Art. 21(1) NIS 2 + CIR 2024/2690

Was 'verhältnismäßig' in Art. 21(1) NIS 2 wirklich heißt

Das nützlichste Wort in NIS 2 ist 'verhältnismäßig'. Es trennt eine Umsetzung, die ein 60-Personen-Mittelständler dauerhaft tragen kann, von einer Audit-Show, die keine Geschäftsführung freigibt.

Simon OrzelSimon Orzel·

Warum Verhältnismäßigkeit tragend ist

Die meisten Teams nehmen Art. 21 NIS 2 als Checkliste der zehn Cybersicherheitsmaßnahmen wahr. Das steht so nicht in der Richtlinie. Sie verlangt geeignete und verhältnismäßige Maßnahmen, und Art. 21(1) nennt sechs Faktoren, die bestimmen, was verhältnismäßig in Ihrem konkreten Fall heißt.

Das ist in zwei Richtungen relevant. Nach oben: ein 80-Personen-Stadtwerk muss nicht den GRC-Stack einer 5000-Personen-Bank fahren. Nach unten: Sie müssen aufschreiben, warum Ihr Niveau ausreicht. Verhältnismäßigkeit ist kein Schlupfloch, sondern eine dokumentierte Entscheidung.

Erstanwender:innen übersehen das oft, weil das Wort nach Relativierung klingt. Es ist das Gegenteil. Verhältnismäßigkeit ist der einzige rechtliche Anker, NIS 2 an ein Mittelstandsbudget anzupassen, und das einzige belastbare Argument gegenüber einem Prüfer, der mehr verlangt.

Rechtsgrundlage
Verhältnismäßigkeit ist in der operativen Norm und in dem Erwägungsgrund verankert, der die Anwendung erläutert.

Art. 21(1) NIS 2 (operativ)

Die Mitgliedstaaten sorgen dafür, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, und um die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste zu verhindern oder gering zu halten.

Im selben Absatz werden sechs Faktoren genannt, die die Verhältnismäßigkeit bestimmen: das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Wahrscheinlichkeit und Schwere von Vorfällen einschließlich gesellschaftlicher und wirtschaftlicher Auswirkungen, der Stand der Technik und die Kosten der Umsetzung. Alle sechs sind Eingangsgrößen, keiner ist optional.

Erwägungsgrund 79 NIS 2

Die Cybersicherheitsrisikomanagementmaßnahmen sollten dem Ausmaß der Risikoexposition der betreffenden Einrichtung und den gesellschaftlichen und wirtschaftlichen Auswirkungen eines Vorfalls angemessen sein.

Erwägungsgrund 79 ist der Auslegungsrahmen. Er sagt Gerichten und Prüfern, dass eine kleinere Einrichtung mit geringerem grenzüberschreitenden Footprint nicht den Standard eines pan-europäischen Betreibers tragen muss.

CIR 2024/2690, Art. 1

Diese Verordnung legt die technischen und methodischen Anforderungen an die in Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen für die im Anhang aufgeführten Einrichtungen fest.

Die Durchführungsverordnung quantifiziert nur für eine schmale Gruppe digitaler Anbieter (DNS, TLD, Cloud, Rechenzentrum, CDN, MSP, MSSP, Marktplatz, Suchmaschine, soziale Plattform, Vertrauensdienste). Alle anderen wenden Verhältnismäßigkeit ohne diese Zahlen an.

Die sechs Faktoren der Verhältnismäßigkeit
Alle sechs stehen direkt in Art. 21(1). Dokumentieren Sie eine Position zu jedem.

Ausmaß der Risikoexposition

Wie groß ist die tatsächliche Angriffsfläche? Ein Trinkwasserversorger mit reinem SCADA-Segment steht anders da als ein Krankenhaus mit Patientendaten im offenen Netz.

Größe der Einrichtung

Beschäftigte, Umsatz, Marktreichweite. Die Richtlinie erwartet von 60 und 6000 Beschäftigten unterschiedliche Maßnahmen. Beide können konform sein.

Wahrscheinlichkeit und Schwere von Vorfällen

Historische Vorfallsrate, Interesse von Angreifern am Sektor, Schadenshöhe im Eintrittsfall. Ein Pharmahersteller hat andere Quoten als ein Logistikdienstleister.

Gesellschaftliche und wirtschaftliche Auswirkungen

Wer ist geschädigt, wenn Sie ausfallen. Ein Stromnetzbetreiber hat höhere Schadensdichte je Ausfall als ein B2B-SaaS-Anbieter. Dieser Faktor zieht auch in kleinen Einrichtungen Maßnahmen nach oben.

Stand der Technik

Was würde ein vernünftiger Peer aktuell einsetzen. MFA für administrative Zugänge ist 2026 Stand der Technik, SHA-1 für Passwörter nicht.

Kosten der Umsetzung

Ausdrücklich in Art. 21(1) benannt. Sie dürfen eine Maßnahme nicht weglassen, weil sie teuer ist, aber Sie dürfen den günstigeren Weg wählen, wenn er das Sicherheitsziel erreicht.

Zwei Beispielfälle
Wie Verhältnismäßigkeit in zwei realtypischen Einrichtungen aussieht.

Stadtwerk, 80 Beschäftigte, Energieverteilung

Anhang-I-Sektor, fällt unabhängig von der Größe in den Anwendungsbereich, wenn essenzielle Dienste erbracht werden. Verhältnismäßiger Stack: MFA für Admin- und OT-Zugänge, segmentiertes OT-Netz, schriftliche Lieferantenklauseln, jährliche Vorfallsübung, dokumentiertes Risikoregister. Kein SOC, kein SIEM-as-a-Service. Belastbar, weil die Exposition sektoral ist, der Personalstamm aber klein.

Krankenhaus, 200 Beschäftigte, regionale Klinik

Anhang-I-Sektor Gesundheit. Verhältnismäßiger Stack ergänzt: Verschlüsselung von Patientendaten at rest, Lieferantenaudit für klinische IT-Anbieter, 24/7 Bereitschaft für Vorfallsantwort, formale Klassifikationsrichtlinie. Schwerer als das Stadtwerk, weil die gesellschaftliche Schadenshöhe pro Ausfall höher und die Angriffsfläche breiter ist.

Was Verhältnismäßigkeit verlangt
Drei Artefakte. Keines davon ist ein Softwaretool, alle drei sind Dokumente.

Schriftliche Verhältnismäßigkeitsanalyse

Gehen Sie die sechs Faktoren durch, beziehen Sie zu jedem Position, begründen Sie, warum die resultierende Maßnahmentiefe ausreicht. Eine Seite reicht für 60 Personen.

Kosten-Nutzen-Notiz je weggelassenem Schritt

Tut ein Peer X und Sie tun X nicht, dokumentieren Sie warum. Stand der Technik plus Kosten ist ein zulässiger Grund. Schweigen nicht.

Jährlicher Überprüfungslauf

Verhältnismäßigkeitsentscheidungen altern. Bedrohungslage verschiebt sich, Ihre Größe ändert sich, Peer-Praxis verschiebt sich. Mindestens einmal jährlich neu positionieren.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 21(1) und Erwägungsgrund 79, www.eur-lex.europa.eu
  • Durchführungsverordnung (EU) 2024/2690 (CIR), Art. 1, www.eur-lex.europa.eu
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (nationale Umsetzung von Art. 21), www.gesetze-im-internet.de
  • ENISA Technical Implementation Guidance v1.0 (Juni 2025) zur Verhältnismäßigkeitsbewertung

Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, CIR 2024/2690, BSIG, ENISA TIG). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.

Wollen Sie sehen, wie Verhältnismäßigkeit bei Ihnen aussieht?
Die kostenlose Anwendbarkeitsprüfung erzeugt eine schriftliche Einschätzung, die Sie an die Akte der Geschäftsführung anhängen können.