Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 als deutsches Umsetzungsgesetz (NIS2UmsuCG) in Kraft und definiert zehn Pflichtmaßnahmen nach Artikel 21, die ohne Übergangsfrist gelten. Rund 29.500 Unternehmen in Deutschland ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 Sektoren sind betroffen – darunter auch SaaS-Anbieter und digitale Plattformen. OpenKRITIS: NIS2-Umsetzungsgesetz in Deutschland Diese Checkliste übersetzt die rechtlichen Anforderungen in konkrete technische Maßnahmen für Webplattformen.
Bin ich betroffen? Der schnelle Scope-Check
Ihr Unternehmen fällt unter NIS2, wenn es mindestens 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz hat und in einem der 18 regulierten Sektoren tätig ist – dazu gehören u.a. digitale Infrastruktur, IT-Dienstleistungen, Cloud Computing und SaaS-Plattformen. Secjur: NIS2-Richtlinie 2026 Auch Zulieferer kritischer Einrichtungen können indirekt betroffen sein, da NIS2 eine Lieferketten-Risikobewertung vorschreibt.
Die 10 Pflichtmaßnahmen nach Artikel 21 – technisch übersetzt
1. Risikoanalyse und Informationssicherheit
- Asset-Inventar aller Systeme, Datenbanken und Schnittstellen erstellen
- Formales Threat Modeling für kritische Anwendungspfade durchführen
- Risikobewertung dokumentieren und mindestens jährlich aktualisieren
- Informationssicherheitsrichtlinie von der Geschäftsleitung genehmigen lassen
2. Incident Response und Meldepflichten
- SIEM-System implementieren (z.B. Grafana Loki + Prometheus Alertmanager)
- Incident-Response-Plan mit klaren Eskalationsstufen dokumentieren
- BSI-Meldekette einrichten: Frühwarnung innerhalb von 24 Stunden, detaillierter Bericht (Folgemeldung) innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats nach der Folgemeldung NIS2-Richtlinie: Artikel 23, Meldepflichten
- Regelmäßige Incident-Response-Übungen (Tabletop Exercises) durchführen
3. Business Continuity und Krisenmanagement
- RTO (Recovery Time Objective) und RPO (Recovery Point Objective) für alle kritischen Systeme definieren
- Automatisierte Backup-Strategie mit verschlüsselten Off-Site-Backups
- Disaster-Recovery-Runbooks erstellen und mindestens halbjährlich testen
- Redundante Infrastruktur für geschäftskritische Dienste
4. Lieferkettensicherheit
- Vendor-Assessment für alle Drittanbieter und Auftragsverarbeiter
- CLOUD Act-Prüfung: Unterliegt Ihr Cloud-Anbieter US-Jurisdiktion? Wire: CLOUD Act & EU Data Sovereignty
- Auftragsverarbeitungsverträge (AVV) auf NIS2-Konformität prüfen
- Software Bill of Materials (SBOM) für alle eingesetzten Komponenten
5. Sichere Entwicklung und Wartung
- SAST (Static Application Security Testing) in die CI/CD-Pipeline integrieren
- DAST (Dynamic Application Security Testing) vor jedem Release
- Automatisiertes Dependency-Scanning (z.B. Dependabot, Snyk)
- Verpflichtendes Code Review durch mindestens einen weiteren Engineer
- Sichere Konfigurationsstandards für alle Umgebungen
6. Wirksamkeitsprüfung
- Penetrationstests mindestens jährlich, für kritische Systeme oder bei erhöhtem Risiko häufiger sowie nach wesentlichen Änderungen Sectricity: NIS2 Penetration Testing 2026
- Automatisierte Vulnerability-Scans wöchentlich oder monatlich
- Ergebnisse dokumentieren, Behebung tracken, Retests durchführen
- Nachweise für Auditoren aufbewahren (nicht nur Berichte, sondern Behebungsnachweise)
7. Cyberhygiene und Schulungen
- Verpflichtende Security-Awareness-Schulungen für alle Mitarbeiter
- Regelmäßige Phishing-Simulationen (mindestens quartalsweise)
- Patch-Management-Prozess mit definierten SLAs (kritisch: 48h, hoch: 7 Tage)
- Geschäftsführung muss persönlich an Cybersecurity-Schulungen teilnehmen – Delegation an CISO ist nicht ausreichend Greenberg Traurig: NIS2 – Cybersecurity als Board-Level Issue
8. Kryptographie
- TLS 1.3 für alle externen und internen Verbindungen erzwingen
- Encryption at Rest für alle personenbezogenen und geschäftskritischen Daten
- Key-Management-Prozess mit regelmäßiger Schlüsselrotation
- Zertifikatsmanagement mit automatisierter Erneuerung (Let's Encrypt, cert-manager)
9. Zugriffskontrolle und Asset-Management
- RBAC (Role-Based Access Control) mit dokumentiertem Rollenkonzept
- Least-Privilege-Prinzip: Minimale Berechtigungen als Standard
- MFA-Pflicht für alle administrativen und Remote-Zugänge
- Regelmäßige Access Reviews (mindestens quartalsweise)
- Sofortige Deaktivierung bei Ausscheiden von Mitarbeitern
10. Sichere Kommunikation
- End-to-End-Verschlüsselung für interne Kommunikation mit sensiblen Daten
- Sichere Kanäle für Notfallkommunikation (auch bei Systemausfall)
- Verschlüsselte E-Mail für externe Kommunikation mit Partnern
- Dokumentierte Richtlinie für Kommunikationswege nach Datenklassifizierung
Persönliche Haftung der Geschäftsführung
Die Haftung kann vertraglich nicht ausgeschlossen werden. Cybersecurity-Schulungen für die Geschäftsführung sind Pflicht und müssen alle drei Jahre aufgefrischt werden.
Das besondere Risiko bei vibe-codierten Plattformen
Plattformen, die mit KI-Tools wie Cursor, Lovable oder v0 generiert wurden, scheitern regelmäßig an den Maßnahmen 2, 5, 6 und 9 – Incident Response, sicherer Entwicklung, Wirksamkeitsprüfung und Zugriffskontrolle. Veracode hat nachgewiesen, dass KI-generierter Code in 45% der Fälle Sicherheitslücken enthält. Veracode: GenAI Code Security Report 2025 Konkret fehlen bei vibe-codierten Plattformen regelmäßig:
- Incident Response fällt aus: Ohne Logging und Alerting bleibt ein Angriff unbemerkt, die 24-Stunden-Meldefrist ist faktisch unerfüllbar
- Keine Zugriffskontrolle: Fehlende oder unvollständige Authentifizierung und Autorisierung
- Tests fehlen komplett: Weder Unit- noch Security-Tests laufen in der Pipeline, Regressionen gehen ungeprüft live
- Hardcoded Secrets: rund 40% mehr exponierte API-Keys in Repositories mit KI-Assistenz (6,4% vs. 4,6%) GitGuardian: GitHub Copilot und das Risiko geleakter Secrets
- Kein Dependency-Management: Veraltete und verwundbare Abhängigkeiten
Wer eine solche Plattform unter NIS2 betreibt, riskiert bis zu 10 Mio. EUR Bußgeld und – als Geschäftsführer – die persönliche Haftung nach § 38 BSIG. Lücken dieser Art fallen in einem Penetrationstest binnen Stunden auf.
Im kostenlosen Erstgespräch klären wir die NIS2-Relevanz Ihrer Plattform; die Analyse identifiziert anschließend die kritischsten Lücken. Die vollständige Härtung liefern wir im Engagement für €6.000 pro Monat über 6 Monate (€36.000 gesamt). Das Ergebnis ist eine lauffähige App auf EU-souveräner Infrastruktur samt audit-fester Dokumentation – kein Gutachten, das in der Schublade verschwindet.
Häufig gestellte Fragen
Was sind die 10 NIS2-Pflichtmaßnahmen?
Wie schnell muss ich einen Sicherheitsvorfall melden?
Haftet die Geschäftsführung persönlich?
Sind vibe-codierte Plattformen NIS2-konform?
Wie oft muss ich Penetrationstests durchführen?
Was kostet NIS2-Compliance für eine Webplattform?
Quellen
- OpenKRITIS: NIS2-Umsetzungsgesetz in Deutschland
- Secjur: NIS2-Richtlinie 2026 – Was Unternehmen wissen müssen
- ADVISORI: NIS2 Durchsetzung 2026 – BSI prüft aktiv
- NIS2-Richtlinie: Artikel 23 – Meldepflichten
- Wire: CLOUD Act & EU Data Sovereignty
- Sectricity: NIS2 Penetration Testing Checklist 2026
- Greenberg Traurig: NIS2 – Cybersecurity als Board-Level Issue
- Secjur: NIS2 Haftung Geschäftsführer – §38 Pflichten 2026
- ING-ISM: NIS2 Bußgelder und persönliche Haftung
- Veracode: GenAI Code Security Report 2025
- GitGuardian: GitHub Copilot und das Risiko geleakter Secrets
- Sunbytes: NIS2 Article 21 Requirements Explained
- SecurityToday: NIS2-Registrierungspflicht Praxis-Checkliste