governance, Risikomanagement, Incident-Response, BCP/DR, Supply-Chain, Testing-Reife. Gap-Identifikation, Priorisierung, strukturierte Roadmap mit Quick Wins und Langfrist-Maßnahmen. Board-Level-Reporting.

NIS-2-Konformitäts-Plattform

Wir implementieren die komplette Toolchain: Asset-Inventare/CMDB, Observability-Stack (Metrics/Logs/Traces/Alerts), GitOps-CI/CD mit Policy-Gates, Backup/DR-Automatisierung, Incident-Response-Integration, Vendor-Risk-Register, KPI/KRI-Dashboards. ISO 27001-konform.

24/7 NIS-2-konformer Betrieb

Managed Operations mit 24/7-Monitoring, Incident-Response, koordinierter CSIRT-Meldung (24h/72h/1M-Pfade), Security-Hotfix-Deployment. Langfristige Support-Zusagen, getestete BCP/DR-Prozesse, jährliche Resilience-Tests. Board-Level-Reporting. Audit-Unterstützung.