Rahmenwerke

Erläuterung der Durchführungsverordnung zu NIS2

Die NIS2-Durchführungsverordnung ist das spezifische technische Regelwerk zur Umsetzung des allgemeinen Rahmengesetzes NIS2 in die Praxis.

Cyberday
1. Februar 2026
@

Inhalt des Artikels

ISO 27001-Sammlung
Erläuterung der Durchführungsverordnung zu NIS2
NIS2-Sammlung
Erläuterung der Durchführungsverordnung zu NIS2
Cyberday Blog
Erläuterung der Durchführungsverordnung zu NIS2

Die Richtlinie über Netz- und Informationssicherheit 2, besser bekannt als NIS2, legt gemeinsame Cybersicherheitsverpflichtungen für die gesamte EU fest. Die Richtlinie selbst bleibt bewusst auf einer hohen Ebene. Sie definiert, wer in ihren Anwendungsbereich fällt, welche Verantwortlichkeiten gelten und wie die Durchsetzung funktioniert, verzichtet jedoch darauf, detaillierte technische Kontrollen vorzuschreiben.

Diese Lücke wird durch die NIS2-Durchführungsverordnung geschlossen . Der technische und methodische Anhang der Verordnung konkretisiert die allgemeineren Verpflichtungen der NIS2 in Form von konkreten Kontrollen, Prozessen und Nachweispflichten. Für die betroffenen Organisationen werden abstrakte Anforderungen hier zu alltäglichen Aufgaben im Bereich der Cybersicherheit.

Die NIS2-Durchführungsverordnung ist das spezifische technische Regelwerk zur Umsetzung des allgemeinen Rahmengesetzes (NIS2) in die Praxis.

Diese Verordnung dient dazu, Unklarheiten zu beseitigen. Im ursprünglichen NIS-Rahmenwerk hatten „geeignete Maßnahmen” in den einzelnen Ländern unterschiedliche Bedeutungen. Die Durchführungsverordnung legt eine gemeinsame Grundlage fest, damit Organisationen und Aufsichtsbehörden von demselben Bezugspunkt ausgehen können, wobei weiterhin Verhältnismäßigkeit und Technologieneutralität gewährleistet sind.

Weiterlesen: Was ist die Richtlinie über Netz- und Informationssicherheit 2?

Was ist der Unterschied zwischen NIS2 und der NIS2-Durchführungsverordnung?

Die NIS2-Richtlinie ist die primäre Rechtsvorschrift. Sie legt den Anwendungsbereich für 18 kritische Sektoren fest (von Energie und Gesundheit bis hin zu Raumfahrt und öffentlicher Verwaltung). Sie verpflichtet die Mitgliedstaaten, dafür zu sorgen, dass Unternehmen in diesen Sektoren:

  • Bei den Behörden registrieren.
  • „Angemessene“ Sicherheitsmaßnahmen umsetzen.
  • Melden Sie „bedeutende“ Vorfälle innerhalb von 24/72 Stunden.
  • Bei Nichteinhaltung drohen Geldstrafen.

Die Richtlinie ist jedoch sehr allgemein gehalten. Sie schreibt vor, dass Sie Risikomanagement betreiben müssen, sagt Ihnen aber nicht ausdrücklich, wie Sie dies tun sollen (z. B. welcher Verschlüsselungsalgorithmus zu verwenden ist oder was bei der Überwachung auf Schwachstellen zu tun ist). Hier kommt die NIS2-Durchführungsverordnung ins Spiel.

Eine gemeinsame Basislinie in der gesamten EU

Eines der Hauptziele der Durchführungsverordnung ist die Harmonisierung. Anstelle von 27 unterschiedlichen Interpretationen dessen, was gute Cybersicherheit ausmacht, definiert sie eine Mindestanzahl von Bereichen und Praktiken, die alle betroffenen Organisationen berücksichtigen müssen.

Dies ist besonders wichtig für Organisationen, die grenzüberschreitend tätig sind. Eine gemeinsame Grundlage verringert widersprüchliche Erwartungen der Aufsichtsbehörden und macht Audits vorhersehbarer. Für die Behörden ermöglicht dies eine einheitlichere Aufsicht und Zusammenarbeit. In der Praxis wird die Verordnung zum technischen Rückgrat des gesamten NIS2-Systems.

Umfang und Verhältnismäßigkeit in der Praxis

Die Durchführungsverordnung ändert nichts daran, wer unter die NIS2 fällt. Der Anwendungsbereich ist bereits durch die Richtlinie und die nationalen Umsetzungsgesetze definiert. Die Verordnung legt jedoch fest, wie die betroffenen Organisationen die Cybersicherheit aus Sicht des Risikomanagements handhaben sollen. Die Verordnung präzisiert die Richtlinie, indem sie deren übergeordnete Anforderungen detaillierter ausführt. 

Während beispielsweise die NIS2 allgemein von den betroffenen Organisationen erwartet, dass sie Verschlüsselungsmaßnahmen in ihren Netzwerken und Informationssystemen implementieren, beschreibt die Durchführungsverordnung detailliert, wie die Verschlüsselung konkret umgesetzt werden soll. Sie umfasst die Entwicklung und Pflege einer Verschlüsselungsrichtlinie auf Managementebene sowie spezifische technische Maßnahmen, die auf operativer Ebene umgesetzt werden müssen. Diese Logik gilt für alle Themenbereiche, die unter die Verordnung fallen. 

Die Verordnung erkennt auch ausdrücklich an, dass Organisationen unterschiedlich sind. Ein multinationaler Cloud-Anbieter, ein regionaler Wasserversorger und ein Krankenhaus sind nicht denselben Bedrohungen ausgesetzt und verfügen nicht über dieselben Ressourcen. Die Maßnahmen müssen in einem angemessenen Verhältnis zur Größe der Organisation, zur Kritikalität der Dienste, zur Sensibilität der Daten und zu den potenziellen Auswirkungen von Vorfällen stehen.

Gleichzeitig ist Verhältnismäßigkeit kein Grund, grundlegende Anforderungen zu vernachlässigen. Die Gesetzgebung legt klare Mindeststandards fest. Kleinere oder weniger kritische Organisationen können in einigen Bereichen weniger strenge Umsetzungen rechtfertigen, müssen jedoch weiterhin alle Kernbereiche abdecken. Von kritischeren Organisationen wird erwartet, dass sie mit strengeren Kontrollen, einer breiteren Abdeckung und einer formelleren Absicherung tiefer in die Materie einsteigen.

Kernbereiche des Cybersicherheits-Risikomanagements

Im Mittelpunkt der Durchführungsverordnung steht eine strukturierte Reihe von Bereichen des Cybersicherheitsrisikomanagements. NIS2 listet diese Themen auf hoher Ebene auf. Die Verordnung wandelt sie in praktische Bereiche um, die Organisationen bewerten, umsetzen und für die sie Nachweise sammeln können.

Typische Domänen sind:

  • Führung und Organisation
  • Risikobewertung
  • Richtlinien und Verfahren
  • Vermögensverwaltung
  • Zugangskontrolle
  • Betriebssicherheit
  • Netzwerk- und Systemsicherheit
  • Vorfallsmanagement
  • Geschäftskontinuität und Notfallwiederherstellung
  • Sicherheit der Lieferkette
  • Kryptografie

Für jeden Bereich beschreibt die Verordnung die Erwartungen hinsichtlich Prozessen, Dokumentation und technischen Kontrollen. Der Detaillierungsgrad entspricht nicht dem eines vollständigen technischen Standards wie ISO/IEC 27001, ist jedoch spezifisch genug, um als Leitfaden für Audits und Inspektionen zu dienen.

Das Ziel besteht darin, den gesamten Lebenszyklus von Cyberrisiken abzudecken, von der Rechenschaftspflicht des Managements und der Risikoidentifizierung bis hin zu Prävention, Erkennung, Reaktion und Wiederherstellung.

Diese Bereiche sind keine unabhängigen Checklisten. Die Unternehmensführung legt Prioritäten fest, die Risikobewertung beeinflusst die Auswahl der Kontrollmaßnahmen, operative Maßnahmen verringern die Wahrscheinlichkeit und die Planung für Zwischenfälle und Kontinuität reduziert die Auswirkungen. Von Organisationen wird erwartet, dass sie diese Bereiche als Teile eines einzigen, kohärenten Risikomanagementsystems behandeln.

Governance und Rechenschaftspflicht des Managements

NIS2 legt großen Wert auf die Rechenschaftspflicht des Managements, und die Durchführungsverordnung setzt dies in die Praxis um. Die Verwaltungsorgane sind nicht nur auf dem Papier verantwortlich. Von ihnen wird erwartet, dass sie die Cybersicherheit aktiv überwachen.

Dazu gehören regelmäßige Berichte über Risiken, Vorfälle und die Wirksamkeit von Kontrollen, dokumentierte Strategien und Risikobehandlungspläne sowie regelmäßige Überprüfungen. Unternehmen müssen in der Lage sein, eine klare Zuständigkeit für Verantwortlichkeiten nachzuweisen, von der allgemeinen Cybersicherheitsführung bis hin zur Koordinierung von Vorfällen, Lieferantenrisiken und der Kommunikation mit Aufsichtsbehörden.

Auch das Bewusstsein der Unternehmensleitung ist eine Voraussetzung. Von Führungskräften wird erwartet, dass sie Cyberrisiken aus geschäftlicher Sicht verstehen und diese nicht einfach an technische Teams delegieren. Als Nachweis hierfür können Schulungsunterlagen, Sitzungsprotokolle, Budgetentscheidungen und Eskalationsprozesse dienen. Auf diese Weise können Aufsichtsbehörden beurteilen, ob die Beteiligung der Unternehmensleitung real oder nur formal ist.

Vorfallbearbeitung und Berichterstattung

Die Meldung von Vorfällen ist eine der sichtbarsten Verpflichtungen gemäß NIS2. Die Durchführungsverordnung legt fest, was wann und wie gemeldet werden muss.

Es legt Kriterien für meldepflichtige Vorfälle fest, basierend auf den Auswirkungen auf Verfügbarkeit, Integrität oder Vertraulichkeit, der Anzahl der betroffenen Benutzer, der Dauer und der geografischen Ausbreitung. Außerdem definiert es eine stufenweise Berichterstattung, die in der Regel mit einer Frühwarnung beginnt, gefolgt von einer umfassenderen Benachrichtigung und einem Abschlussbericht, sobald die Ursachen bekannt sind.

Für Organisationen bedeutet dies, dass Notfallpläne klare Entscheidungspunkte enthalten müssen. Technische Teams müssen wissen, wann sie eskalieren müssen. Die Rechtsabteilung, die Compliance-Abteilung und die Geschäftsleitung müssen frühzeitig einbezogen werden, um die Meldeschwellen zu bewerten. Die Verordnung sieht außerdem vor, dass diese Prozesse durch Übungen getestet und auf der Grundlage der gewonnenen Erkenntnisse verbessert werden.

Geschäftskontinuität und Krisenmanagement

Die Durchführungsverordnung verbindet Cybersicherheit eng mit Resilienz. Die Verhinderung von Vorfällen reicht nicht aus. Organisationen müssen auch ihre Fähigkeit unter Beweis stellen, kritische Dienste aufrechtzuerhalten oder wiederherzustellen.

Dazu gehören eine Analyse der Auswirkungen auf das Geschäft, definierte Wiederherstellungsziele, Kontinuitätsstrategien und getestete Wiederherstellungspläne. Abhängigkeiten von Systemen, Daten und Lieferanten müssen verstanden werden. Backup-, Redundanz- und Ausweichvorkehrungen müssen auf die Kritikalität der Dienste abgestimmt sein.

Krisenmanagement wird als unternehmensweite Kompetenz behandelt. Die Führungskräfte, Kommunikations-, Rechts- und Betriebsteams haben alle klar definierte Rollen. Übungen sollen realistische Cyberszenarien widerspiegeln, und die Behörden können Nachweise über Tests und anschließende Verbesserungen verlangen. Kontinuitätspläne sollen in der Praxis funktionieren und nicht nur auf dem Papier existieren.

Lieferkette und Risiken durch Dritte

Die Sicherheit der Lieferkette ist ein wichtiger Schwerpunkt der NIS2, und die Durchführungsverordnung fügt konkrete Erwartungen hinzu. Von Organisationen wird erwartet, dass sie Lieferanten nach ihrer Kritikalität einstufen und ein angemessenes Maß an Kontrolle anwenden.

Für kritische Lieferanten wie Managed Service Provider oder Anbieter von Kernsoftware kann dies Sicherheitsbewertungen, Zertifizierungen, Audits oder technische Tests umfassen. Vertragsklauseln allein werden nicht als ausreichend angesehen. Eine kontinuierliche Überwachung und Notfallplanung sind ebenfalls erforderlich.

Unternehmen sollten in der Lage sein, zu erklären, wie sie reagieren würden, wenn ein wichtiger Lieferant von einem Cybervorfall betroffen wäre. Dazu gehören Ausstiegsstrategien, alternative Anbieter, Datenportabilität und die Überwachung gemeinsamer Schnittstellen. Das Lieferantenrisiko sollte in das allgemeine Risikomanagement und die Unternehmensführung integriert werden und nicht nur von der Beschaffungsabteilung behandelt werden.

Dokumentation und Nachweise

Die Durchführungsverordnung macht die Dokumentation zu einem zentralen Bestandteil der Compliance. Die Aufsichtsbehörden erwarten die Vorlage von Richtlinien, Verfahren, Risikobewertungen, Vermögensaufstellungen, Vorfallprotokollen, Schulungsnachweisen und Überwachungsergebnissen.

Die Verhältnismäßigkeit gilt weiterhin. Größere oder kritischere Organisationen verfügen über eine formellere Dokumentation. Kleinere Organisationen können sich auf einfachere Formate stützen. Wichtig ist die Übereinstimmung zwischen dem, was dokumentiert ist, und dem, was getan wird.

Die Dokumentation wird als Nachweis für die tatsächliche Praxis angesehen. Wenn eine Richtlinie tägliche Backups und regelmäßige Tests vorschreibt, sollten dies Protokolle und Berichte belegen. Wenn eine Risikobewertung Ransomware hervorhebt, sollten entsprechende Kontrollen sichtbar sein. Es wird erwartet, dass die Dokumentation gepflegt, überprüft und aktualisiert wird, wenn sich Risiken, Systeme und Vorfälle ändern.

Abgleich mit anderen Rahmenwerken und Standards

Die meisten betroffenen Organisationen halten sich bereits an etablierte Rahmenwerke wie ISO/IEC 27001, ISO/IEC 22301, CIS Controls oder nationale Regelungen. Die NIS2-Durchführungsverordnung ist so konzipiert, dass sie mit diesen kompatibel ist. Sie zwingt Organisationen nicht dazu, ihre aktuellen Rahmenwerke aufzugeben. Stattdessen schafft sie einen gemeinsamen regulatorischen Bezugspunkt, der auf bestehende Kontrollen übertragen werden kann.

Kernkonzepte wie Risikobewertung, Lebenszyklen von Vorfällen, Klassifizierung von Vermögenswerten und Wiederherstellungsziele sind bekannt. Zertifizierungen können oft als Nachweis dienen, garantieren jedoch nicht automatisch die Einhaltung der NIS2-Vorschriften. Bereiche wie die Meldung von Vorfällen, die Überwachung der Lieferkette und die Rechenschaftspflicht des Managements erfordern in der Regel besondere Aufmerksamkeit.

Die Verordnung bietet einen gemeinsamen Bezugsrahmen, der Organisationen dabei hilft, bestehende Kontrollen mit den regulatorischen Anforderungen abzugleichen und Lücken zu identifizieren, ohne ihr gesamtes Sicherheitsprogramm neu aufbauen zu müssen.

Was dies in der Praxis bedeutet

Die NIS2-Durchführungsverordnung setzt abstrakte rechtliche Verpflichtungen in operative Anforderungen um. Sie verdeutlicht, was die nationalen Behörden erwarten und bewerten werden.

Für Organisationen eignet es sich am besten als Basisreferenz. Es kann verwendet werden, um aktuelle Praktiken zu überprüfen, Lücken zu identifizieren und Verbesserungen zu priorisieren. Die Integration der NIS2-Anforderungen in bestehende Managementsysteme ist in der Regel effektiver als die Schaffung paralleler Strukturen.

Über die Einhaltung von Vorschriften hinaus fördert die Verordnung auch eine bessere Widerstandsfähigkeit. Sie verbindet Governance, Risikomanagement, Betriebsabläufe und Vorfallbearbeitung in einem einzigen Modell. Dies dürfte im Laufe der Zeit zu einheitlicheren Cybersicherheitspraktiken in der gesamten EU und zu einem klareren gemeinsamen Verständnis davon führen, was in der Praxis als „gut“ gilt.

Prüfen Sie Ihre NIS2-Bereitschaft

Nehmen Sie an unserer kostenlosen Bewertung teil, und verschaffen Sie sich einen schnellen Überblick über die Ausrichtung Ihrer Organisation auf NIS2 - und darüber, worauf Sie sich als nächstes konzentrieren sollten.

Nehmen Sie die Bewertung vor

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Weitere Artikel in der Kategorie

06.02.2026

NIS2 in Slowenien: Was ZInfV-1 für Ihre Organisation bedeutet

NIS2 Slowenien-Compliance-Leitfaden zum Zakon o informacijski varnosti. Siehe Geltungsbereich, Managementaufgaben, Risikokontrollen, Meldung von Vorfällen und Schritte zur Umsetzung.
02.02.2026

NIS2 in der Slowakei: Leitfaden zum Gesetz über die Cybersicherheit (Zákon o kybernetickej bezpečnosti)

NIS2-Konformität in der Slowakei: Ein praktischer Leitfaden zum slowakischen Cybersicherheitsgesetz für Sicherheits- und IT-Teams
02.02.2026

NIS2 in Portugal verstehen: Rechtliche Rahmenbedingungen für Cybersicherheit

NIS2 Portugal Compliance-Leitfaden zum Regime jurídico da cibersegurança. Erfahren Sie, wer davon betroffen ist, welche Führungsaufgaben bestehen, welche Kontrollen erforderlich sind, welche Fristen für die Meldung von Vorfällen gelten und welche praktischen Schritte mit schlanken Teams umgesetzt werden müssen.
Mühelose Verbesserung der Compliance
Größte Rahmenbibliothek in der EU
Umfassende Unterstützung

Beginnen Sie Ihre Reise zur Einhaltung der Vorschriften

Verwendung in MS Teams oder im Browser mit Slack-Integration.
Risikofreie Testversion. Keine Kreditkarte erforderlich. Jederzeit abbrechen.

Kostenlose Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagenTrust Center
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung von VermögenswertenDatenschutz-ManagementBewertungen von AnbieternInterne Audits
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseTrust CenterInhalt der BibliothekLeitfädenNewsletterCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
tcyberdayerday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit