Risikomanagementmaßnahmen nach Artikel 21 NIS2: das CISO-Pflichtprogramm
Kernaussage
Artikel 21 der Richtlinie (EU) 2022/2555 (NIS2) verpflichtet betroffene Einrichtungen, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Drei Prinzipien rahmen diese Pflicht: Stand der Technik, ein gefahrenübergreifender Ansatz (all-hazards) und Verhältnismäßigkeit. In diesem Rahmen benennt Artikel 21 mindestens zehn Bereiche, die jede betroffene Einrichtung abdecken muss.
Für den CISO ist das kein neuer Themenkatalog, sondern die regulatorische Verankerung dessen, was ein funktionierendes Sicherheitsprogramm ohnehin leisten sollte. Neu ist der Verbindlichkeitsgrad: Nach Artikel 20 müssen die Leitungsorgane die Maßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. Artikel 21 ist Führungsaufgabe.
Problem in der Praxis
Viele Organisationen lesen die zehn Bereiche als Abhakliste und weisen je Punkt ein Dokument vor. So entsteht ein Pflichtkatalog auf Papier, der formal vollständig wirkt, im Betrieb aber nicht trägt. Spätestens wenn Aufsicht, Vorfall oder Kunde nach Wirksamkeit fragt, zeigt sich die Lücke zwischen Konzept und gelebter Praxis.
Zwei Verengungen sind typisch. Erstens der Blick allein auf Cyberangriffe: Der all-hazards-Ansatz schließt auch Ausfälle, menschliches Versagen, physische Ereignisse und Störungen in der Lieferkette ein. Zweitens die fehlende Wirksamkeitsbewertung, die Artikel 21 als eigenen Pflichtbereich ausdrücklich verlangt: Dieser Rückkanal fehlt oft, sodass niemand strukturiert prüft, ob eine Maßnahme das Risiko tatsächlich senkt.
CISO-Einordnung
Die zehn Bereiche aus Artikel 21 lassen sich aus Managementsicht in vier Blöcke ordnen, ohne ihren Pflichtcharakter zu relativieren:
- Steuerung: Konzepte für Risikoanalyse und Informationssicherheit sowie Konzepte zur Bewertung der Wirksamkeit der Maßnahmen.
- Betrieb unter Störung: Bewältigung von Sicherheitsvorfällen sowie Aufrechterhaltung des Betriebs mit Business Continuity, Backup-Management und Krisenmanagement.
- Schutz der Wertschöpfung: Sicherheit der Lieferkette (Beziehungen zu Anbietern und Dienstleistern) sowie Sicherheit bei Erwerb, Entwicklung und Wartung von IT- und Netzsystemen inklusive Schwachstellenmanagement und -offenlegung.
- Schutz von Menschen, Daten und Zugängen: grundlegende Cyberhygiene und Schulungen, Kryptografie und gegebenenfalls Verschlüsselung, Personalsicherheit, Zugriffskontrolle und Asset-Management sowie Multi-Faktor- beziehungsweise kontinuierliche Authentifizierung und gesicherte Sprach-, Video-, Text- und Notfallkommunikation.
Es sind Mindestbereiche, keine erschöpfende Maßnahmenliste und kein Reifegradmodell. Die Tiefe je Bereich ergibt sich aus der Verhältnismäßigkeit nach Risikoexposition und Größe, während der Stand der Technik die Maßnahmen mit Bedrohungslage und Schutzmöglichkeiten mitwachsen lässt. Die Wirksamkeitsbewertung trennt das belastbare Programm vom Papierprogramm: Sie macht aus einer Maßnahmensammlung einen Regelkreis aus Bewerten, Festlegen, Umsetzen, Prüfen und Nachsteuern.
Umsetzungsperspektive
NIS2 sagt, was erreicht werden muss, nicht im Detail, wie es technisch zu lösen ist. Das Wie liefert sinnvoll ein Informationssicherheits-Managementsystem (ISMS). Ein etabliertes ISMS nach ISO/IEC 27001 oder IT-Grundschutz bildet viele der zehn Bereiche bereits über bestehende Controls ab. Für den CISO heißt das: kein paralleler NIS2-Apparat, sondern die Zuordnung der Artikel-21-Bereiche auf das vorhandene Steuerungsmodell, jeweils mit Owner, gelebter Maßnahme und Nachweis. Dabei werden vor allem die Lücken sichtbar, etwa Bereiche mit Dokument, aber ohne laufenden Betrieb oder Wirksamkeitsnachweis.
Die Wirksamkeitsbewertung braucht eine feste Taktung und Indikatoren statt punktueller Momentaufnahmen, etwa aus internen Audits, Tests der Wiederanlauffähigkeit, Vorfallbearbeitung, Schwachstellen- und Patch-Kennzahlen sowie Awareness-Maßnahmen. Die Ergebnisse müssen in Managemententscheidungen münden; genau diese Entscheidungsspur billigen und überwachen die Leitungsorgane nach Artikel 20.
Bei verbindlichen Details gilt: Die Richtlinie (EU) 2022/2555 setzt den Rahmen, die nationale Umsetzung konkretisiert ihn. In Deutschland geschieht das über das NIS2-Umsetzungsgesetz, dessen Stand vor verbindlichen Festlegungen zu prüfen ist. Mitgliedstaaten können zudem die Nutzung bestimmter Normen oder zertifizierter Produkte verlangen.
Typische Fehler
- Die zehn Bereiche werden als Abhakliste behandelt statt als Mindestbereiche eines betriebenen Regelkreises.
- Der all-hazards-Ansatz wird auf Cyberangriffe verengt; Ausfälle, physische und Lieferketten-Risiken fehlen.
- Die Wirksamkeitsbewertung wird ausgelassen oder durch ein einmaliges Audit ersetzt.
- NIS2 wird als eigenes Projekt neben dem ISMS aufgebaut statt durch Zuordnung der Bereiche.
- Verhältnismäßigkeit wird als Argument für Untätigkeit missbraucht; nationale Schwellen werden als unionsweit fix angenommen.
Risiken und Trade-offs
Ein zu ehrgeiziges Programm überlastet Organisation und Budget und verliert an Akzeptanz, ohne dass das Risiko proportional sinkt. Ein zu schlankes übersieht Pflichtbereiche oder liefert keine Wirksamkeitsnachweise. Verhältnismäßigkeit ist hier Steuerungsinstrument, nicht Ausrede: Sie verlangt eine nachvollziehbare Begründung, warum eine Maßnahmentiefe zur Risikoexposition und Größe passt.
Ein zweiter Trade-off liegt zwischen Dokumentation und Betrieb: Konzepte sind notwendig, erzeugen aber allein keine Sicherheit. Ein dritter betrifft die Lieferkette als Pflichtbereich, deren Durchsetzbarkeit gegenüber Anbietern begrenzt bleibt und über Verträge, Anbieter-Risikobewertung und Eskalationswege abzuwägen ist.
Entscheidungspunkte
- Wie werden die zehn Bereiche auf das bestehende ISMS und auf konkrete Owner abgebildet?
- Welche Maßnahmentiefe ist je Bereich verhältnismäßig, und wie wird das begründet und dokumentiert?
- Mit welchen Indikatoren und in welcher Taktung wird Wirksamkeit bewertet und in Entscheidungen überführt?
- Welche nationalen Konkretisierungen sind verbindlich, bevor Schwellen und Fristen festgelegt werden?
Praktische Empfehlungen
- Ordnen Sie die zehn Bereiche dem vorhandenen ISMS zu statt eine separate NIS2-Struktur aufzubauen.
- Hinterlegen Sie je Bereich Owner, gelebte Maßnahme und Wirksamkeitsnachweis, nicht nur ein Konzeptdokument.
- Nehmen Sie den all-hazards-Anspruch ernst und beziehen Sie Ausfälle, physische und Lieferketten-Risiken ein.
- Etablieren Sie die Wirksamkeitsbewertung als feste Taktung mit Indikatoren und Managemententscheidungen.
- Begründen Sie Verhältnismäßigkeit anhand von Risikoexposition und Größe und prüfen Sie verbindliche Details gegen die nationale Umsetzung.
Relevante Normreferenzen
- Richtlinie (EU) 2022/2555 (NIS2), insbesondere Artikel 21 (Risikomanagementmaßnahmen) und Artikel 20 (Governance): rechtsverbindlicher Rahmen, EU-Recht, mit Quellenangabe zitierbar.
- Nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz: maßgeblich für verbindliche Details, Schwellen und Fristen.
- ISO/IEC 27001: Referenz für ein ISMS, über das viele Artikel-21-Bereiche abgebildet werden können.
- IT-Grundschutz (BSI): alternative methodische Referenz für die Umsetzung.
Häufige Fragen
Was fordert Artikel 21 NIS2?+
Geeignete, verhältnismäßige technische, operative und organisatorische Maßnahmen zur Risikobeherrschung nach Stand der Technik und all-hazards-Ansatz, mit mindestens zehn Pflichtbereichen.
Sind die zehn Bereiche eine vollständige Checkliste?+
Nein. Es sind Mindestbereiche; die Tiefe ergibt sich aus Verhältnismäßigkeit, Risikoexposition und Größe.
Was bedeutet die geforderte Wirksamkeitsbewertung?+
Einrichtungen müssen strukturiert prüfen, ob ihre Maßnahmen die Risiken tatsächlich senken, und die Ergebnisse in Entscheidungen überführen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen NIS-2 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nis2-003.
