NIS2 Risikomanagement-Vorlage: 10 Pflicht-Maßnahmen Art. 21

Q: Welche Restrisiken sind akzeptabel?

Risiken im Bereich 'gering' und 'sehr gering' nach der Risikomatrix können in der Regel akzeptiert werden. 'Mittel' erfordert dokumentierte Risiko-Akzeptanz durch die GF. 'Hoch' und 'sehr hoch' sind unmittelbar zu behandeln. Akzeptanz immer schriftlich, mit Begründung und Wiedervorlage.

Veröffentlicht: 17. Mai 2026 · Letzte Aktualisierung: 17. Mai 2026· Kategorie: NIS2

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

Art. 21 NIS-2-Richtlinie ist das Herzstück der Regulierung. Er verlangt von wesentlichen und wichtigen Einrichtungen, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen". Das deutsche BSIG setzt diese Vorgabe in § 30 Abs. 2 nahezu wörtlich um. Dieser Leitfaden zeigt, wie eine Audit-feste Risikomanagement-Vorlage aufgebaut sein muss, welche Methodik anerkannt ist und welche Risiken pro Branche typisch sind.

TL;DR

Art. 21 NIS-2-Richtlinie verlangt einen risikobasierten, allgefahrenorientierten Ansatz
10 Mindestmaßnahmen-Bereiche (Buchst. a–j) sind die Pflicht-Bausteine
Methodik: BSI 200-3 (für KRITIS) oder ISO/IEC 27005 — beide anerkannt, Wahl dokumentieren
Vorlagen-Bausteine: Schutzbedarfsanalyse → Bedrohungsanalyse → Risikomatrix → Maßnahmen-Plan → Restrisiko-Akzeptanz
Aktualisierung: jährlich + anlassbezogen, GF-Freigabe dokumentiert

1. Was verlangt Art. 21 NIS-2-Richtlinie konkret?

Art. 21 Abs. 1 etabliert den Grundsatz: Maßnahmen sind „geeignet und verhältnismäßig" — gemessen an Risiko-Exposition, Unternehmensgröße, Umsetzungskosten und potenziellen Auswirkungen eines Vorfalls. Das ist ein Verhältnismäßigkeits-Test, kein Maximal-Standard.

Art. 21 Abs. 2 listet die 10 Mindestmaßnahmenbereiche, die in jeder Risikomanagement-Vorlage adressiert werden müssen. Die Liste ist abschließend für den Mindeststandard, aber nicht für Einrichtungen mit höherem Schutzbedarf (z. B. KRITIS in Energie, Finanz, Gesundheit).

Art. 21 Abs. 3 ergänzt die Pflicht zur Berücksichtigung von Schwachstellen einzelner Anbieter und Diensteanbieter sowie der Gesamtqualität der Produkte und Cybersicherheitspraktiken der Anbieter — die berüchtigte Supply-Chain-Klausel.

Art. 21 Abs. 4 verpflichtet zu „angemessenen Maßnahmen", wenn eine Einrichtung feststellt, dass die ergriffenen Maßnahmen die Anforderungen nicht erfüllen. Das ist die juristische Grundlage für den kontinuierlichen Verbesserungs-Zyklus (PDCA).

2. Die 10 Maßnahmen-Bereiche (a) bis (j) im Detail

a) Risikoanalyse und Konzepte für die Sicherheit von Informationssystemen

Der Kern: dokumentierte Methodik (BSI 200-3 oder ISO 27005), Schutzbedarfsklassen, Bedrohungs- und Schwachstellen-Analyse, Risikoregister mit Top-Risiken, Risikobehandlungsplan. Mindestens jährlich überprüft.

b) Bewältigung von Sicherheitsvorfällen

Incident-Response-Plan, Eskalationsmatrix, 24h/72h/1M-Meldevorlagen nach Art. 23 NIS-2-Richtlinie und § 32 BSIG. Krisenstab benannt und erreichbar (24/7 für wesentliche Einrichtungen). Details: NIS2 Meldewege und Vorfall-Dokumentation.

c) Aufrechterhaltung des Betriebs

Business-Impact-Analyse, BCM-Plan, Disaster-Recovery-Plan mit RTO/RPO, Backup-Konzept (3-2-1 + Immutable), Krisenmanagement, Notfallkommunikation. Details: Disaster Recovery Plan nach NIS2: Vorlage + RTO/RPO.

d) Sicherheit der Lieferkette

Lieferanten-Inventar mit Kritikalitäts-Klassifikation, Audit-Plan, AVV-Sicherheits-Anhänge, SLA-Bausteine, Exit-Strategie. Top-20-Lieferanten priorisieren. Vertiefung: NIS2 Lieferkette absichern.

e) Sicherheit in der Beschaffung, Entwicklung und Wartung

Beschaffungs-Richtlinie mit Security-Anforderungskatalog, Secure-SDLC-Leitlinie, SBOM-Pflicht bei Software-Beschaffung, regelmäßige Penetrationstests, Patch-Management-Standard.

f) Konzepte zur Wirksamkeitsbewertung

Internes Audit-Programm, Wirksamkeits-KPIs (z. B. Patch-Compliance-Rate, MFA-Coverage, Phishing-Klickrate), jährlicher Wirksamkeitsbericht, externe Auditierung mindestens alle 3 Jahre.

g) Grundlegende Verfahren der Cyber-Hygiene und Schulungen

Awareness-Konzept mit Quartals-Phishing-Tests, jährliche Pflicht-Schulung für alle Mitarbeitenden, Spezial-Schulung für GF nach § 38 Abs. 3 BSIG, Schulungsnachweise mit 10 Jahren Aufbewahrungsfrist.

h) Konzepte für Kryptographie und Verschlüsselung

Krypto-Konzept (welche Verfahren wo), Schlüsselmanagement-Prozess, TLS-Konfigurationsstandard (mindestens TLS 1.2, TLS 1.3 bevorzugt), Verschlüsselung at-rest für sensible Daten, Key-Rotation-Plan.

i) Personalsicherheit, Zugriffskontrolle und Asset-Management

Joiner/Mover/Leaver-Prozess, rollenbasiertes Berechtigungskonzept, regelmäßige Berechtigungs-Reviews (mindestens halbjährlich für privilegierte Konten), Asset-Inventar mit Klassifikation. Querverweis: Glossar: Asset Inventory.

j) Verwendung von Multi-Faktor-Authentifizierung

MFA für alle privilegierten Konten verpflichtend, ideal für alle Konten. FIDO2-Keys für administrative Zugriffe, Authenticator-Apps als Standard, SMS-2FA nur als Übergangslösung. Sichere Sprach-/Video-/Textkommunikation für Krisenstab.

3. Risikoanalyse-Methodik: BSI 200-3 vs. ISO/IEC 27005

Kriterium	BSI-Standard 200-3	ISO/IEC 27005:2022
Anwendungsbereich	Ergänzung zu IT-Grundschutz (200-1/2)	Ergänzung zu ISO 27001
Methodik	Elementare Gefährdungen + spezifische Bedrohungen	Asset-/Threat-/Vulnerability-basiert (frei wählbar)
Skalierung	3 Schutzbedarfsstufen (normal/hoch/sehr hoch)	Frei wählbar (typ. 3–5 Stufen)
Anerkannt von	BSI als Aufsichtsbehörde, KRITIS-Sektoren	International, alle EU-Aufsichtsbehörden
Empfohlen für	KRITIS, Behörden, deutsche Mittelstandsunternehmen	Konzerne mit internationaler Aufstellung, ISO 27001-Anwender

Beide Methoden sind NIS2-konform. Entscheidend ist die dokumentierte Wahl und konsistente Anwendung. Mischformen sind möglich, müssen aber begründet sein.

4. Vorlagen-Struktur: Schutzbedarfsanalyse → Bedrohungsanalyse → Risikomatrix → Maßnahmen-Plan

Schritt 1: Schutzbedarfsanalyse

Für jedes wesentliche Asset (System, Daten, Geschäftsprozess) wird der Schutzbedarf in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit klassifiziert. BSI verwendet 3 Stufen (normal/hoch/sehr hoch), ISO 27005 lässt mehr Flexibilität.

Ergebnis: Schutzbedarfs-Matrix mit pro Asset einer Klassifikation je Dimension.

Schritt 2: Bedrohungs- und Schwachstellen-Analyse

Für jedes Asset mit hohem oder sehr hohem Schutzbedarf werden Bedrohungen identifiziert (z. B. Ransomware, Insider, Lieferanten-Kompromittierung, Naturereignis) und vorhandene Schwachstellen erfasst (z. B. fehlende MFA, veraltete Software, unzureichende Backups).

Quellen: BSI-Lagebericht, ENISA Threat Landscape, sektor-spezifische CERT-Berichte, eigene Incident-History.

Schritt 3: Risikobewertung und Risikomatrix

Für jede Bedrohungs-Schwachstellen-Kombination wird die Eintrittswahrscheinlichkeit (5 Stufen) und potenzielle Schadenshöhe (5 Stufen, EUR-hinterlegt) bewertet. Das Produkt ergibt den Risikowert.

Visualisierung in 5x5-Risikomatrix mit farblicher Zonen-Kennzeichnung:

Grün (gering/sehr gering): Akzeptanz möglich
Gelb (mittel): dokumentierte Akzeptanz durch GF oder Behandlung
Rot (hoch/sehr hoch): Pflicht zur Behandlung

Schritt 4: Risikobehandlungsplan (Maßnahmen-Plan)

Pro identifiziertem Risiko: Behandlungsoption (vermindern / verlagern / akzeptieren / vermeiden), konkrete Maßnahmen, Verantwortliche, Frist, Restrisiko nach Umsetzung, Wirksamkeitsindikator.

Schritt 5: Restrisiko-Akzeptanz

Für jedes Risiko nach Maßnahmen-Umsetzung wird das Restrisiko dokumentiert. Akzeptable Restrisiken werden durch die GF schriftlich akzeptiert, mit Wiedervorlage-Termin.

5. Beispiel-Risiken pro Branche

IT-Dienstleister und SaaS-Anbieter

Supply-Chain-Angriff über kompromittierten Open-Source-Bibliothek (SolarWinds-Typ)
Account-Takeover über Phishing bei privilegierten Konten
Daten-Exfiltration durch Insider
Cloud-Konfigurationsfehler (S3-Bucket öffentlich)
Verfügbarkeitsverlust durch DDoS

Vertiefung: NIS2 für Cloud-Provider und SaaS-Anbieter.

Energieversorgung (Stadtwerke, Netzbetreiber)

Angriffe auf SCADA/Leitsysteme (BlackEnergy/Industroyer-Typ)
Manipulation von Smart-Meter-Kommunikation
Insider-Risiken bei Fernwartungszugängen
Lieferketten-Risiken (z. B. Hersteller von Schaltanlagen)
Physische Angriffe auf Umspannwerke kombiniert mit Cyber

Vertiefung: NIS2 in der Energieversorgung.

Gesundheitswesen (Krankenhäuser, Praxen)

Ransomware mit Verschlüsselung der Patientenakten und Bildgebung
Manipulation von Medizingeräten (BSI MedTech-Lage)
Daten-Exfiltration besonders schützenswerter Daten (Art. 9 DSGVO)
Ausfall von Telematikinfrastruktur
Phishing über fingierte KV-Anschreiben

Vertiefung: NIS2 im Gesundheitswesen.

Verkehr und Logistik

Angriffe auf Telematik- und Flottenmanagement-Systeme
Manipulation von Verkehrsleitsystemen
GPS-Spoofing bei Logistikketten
Lieferketten-Disruption durch Ransomware bei Sublieferanten
Insider-Angriffe in Hafenlogistik

Vertiefung: NIS2 Verkehr und Logistik 2026.

6. Wie oft aktualisieren?

Die Risikoanalyse ist ein lebendiges Dokument. Trigger für Aktualisierungen:

Jährlich: Standard-Review im Rahmen des ISMS-Management-Reviews (ISO 27001 Kap. 9.3)
Wesentliche IT-Änderungen: neue Systeme, Cloud-Migration, Architektur-Umbau
Neue Bedrohungen: BSI-Warnungen, neue Angriffstechniken, sektor-spezifische Lagebilder
Nach Vorfällen: Erkenntnisse aus Lessons-Learned in Risikoregister einarbeiten
Personalwechsel: insbesondere bei privilegierten Rollen, Krisenstab, GF
Regulatorische Änderungen: neue Aufsichts-Vorgaben, geänderte Schwellenwerte, sektor-spezifische Verordnungen
Lieferanten-Wechsel: insbesondere bei kritischen Diensten (Cloud, Outsourcing, ITK)

Jede Aktualisierung muss versioniert, GF-freigegeben und archiviert werden. Die Dokumenten-Lenkung ist Teil des ISMS und wird im Audit geprüft.

7. Nachweisführung im Audit

Bei einer Aufsichts-Prüfung durch das BSI nach § 31 BSIG werden folgende Nachweise erwartet:

Methoden-Dokument: Welche Methodik (BSI 200-3 / ISO 27005), warum gewählt, wer freigibt
Schutzbedarfsanalyse: aktuell, alle wesentlichen Assets erfasst
Bedrohungs-/Schwachstellen-Analyse: aktuelle Bedrohungsquellen referenziert
Risikoregister: versioniert, mit Bewertungen und Maßnahmen verknüpft
Maßnahmen-Plan: Status der Umsetzung pro Maßnahme
Restrisiko-Akzeptanz: GF-Unterschrift pro mittlerem Restrisiko
Management-Review-Protokoll: jährliche GF-Befassung dokumentiert
Wirksamkeits-KPIs: messbare Indikatoren, Trendentwicklung

Lücken in diesen Nachweisen sind die häufigsten Audit-Findings und führen zu Bußgeld-Risiken nach § 38 BSIG (bis 10 Mio. EUR / 2 % Konzern-Umsatz).

Häufig gestellte Fragen

Welche Methodik ist für die NIS2-Risikoanalyse vorgeschrieben?

Art. 21 NIS-2-Richtlinie verlangt einen risikobasierten Ansatz, schreibt aber keine konkrete Methodik vor. In Deutschland sind BSI 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz) und ISO/IEC 27005 die zwei anerkannten Standards. Für KRITIS empfiehlt das BSI explizit BSI 200-3.

Wie oft muss die Risikoanalyse aktualisiert werden?

Mindestens jährlich (Standard-Review-Zyklus nach ISO 27001 Kap. 9.3). Anlassbezogen bei: wesentlichen Änderungen der IT-Architektur, neuen Bedrohungen (BSI-Lagebericht), nach meldepflichtigen Vorfällen, bei Konzern-Umstrukturierungen oder neuen Lieferanten-Beziehungen.

Welche Bewertungsskala für Eintrittswahrscheinlichkeit und Schadenshöhe?

Üblich ist eine 5-Stufen-Skala (sehr gering / gering / mittel / hoch / sehr hoch) für beide Achsen. Die Schadenshöhe wird zusätzlich in EUR-Beträge übersetzt (z. B. <50k / 50–500k / 500k–5M / 5–50M / >50M). Wichtig: dokumentierte Begründung pro Stufe.

Reicht eine Excel-Tabelle als Risikoregister?

Ja, sofern Versionierung, Freigabe, Änderungsverlauf und Verknüpfung zu Maßnahmen gegeben sind. Für >100 Risiken oder >5 Beteiligte empfiehlt sich ein GRC-Tool. Das BSI prüft Inhalt und Aktualität, nicht das Format.

Muss die Geschäftsführung die Risikoanalyse genehmigen?

Ja. § 38 Abs. 2 BSIG verlangt, dass die GF die Risikomanagement-Maßnahmen „überwacht" und „umsetzt". In der Praxis bedeutet das: dokumentierte Kenntnisnahme und Freigabe des Risikoregisters mindestens jährlich, idealerweise in der Vorstands-/GF-Sitzung mit Protokoll.

Was unterscheidet Bedrohungs- und Schwachstellen-Analyse?

Bedrohungsanalyse identifiziert externe Auslöser (Ransomware, DDoS, Insider, Naturereignis). Schwachstellen-Analyse identifiziert interne Defizite (ungepatchte Systeme, fehlende MFA, schwache Backup-Prozesse). Das Risiko entsteht aus dem Treffen einer Bedrohung auf eine Schwachstelle bei einem schützenswerten Asset.

Welche Restrisiken sind akzeptabel?

Risiken im Bereich „gering" und „sehr gering" nach der Risikomatrix können in der Regel akzeptiert werden. „Mittel" erfordert dokumentierte Risiko-Akzeptanz durch die GF. „Hoch" und „sehr hoch" sind unmittelbar zu behandeln. Akzeptanz immer schriftlich, mit Begründung und Wiedervorlage.

Quellen

Stand: 17.05.2026

Werkzeuge & Selbsttests

NIS2 Readiness-Check Pruefen Sie Ihre NIS2-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. NIS2 Selbsttest Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit. NIS2 Pflichtmassnahmen-Audit 10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.