Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 in EU-Mitgliedsstaaten umzusetzen. In Österreich wurde sie als NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026)1 ins nationale Recht überführt. Im Vergleich zur ersten NIS-Richtlinie wurde der Anwendungsbereich deutlich ausgeweitet und mit ihm auch die Pflichten für betroffene Unternehmen.
Was ist NIS2?
NIS2 ist der EU-weite Rechtsrahmen für Cybersecurity-Anforderungen an kritische und wichtige Einrichtungen. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016, die als zu eng und uneinheitlich in der Umsetzung kritisiert wurde.
Der Hauptunterschied zur Vorgängerrichtlinie: NIS2 greift deutlich weiter. Waren bisher nur wenige "Betreiber wesentlicher Dienste" betroffen, müssen nun deutlich mehr Unternehmen aktiv Maßnahmen umsetzen und nachweisen.
Wer ist betroffen?
NIS2 unterscheidet zwischen wesentlichen Einrichtungen2 und wichtigen Einrichtungen2, die jeweils unterschiedlich streng reguliert werden. Betroffen sind unter anderem Unternehmen aus folgenden Sektoren, sofern sie die Größenschwellen überschreiten (50+ Mitarbeiter oder 10 Mio. € Jahresumsatz):
- Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
- Transport und Verkehr
- Banken und Finanzmarktinfrastruktur
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Rechenzentren, CDN, Cloud-Anbieter, DNS)
- IKT-Dienstleistungsmanagement (Managed Service Provider)
- Öffentliche Verwaltung
- Weltraum
- Verarbeitendes Gewerbe (bestimmte Branchen)
- Lebensmittelproduktion und -verteilung
- Post- und Kurierdienste
Für viele Unternehmen ist NIS2 damit keine Option mehr, sondern gesetzliche Pflicht.
Was fordert NIS2 konkret?
Die Richtlinie legt eine Reihe von technischen und organisatorischen Maßnahmen fest, die betroffene Unternehmen umsetzen müssen. Die zentralen Anforderungen im Überblick:
Risikomanagement
Unternehmen müssen ein systematisches Risikomanagement für ihre Netz- und Informationssysteme etablieren. Das bedeutet: regelmäßige Risikoanalysen, Identifikation von Schwachstellen und angemessene Schutzmaßnahmen.
Sicherheitstests (technische Überprüfungen)
NIS2 fordert explizit regelmäßige Sicherheitsprüfungen, um die Wirksamkeit der umgesetzten Maßnahmen zu überprüfen. Dazu gehören unter anderem Penetration Tests und Security Assessments. Die Ergebnisse davon müssen ausreichend in einem anschaulichem Bericht dokumentiert werden.
Incident Response & Meldepflicht
Sicherheitsvorfälle müssen innerhalb klarer Fristen gemeldet werden:
- 24 Stunden: Erste Meldung (Frühwarnung) an die zuständige Behörde
- 72 Stunden: Detailliertere Meldung mit ersten Erkenntnissen
- 1 Monat: Abschlussbericht mit vollständiger Analyse
Unternehmen müssen also in der Lage sein, Vorfälle überhaupt zu erkennen, zu analysieren und zu melden.
Lieferkettensicherheit
Die Sicherheit von Dienstleistern und Zulieferern muss aktiv gemanagt werden. Unternehmen sind mitverantwortlich für Sicherheitsrisiken in ihrer Lieferkette.
Business Continuity
Es müssen Pläne für den Notfallbetrieb und die Wiederherstellung nach einem Cyber-Vorfall vorhanden sein.
Persönliche Haftung der Geschäftsleitung
Ein wichtiger Punkt, der NIS2 von vielen anderen Normen unterscheidet: Die Geschäftsleitung haftet persönlich bei Nichteinhaltung. Compliance ist damit keine reine IT-Verantwortung mehr.
Wie helfen Penetration Tests bei der NIS2-Compliance?
Penetration Tests sind keine nette Ergänzung zur NIS2-Compliance, sie sind ein direkter Beitrag zur Erfüllung der technischen Anforderungen. Folgend erklären wir, wie sie konkret helfen:
Nachweis aktiver Sicherheitsmaßnahmen
NIS2 verlangt den Nachweis, dass Unternehmen proaktiv Schwachstellen identifizieren und beheben. Ein professioneller Penetration Test liefert genau das: einen dokumentierten, unabhängigen Nachweis über durchgeführte Sicherheitstests. Unser Reporting ist dabei so aufgebaut, dass es direkt als Compliance-Nachweis dienen kann, inklusive Angriffspfaden, Schwachstellenbeschreibungen und Behebungsempfehlungen.
Identifikation realer Risiken
Automatisierte Schwachstellenscanner sind nützlich, aber begrenzt. Sie finden bekannte CVEs, aber sie finden keine logischen Schwachstellen, fehlkonfigurierten Systeme oder komplexe Angriffspfade, die erst im Zusammenspiel mehrerer Schwachstellen entstehen. Unsere Penetration Tests simulieren reale Angreifer und decken diese blinden Flecken auf.
Verbesserung der Incident Response Fähigkeiten
NIS2 verlangt nicht nur, dass Vorfälle gemeldet werden, sondern Unternehmen müssen sie auch erkennen können. Unsere Purple Team Exercises und Red Team Engagements testen gezielt, ob vorhandene Detektions- und Reaktionsmechanismen (SIEM, EDR, SOC) reale Angriffe erkennen würden. Die Ergebnisse zeigen konkret, wo Lücken in der Erkennungskette bestehen.
Lieferkettensicherheit überprüfen
Da NIS2 auch die Sicherheit von Dienstleistern und deren Systemen adressiert, können gezielte Penetration Tests von Lieferantensystemen, APIs und Schnittstellen dabei helfen, Sicherheitsrisiken in der Lieferkette zu identifizieren und zu dokumentieren.
Vorbereitung auf Audits und Behördenanfragen
Die zuständigen Behörden können Nachweise über durchgeführte Sicherheitsmaßnahmen anfordern. Professionelle Pentest-Berichte erfüllen diese Anforderung direkt, insbesondere wenn sie regelmäßig durchgeführt und dokumentiert werden.
Unsere Empfehlung: Nicht warten
Viele NIS2-betroffene Unternehmen befinden sich gerade noch in der Orientierungsphase. Erfahrungsgemäß zeigt sich bei einem ersten Penetration Test oft, dass Sicherheitsmaßnahmen zwar vorhanden, aber nicht wirksam sind: Firewalls mit zu weit gefassten Regeln, unzureichend gehärtete Active Directory-Umgebungen, ungeschützte Dienste im internen Netz oder schwache Passwortrichtlinien, welche die Wiederverwendung von Passwörtern erlauben, sind typische Findings und genau die Schwachstellen, die NIS2 adressiert.
Ein strukturierter Einstieg ist dabei sinnvoller als ein hektischer Sprint kurz vor einem Audit. Wir empfehlen:
- Initialer Penetration Test - um den aktuellen Sicherheitsstatus zu verstehen und priorisierte Maßnahmen abzuleiten
- Behebung der kritischen Findings - mit Unterstützung durch unsere Security Advisory
- Retest oder Follow-up-Test - um zu verifizieren, dass die Maßnahmen wirksam sind und den Nachweis zu erbringen
Dieser Zyklus entspricht genau dem, was NIS2 von Unternehmen erwartet: kontinuierliche, nachweisbare Verbesserung der Sicherheitsmaßnahmen.
Fazit
NIS2 ist kein bürokratisches Compliance-Kästchen, das abgehakt werden muss, sondern eine Möglichkeit, die Cyber-Resilienz des eigenen Unternehmens ernsthaft und nachhaltig zu verbessern. Wer die technischen Anforderungen mit einem pragmatischen Ansatz angeht, schützt nicht nur sich selbst, sondern ist auch für behördliche Prüfungen gewappnet.
Als Spezialisten für Offensive Security helfen wir Ihnen, die technischen NIS2-Anforderungen nicht nur zu erfüllen, sondern zu verstehen und daraus nachhaltige Sicherheitsverbesserungen abzuleiten.