Die nationale Gesetzgebung zur NIS-2-EU-Verordnung wurde wieder aufgenommen. Das ist eine gute Nachricht. Für bestimmte Diensteanbieter wurde von der EU eine Durchführungsverordnung erlassen und ein Anhang dazu veröffentlicht, der die grundlegenden Anforderungsbereiche aus der NIS-2-Verordnung konkretisiert.
Wir haben uns – unabhängig von den genannten spezifischen Diensteanbietern – den Anhang der Durchführungsverordnung näher angeschaut. Denn die Branchen decken bereits ein recht breites Anwendungsfeld ab. Außerdem ist es bisher die einzige vorliegende Konkretisierung seitens der EU, eine nationale Konkretisierung durch das Bundesministerium des Innern gemäß dem aktuell vorliegenden Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Artikel 30, Abs. 5 liegt nicht vor.
Nationale Gesetzgebung und nationale Standards
Im aktuell vorliegenden NIS2UmsuCG erfährt der BSI-Grundschutz mit den BSI-Standards und dem IT-Grundschutz-Kompendium eine Stärkung. Gleichzeitig enthält der aktuell vorliegende Gesetzentwurf des NIS2UmsuCG den Satz: „Das Bundesamt wird den IT-Grundschutz bis zum 1. Januar 2026 modernisieren und fortentwickeln.“ Dieser deutlich optimistisch klingende Satz ist herausfordernd. Wer nähere Informationen dazu braucht, wie diese Entwicklung abläuft, darf gerne in unseren Artikel des Magazins „IT-Sicherheit“ reinschauen.
Vor diesem Hintergrund haben wir uns angeschaut, wie der konkretisierende Anhang zur Durchführungsverordnung mit dem bestehenden BSI-Grundschutz abgedeckt werden kann, also mit dem Stand der BSI-Standards und des IT-Grundschutz-Kompendiums in der Edition 2023.
Anhang zur Durchführungsverordnung und BSI-Grundschutz
Insgesamt zeigt sich, dass die Durchführungsverordnung in Aufbau und Inhalt folgenden Hintergrund berücksichtigt:
- Die Durchführungsverordnung selbst führt eine ganze Reihe von Gründen auf, die für die eigentlichen Artikel zur Behandlung von Sicherheitsvorfällen erwogen worden sind. Diese Gründe enthalten konkretere Themen bzw. Aspekte von Sicherheitsmaßnahmen, die im Anhang zur Durchführungsverordnung nicht mehr aufgegriffen werden. Dazu gehören z. B. Risiken durch Umweltemissionen und Umweltparameter (z. B. Überschwemmungen) sowie Risiken durch Brände und den daher geforderten Brandschutz.
- Im Anhang zur Durchführungsverordnung werden die Punkte der NIS-2-Verordnung selbst (EU-VO (EU) 2022/2555 Art. 21, Absatz 2) aufgegriffen. Einzelne Punkte werden dabei aufgeteilt, um darin enthaltene Teilaspekte zu trennen (z. B. „Konzept für die Sicherheit von Netz- und Informationssystemen“ und „Risikomanagement“).
- Die Punkte im Anhang der Durchführungsverordnung sind auf spezielle Dienstleistungen bzw. Diensteanbieter bezogen, wobei die Konkretisierung vornehmlich die Einordnung von Sicherheitsvorfällen betrifft.
- Die Durchführungsverordnung adressiert in Art und Inhalt auch allgemein die „technischen und methodischen Anforderungen der Risikomanagementmaßnahmen im Bereich der Cybersicherheit“.
Im Anhang der Durchführungsverordnung werden 13 Abschnitte behandelt, die jeweils in Unterpunkte und Teilaspekte untergliedert sind. Daraus ergeben sich 53 Abschnitte und damit verbundene Anforderungsaspekte auf der 2. Ebene. Teilweise sind diese nochmals in Detailauflistungen untergliedert, sodass für einzelne Punkte feingliedrige Anforderungen enthalten sind.
Im Vergleich zum BSI-Grundschutz (BSI-Standards inkl. IT-Grundschutz-Kompendium) hat sich in der Analyse der Anforderungen folgendes Bild ergeben:
- Für die überwiegende Anzahl der Anforderungen können Elemente aus den BSI-Standards, Bausteine des IT-Grundschutz-Kompendiums oder sogar einzelne Anforderungen aus den Grundschutz-Bausteinen zugeordnet werden.
- Die Zuordnung bzw. das sogenannte „Mapping“ zeigt, dass unterschiedliche Bausteine bzw. weitere Elemente aus den BSI-Standards zugeordnet werden. Es wird also klar, dass mit den Anforderungen aus der Durchführungsverordnung wiederum eine neue Sortierung von Aspekten und Elementen der Informationssicherheit vorgenommen wird.
- Verweise zum Standard ISO 27001:2022 und dem normativen Anhang desselben sind verfügbar und zeigen ein ähnliches Bild: Die Anforderungen können mit Controls aus dem normativen Anhang und mit Verweis auf die Normkapitel der ISO 27001 erfüllt werden.
- Die Einbeziehung oder Zuordnung auf Anteile aus dem BSI-Grundschutz zeigen, dass die Ableitung von Anforderungen aus dem Anhang der NIS2-Durchführungsverordnung sich über sehr gemischte Bereiche von ISMS-Standards verteilt. Entsprechend ist es sehr mühsam, dass eine neue Sortierung besteht, mit der bisherige Bemühungen hinterfragt werden. Da die Zuordnung nicht immer treffsicher oder abdeckend ist, entstehen in der Bewertung auch potentielle Lücken.
Gefahr der zu allgemeinen Anforderungsebene
Insgesamt zeigt die Zusammenstellung der Anforderungen aus dem Anhang der NIS-2-Durchführungsverordnung, dass zu einem großen Anteil Managementsystem-Anforderungen adressiert werden. In den Kriterienwerken ISO 27001 und BSI-Grundschutz durchaus bestehende Vorgaben für die System-Härtung und anwendungsbezogene Sicherheit sind nicht ausgeprägt.
Vor diesem Hintergrund besteht die Gefahr, dass eine zu enge Fokussierung auf die im Anhang zur Durchführungsverordnung aufgegriffenen Themenbereiche wichtige Teilbereiche für die Informationssicherheit ausklammert.
Konkreter gesprochen sind es folgende Bereiche des BSI-Grundschutzes, die wenig bzw. nicht spezifisch abgedeckt werden:
- Spezifische Vorgaben für Webanwendungen (CON.10, APP.3.1, APP.3.2)
- Anforderungen für den Geheimschutz (CON.11.1)
- Betriebliche Vorgaben (Administration, Systemmanagement, Netzmanagement bzw. OPS.1.1.1, OPS.1.1.2, OPS.1.1.7, NET.1.2)
- Technische Details (z. B. NTP, Cloud-Nutzung, Archivierung bzw. OPS.1.2.6, OPS.2.2, OPS.1.2.2)
- Anwendungsspezifische Anforderungen (APP.1.x bis APP.5.x)
- Systemspezifische Anforderungen (SYS.x)
- Spezifische Netzthemen und -anforderungen (NET.2.x, NET.3.x, NET.4.x)
- Differenzierte Betrachtung von physischen Infrastrukturelementen (INF.x)
Die Controls aus dem normativen Anhang der ISO 27001 sind – zumindest gemäß dieser Darstellung – deutlich besser abgedeckt. Nur wenige der ISO-27001-Annex-Controls wurden nicht den Abschnitten aus dem Anhang der Durchführungsverordnung zugewiesen. Dies resultiert allerdings in einer eher groben oder allgemeinen Zuordnung, die eine genauere Zuordnung von Risiken und Sicherheitsmaßnahmen an einigen Stellen schwierig macht.
NIS-2-Sachlage und Problemanzeige
Bezogen auf den Grundschutz entstehen Risikobereiche bzw. Gefährdungen, die dem eigentlichen Ziel der NIS-2-Verordnung über „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ entgegenstehen.
Die Gefahren, sich auf einen EU-regulierten Rahmen allein zu beziehen, bestehen in der unzureichenden Abdeckung von wesentlichen Risikobereichen und damit einhergehenden Gefährdungen. NIS-2, Durchführungsverordnung und deren Anhang sind nicht als Anforderungs- oder Umsetzungsrahmen gedacht. Vielmehr adressieren diese die Aufgabenstellung, grundlegende und in der Breite für den eigenen Informationsverbund hinreichende Sicherheitsmaßnahmen aufzugreifen, die auf einem umfassenden Risikomanagement aufbauen.
Damit wird auch klar: Ein Mapping von Texten der NIS-2 und daraus abgeleiteten weiteren Dokumenten kann allenfalls ein erster Schritt sein, um wesentliche Ziele aufzugreifen. Die Beschreibung von konkretisierenden Hinweisen entlang der Sortierung aus dem Anhang der NIS-2-Durchführungsverordnung liegt mit der „ENISA Technical Implementation Guidance“ vom Juni 2025 vor. Das ist ein weiteres Dokument, mit dem versucht wird, die auf höherem Abstraktionsniveau befindlichen Punkte der NIS-2-Vorgaben in praxistaugliche Umsetzungs-Checklisten zu überführen. Gesetzlich-regulative Vorgaben möglichst direkt in die Praxis und damit in die Umsetzung zu überführen, gelingt aber nur bedingt. Dennoch entspricht es dem in NIS-2-Artikel 25 formulierten Auftrag für die ENISA.
Die NIS2-Verordnung in Artikel 25 spricht zudem von „bestehenden Normen – einschließlich der nationalen Normen –, mit denen diese Bereiche [= Artikel 21, Abs. 1 und 2] abgedeckt werden“ können. Das ist zwar eine Grundlagen-Aussage, zeigt aber eine wichtige Richtung auf.
In der Praxis begegnen uns längst NIS-2-QuickCheck-Bewertungen, die wiederum andere Checklisten verwenden und darauf aufbauende Bewertungen erstellen.
Fazit
Entlang der organisationsbezogenen Aufstellung werden weiterhin die umfassenden Ansätze notwendig, die tatsächlich eine Hilfestellung für Risiken bieten. Diese bestehen in den einschlägigen Kriterienwerken, die sich bereits über sehr viele Jahre etabliert haben. Ein Mapping und ein Abgleich können hilfreich sein. Jegliche Sortierung und Mapping-Bemühungen entlasten die Organisationen und die verantwortlichen Personen nicht davon, die Umsetzung tatsächlich und systematisch vorzunehmen und letztlich über geeignete Nachweise belastbar aufzeigen zu können.
Der BSI-Grundschutz – obwohl in die Jahre gekommen und aktuell im „Reform-Loch“ steckend – bleibt weiterhin eine gute Basis, um die Umsetzung von Sicherheitsmaßnahmen auf sehr bewährte Art und sehr konkret zu unterstützen. Die im August 2025 laufende Konkretisierung für die Ausgestaltung des Grundschutz++ nimmt die bisherige Basis in deutlich schlankerer Form auf. Die Abdeckung wird zukünftig mit GS++ gelingen, auch wenn der durchaus geschätzte Detailgrad sich verringern wird.
Reto Lorenz
Sie haben Fragen zu NIS-2 oder benötigen Unterstützung bei der Umsetzung der Anforderungen? Sprechen Sie uns gerne an. Weitere Informationen rund um NIS-2 finden Sie auch in unserem Dienstleistungsportfolio.