Was 'verhältnismäßig' in Art. 21(1) NIS 2 wirklich heißt
Das nützlichste Wort in NIS 2 ist 'verhältnismäßig'. Es trennt eine Umsetzung, die ein 60-Personen-Mittelständler dauerhaft tragen kann, von einer Audit-Show, die keine Geschäftsführung freigibt.
Warum Verhältnismäßigkeit tragend ist
Die meisten Teams nehmen Art. 21 NIS 2 als Checkliste der zehn Cybersicherheitsmaßnahmen wahr. Das steht so nicht in der Richtlinie. Sie verlangt geeignete und verhältnismäßige Maßnahmen, und Art. 21(1) nennt sechs Faktoren, die bestimmen, was verhältnismäßig in Ihrem konkreten Fall heißt.
Das ist in zwei Richtungen relevant. Nach oben: ein 80-Personen-Stadtwerk muss nicht den GRC-Stack einer 5000-Personen-Bank fahren. Nach unten: Sie müssen aufschreiben, warum Ihr Niveau ausreicht. Verhältnismäßigkeit ist kein Schlupfloch, sondern eine dokumentierte Entscheidung.
Erstanwender:innen übersehen das oft, weil das Wort nach Relativierung klingt. Es ist das Gegenteil. Verhältnismäßigkeit ist der einzige rechtliche Anker, NIS 2 an ein Mittelstandsbudget anzupassen, und das einzige belastbare Argument gegenüber einem Prüfer, der mehr verlangt.
Art. 21(1) NIS 2 (operativ)
Die Mitgliedstaaten sorgen dafür, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, und um die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste zu verhindern oder gering zu halten.
Im selben Absatz werden sechs Faktoren genannt, die die Verhältnismäßigkeit bestimmen: das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Wahrscheinlichkeit und Schwere von Vorfällen einschließlich gesellschaftlicher und wirtschaftlicher Auswirkungen, der Stand der Technik und die Kosten der Umsetzung. Alle sechs sind Eingangsgrößen, keiner ist optional.
Erwägungsgrund 79 NIS 2
Die Cybersicherheitsrisikomanagementmaßnahmen sollten dem Ausmaß der Risikoexposition der betreffenden Einrichtung und den gesellschaftlichen und wirtschaftlichen Auswirkungen eines Vorfalls angemessen sein.
Erwägungsgrund 79 ist der Auslegungsrahmen. Er sagt Gerichten und Prüfern, dass eine kleinere Einrichtung mit geringerem grenzüberschreitenden Footprint nicht den Standard eines pan-europäischen Betreibers tragen muss.
CIR 2024/2690, Art. 1
Diese Verordnung legt die technischen und methodischen Anforderungen an die in Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen für die im Anhang aufgeführten Einrichtungen fest.
Die Durchführungsverordnung quantifiziert nur für eine schmale Gruppe digitaler Anbieter (DNS, TLD, Cloud, Rechenzentrum, CDN, MSP, MSSP, Marktplatz, Suchmaschine, soziale Plattform, Vertrauensdienste). Alle anderen wenden Verhältnismäßigkeit ohne diese Zahlen an.
Ausmaß der Risikoexposition
Wie groß ist die tatsächliche Angriffsfläche? Ein Trinkwasserversorger mit reinem SCADA-Segment steht anders da als ein Krankenhaus mit Patientendaten im offenen Netz.
Größe der Einrichtung
Beschäftigte, Umsatz, Marktreichweite. Die Richtlinie erwartet von 60 und 6000 Beschäftigten unterschiedliche Maßnahmen. Beide können konform sein.
Wahrscheinlichkeit und Schwere von Vorfällen
Historische Vorfallsrate, Interesse von Angreifern am Sektor, Schadenshöhe im Eintrittsfall. Ein Pharmahersteller hat andere Quoten als ein Logistikdienstleister.
Gesellschaftliche und wirtschaftliche Auswirkungen
Wer ist geschädigt, wenn Sie ausfallen. Ein Stromnetzbetreiber hat höhere Schadensdichte je Ausfall als ein B2B-SaaS-Anbieter. Dieser Faktor zieht auch in kleinen Einrichtungen Maßnahmen nach oben.
Stand der Technik
Was würde ein vernünftiger Peer aktuell einsetzen. MFA für administrative Zugänge ist 2026 Stand der Technik, SHA-1 für Passwörter nicht.
Kosten der Umsetzung
Ausdrücklich in Art. 21(1) benannt. Sie dürfen eine Maßnahme nicht weglassen, weil sie teuer ist, aber Sie dürfen den günstigeren Weg wählen, wenn er das Sicherheitsziel erreicht.
Stadtwerk, 80 Beschäftigte, Energieverteilung
Anhang-I-Sektor, fällt unabhängig von der Größe in den Anwendungsbereich, wenn essenzielle Dienste erbracht werden. Verhältnismäßiger Stack: MFA für Admin- und OT-Zugänge, segmentiertes OT-Netz, schriftliche Lieferantenklauseln, jährliche Vorfallsübung, dokumentiertes Risikoregister. Kein SOC, kein SIEM-as-a-Service. Belastbar, weil die Exposition sektoral ist, der Personalstamm aber klein.
Krankenhaus, 200 Beschäftigte, regionale Klinik
Anhang-I-Sektor Gesundheit. Verhältnismäßiger Stack ergänzt: Verschlüsselung von Patientendaten at rest, Lieferantenaudit für klinische IT-Anbieter, 24/7 Bereitschaft für Vorfallsantwort, formale Klassifikationsrichtlinie. Schwerer als das Stadtwerk, weil die gesellschaftliche Schadenshöhe pro Ausfall höher und die Angriffsfläche breiter ist.
Schriftliche Verhältnismäßigkeitsanalyse
Gehen Sie die sechs Faktoren durch, beziehen Sie zu jedem Position, begründen Sie, warum die resultierende Maßnahmentiefe ausreicht. Eine Seite reicht für 60 Personen.
Kosten-Nutzen-Notiz je weggelassenem Schritt
Tut ein Peer X und Sie tun X nicht, dokumentieren Sie warum. Stand der Technik plus Kosten ist ein zulässiger Grund. Schweigen nicht.
Jährlicher Überprüfungslauf
Verhältnismäßigkeitsentscheidungen altern. Bedrohungslage verschiebt sich, Ihre Größe ändert sich, Peer-Praxis verschiebt sich. Mindestens einmal jährlich neu positionieren.
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 21(1) und Erwägungsgrund 79, www.eur-lex.europa.eu
- Durchführungsverordnung (EU) 2024/2690 (CIR), Art. 1, www.eur-lex.europa.eu
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (nationale Umsetzung von Art. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (Juni 2025) zur Verhältnismäßigkeitsbewertung
Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, CIR 2024/2690, BSIG, ENISA TIG). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.