NIS2 Artikel 21 Evidence Package: Praxisleitfaden für vCISOs
Artikel 21(2) NIS2 nennt zehn Kategorien von Risikomanagement-Maßnahmen. Die Richtlinie selbst sagt wenig darüber, was als Nachweis zählt; die nationale Aufsichtspraxis füllt diese Lücke schnell. Dieser Leitfaden geht jede Maßnahme (a–j) durch, ordnet jeder den passenden Pentest-Nachweis zu und markiert, was nationale CSIRTs ausdrücklich akzeptieren und was Sie aus anderen Quellen belegen müssen.
Warum die Nachweisqualität wichtiger ist als der Richtlinientext
NIS2 (Richtlinie (EU) 2022/2555) ist am 17. Januar 2025 in Kraft getreten. Die nationale Umsetzung war bis zum 17. Oktober 2024 fällig: Die meisten Mitgliedstaaten haben fristgerecht geliefert, einige schließen noch regionale Lücken. 16 Monate später ist die Durchsetzungsrealität über die nationalen CSIRTs hinweg konsistent:
- Artikel 21(2) verlangt „angemessene und verhältnismäßige" Risikomanagement-Maßnahmen. Der Wortlaut ist bewusst weit gefasst, Auditoren füllen ihn mit konkreten Erwartungen.
- Diese Erwartungen sind nicht willkürlich. Sie bauen auf bestehenden nationalen Rahmenwerken auf (BSI IT-Grundschutz in Deutschland, ANSSI-Leitlinien in Frankreich, NIST in Italien und Spanien).
- Einreichungen, die mit schwachen Nachweisen bluffen oder Lücken überdecken, fallen auf. CSIRTs sehen Hunderte Einreichungen pro Quartal und erkennen Textbausteine und schwache Beweisketten sofort.
- Pentest-Berichte sind das mit Abstand häufigste Nachweisartefakt für die technischen Maßnahmen (Art. 21(2)(d), (e), (f), (h), teilweise (i), (j)). Die übrigen Maßnahmen (a, b, c, g) erfordern Nachweise zu Richtlinien und Prozessen aus anderen Quellen.
Wer in den Anwendungsbereich fällt
NIS2 erweitert den Perimeter von NIS1 erheblich. Zwei Kategorien von Einrichtungen:
- Wesentliche Einrichtungen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Weltraum. Nur große Einrichtungen (≥250 Beschäftigte oder ≥50 Mio. € Umsatz), sofern nicht anders bestimmt.
- Wichtige Einrichtungen: Post- und Kurierdienste, Abfallwirtschaft, Herstellung von Chemikalien, Lebensmitteln und Medizinprodukten, digitale Anbieter, Forschungseinrichtungen. Mittlere Einrichtungen (≥50 Beschäftigte oder ≥10 Mio. € Umsatz) und große.
Die Abgrenzung DORA vs. NIS2: Finanzunternehmen fallen unter DORA (lex specialis) UND NIS2 (lex generalis). Tests nach DORA Artikel 24 erfüllen NIS2 Artikel 21(2)(e), also gleicher Nachweis, anderes Einreichungsportal.
Die zehn Maßnahmen nach Artikel 21(2), auf Pentest-Nachweise abgebildet
Art. 21(2)(a): Richtlinien für Risikoanalyse und Sicherheit von Informationssystemen
Pentest-Abdeckung: indirekt. Der Pentest speist die Risikoanalyse-Richtlinie, indem er ausnutzbare Zustände aufdeckt, die die Richtlinie hätte erfassen sollen. Die Befunde zeigen, ob die Richtlinie empirisch wirksam ist.
Was Auditoren erwarten: die schriftliche Risikoanalyse-Methodik der Einrichtung, den Pentest-Bericht als Nachweis, dass die Methodik angewandt wurde, und ein Gap-Closure-Protokoll, das zeigt, wie Befunde hoher Kritikalität die Baseline der Risikoanalyse aktualisiert haben.
Art. 21(2)(b): Behandlung von Sicherheitsvorfällen
Pentest-Abdeckung: indirekt. Jeder Befund dient zugleich als hypothetisches Vorfallszenario für die Tabletop-Übungen der Einrichtung. Die Erkennungsfähigkeit vor einem Vorfall wird empirisch daran gemessen, was der Pentest aufdeckt.
Was Auditoren erwarten: Incident-Response-Runbook, Aufzeichnungen der Tabletop-Übungen und den Nachweis, dass das Runbook die Vorfallkategorien abdeckt, die der Pentest identifiziert hat.
Art. 21(2)(c): Aufrechterhaltung des Betriebs, Backup, Wiederherstellung, Krisenmanagement
Pentest-Abdeckung: indirekt. Verfügbarkeitsrelevante Befunde (DoS, Ransomware-Vorstufen, exponierte Admin-Schnittstellen) fließen in Umfang und Tabletop-Abdeckung von BC/DR ein.
Was Auditoren erwarten: BC/DR-Plan, Aufzeichnung der letzten Übung und die auf verfügbarkeitsrelevante Befunde gefilterte Asset-Liste des Pentests als Input für den nächsten BC/DR-Review-Zyklus.
Art. 21(2)(d): Sicherheit der Lieferkette
Pentest-Abdeckung: direkt über Drittkomponenten. Befunde, die konkreten Open-Source-Abhängigkeiten, SaaS-Integrationen, Lieferanten-APIs und Abhängigkeits-CVEs zugeordnet sind, werden dem jeweiligen Lieferanten nach den Pflichten zum Lieferantenregister aus Artikel 28 zugewiesen.
Was Auditoren erwarten: Lieferantenregister, Nachweise zur Sicherheitsprüfung je Lieferant und die Liste der Drittkomponenten-Befunde aus dem Pentest, konkreten Lieferanten zugeordnet, mit Nachverfolgung des Disclosure-Status.
Art. 21(2)(e): Sicherheit bei Erwerb, Entwicklung und Wartung einschließlich Schwachstellenbehandlung
Pentest-Abdeckung: direkt. Das kanonische Nachweisartefakt für Art. 21(2)(e). Jeder Befund kommt mit CVSS, Beweisartefakt, betroffenem Asset, Behebungskette und Retest-Ergebnis.
Was Auditoren erwarten: den Pentest-Bericht direkt. Der SQUR-Bericht ist genau für diesen Abschnitt gebaut.
Art. 21(2)(f): Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
Pentest-Abdeckung: direkt. Der Pentest IST die Bewertung. Frequenz, Umfangsabdeckung und Befund-Trend über die Zeit belegen die Kadenz der Wirksamkeitsbewertung der Einrichtung.
Was Auditoren erwarten: die Historie der Pentest-Beauftragungen (die die Kadenz zeigt: quartalsweise, halbjährlich, mindestens jährlich) und eine Trendkurve, ob die Zahl der Befunde hoher Kritikalität über die Zeit sinkt.
Art. 21(2)(g): Grundlegende Cyberhygiene und Cybersicherheitsschulungen
Pentest-Abdeckung: außerhalb des Anwendungsbereichs. Pentest-Daten liefern keinen Schulungsnachweis. Das SQUR NIS2 Evidence Package weist dies ausdrücklich aus, damit der Berater es nicht überspielt.
Was Auditoren erwarten: Berichte aus Phishing-Simulationen (KnowBe4, Hoxhunt usw.), Nachweise über abgeschlossene Schulungen und die Teilnahmeliste der Tabletop-Übungen. Der Pentest-Bericht sollte hier NICHT zitiert werden.
Art. 21(2)(h): Richtlinien und Verfahren für Kryptografie und Verschlüsselung
Pentest-Abdeckung: direkt. Befunde mit dem Tag „Kryptografie" oder „Transportsicherheit" (schwaches TLS, veraltete Cipher, fehlendes HSTS, fehlerhafter Zertifikatsumgang, schwaches Passwort-Hashing) belegen die kryptografische Aufstellung direkt.
Was Auditoren erwarten: Richtlinie für kryptografische Kontrollen und die Kryptografie-Befunde des Pentests als empirischen Nachweis der Wirksamkeit der Richtlinie.
Art. 21(2)(i): Personalsicherheit, Zugriffskontrolle und Asset-Management
Pentest-Abdeckung: teilweise. Zugriffskontroll-Befunde (Standardzugangsdaten, schwache Passwörter, exponierte Admin-Schnittstellen, fehlende Autorisierungsprüfungen) belegen die Angemessenheit der Zugriffskontrolle direkt. Asset-Management ist teilweise abgedeckt (nur Discovery im Geltungsbereich). Personalsicherheit liegt außerhalb des Anwendungsbereichs.
Was Auditoren erwarten: Zugriffskontroll-Richtlinie, die Zugriffskontroll-Befunde des Pentests, CMDB bzw. Asset-Register, Personalsicherheits-Richtlinie und Nachweise zum Offboarding-Verfahren (aus anderen Quellen).
Art. 21(2)(j): MFA und kontinuierliche Authentifizierung, gesicherte Sprach-, Video-, Text- und Notfallkommunikation
Pentest-Abdeckung: teilweise. Authentifizierungs-Endpunkte, die ohne erzwungene MFA entdeckt werden, belegen Lücken nach Art. 21(2)(j) direkt. Der Bereich gesicherte Kommunikation (Sprache, Video, Text, Notfall) liegt in der Regel außerhalb des Geltungsbereichs, sofern nicht ausdrücklich getestet.
Was Auditoren erwarten: MFA-Durchsetzungs-Richtlinie, die Authentifizierungs-Befunde des Pentests (besonders Endpunkte ohne erzwungene MFA) und Nachweise zur gesicherten Kommunikation aus IT-Aufzeichnungen.
Das SQUR NIS2 Evidence Package: was es abdeckt, was nicht
Das SQUR-Partnerprogramm liefert ein co-brandbares NIS2-Artikel-21-Evidence-Package als Deliverable. Das Paket ergänzt einen SQUR-Pentest-Bericht um eine abschnittsweise Erläuterung, die vorab auf Art. 21(2)(a–j) abgebildet ist. Abdeckung im Überblick:
- Direkt (d), (e), (f), (h): Der Pentest IST der Nachweis, direkt einreichbar.
- Teilweise (i), (j): Einige Dimensionen abgedeckt, mit CMDB bzw. IT-Aufzeichnungen ergänzen.
- Indirekt (a), (b), (c): Der Pentest speist die Richtlinie, gemeinsam mit dem Richtliniendokument zitieren.
- Außerhalb des Anwendungsbereichs (g): Ausdrücklich ausgewiesen, damit der Berater es nicht überspielt.
Zeitersparnis im Berater-Workflow: 8–12 Stunden pro Kundenmandat. Quelle: Strategie-Notizen zum Ambassador-Programm vom 30.03.2026, validiert am typischen NIS2-Einreichungsumfang eines europäischen KMU.
Erwartungen der nationalen CSIRTs (nationale Unterschiede)
- BaFin (Deutschland, Finanzsektor) und BSI (Deutschland, allgemein): lesen Art. 21(2) durch die Brille von MaRisk und IT-Grundschutz. Die geschlossene Beweiskette (Identifizierung, Bewertung, Plan, Behebung, Retest) ist der häufigste Schwachpunkt.
- AMF (Frankreich) und ANSSI (Frankreich, allgemein): Leitfäden betonen die Lieferanten-Zuordnung im Register nach Artikel 28(3). Drittkomponenten-Befunde müssen konkreten Lieferanten zugeordnet werden.
- AFM (Niederlande): Fokusverschiebung hin zum Konzentrationsrisiko bei Cloud-Anbietern. Multi-Cloud-Architekturen mit Failover in nur einer Region geraten unter Prüfung.
- Banca d'Italia und CSIRT Italia: für viele Teilsektoren noch in der Scoping-Phase; strengere Durchsetzung ist für Ende 2026 zu erwarten.
- CSSF (Luxemburg): überarbeitetes TLPT-Scoping-Memo für Fondsverwaltungs-Einrichtungen; die Einstufung der Einrichtungen ist im Fluss.
Der Boden des Richtlinientexts gilt einheitlich in allen Mitgliedstaaten; die Durchsetzungspraxis variiert. Einreichungen sollten sich, wo verfügbar, an der veröffentlichten Leitlinie des zuständigen nationalen CSIRT orientieren.
Kostenloser Angriffsflächen-Scan, dann SQUR-Pentest für 1.995 €, dann NIS2 Evidence Package
15-Punkte-Scan Ihrer Angriffsfläche in unter 60 Sekunden, ohne Anmeldung. Als wesentliche oder wichtige Einrichtung nach NIS2 erhalten Sie mit dem SQUR-Pentest für 1.995 € einen Bericht, der direkt als Nachweis für Art. 21(2)(e) taugt, und das Evidence Package ordnet jeden Befund der passenden Maßnahme nach 21(2) zu.
Kostenlosen Angriffsflächen-Scan starten → 15-Min-Beratung buchen