NIS 2 Risikomanagement nach Artikel 21(2)(a)
NIS 2 sagt: Sie müssen Cyberrisiken strukturiert managen. Artikel 21(2)(a) ist die Pflicht. CIR (EU) 2024/2690 §2 sagt, wie. Und Ihre nationale Behörde (in Deutschland: das BSI) prüft Sie darauf.
Die kurze Version
Risikomanagement steht ganz oben auf der Liste der zehn Cybersicherheitspflichten aus Artikel 21(2). Wenn NIS 2 für Sie gilt, müssen Sie Risiken für Ihre Systeme erkennen, bewerten und etwas dagegen tun. Die Regel gilt EU-weit gleich.
CIR (EU) 2024/2690 macht es konkret. Anhang §2 sagt: Ihr Risikomanagementrahmen braucht drei Teile. Einen Rahmen aufsetzen. Prüfen, ob das Team ihn auch wirklich nutzt. Jemand Unabhängigen darauf schauen lassen. Das ist das Minimum. Für DNS, Cloud, Rechenzentren, MSP, Vertrauensdienste und weitere im Anhang gelistete Sektoren bindet die Verordnung direkt.
Deutschland setzt dieselbe Regel in §30(2)(1) BSIG in nationales Recht um. Der Wortlaut ist fast eins zu eins der EU-Text. Diese Seite geht durch Richtlinie, EU-Verordnung und deutsche Umsetzung in dieser Reihenfolge.
Artikel 21(2)(a) NIS-2-Richtlinie (2022/2555)
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme.
Das ist Punkt (a) auf der Liste der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss.
CIR (EU) 2024/2690, Anhang §2
Für die Zwecke von Artikel 21 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2555 führen die betreffenden Einrichtungen einen geeigneten Risikomanagementrahmen ein, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu ermitteln und anzugehen.
Weil das eine Verordnung ist (keine Richtlinie), gilt sie direkt als EU-Recht. Keine nationale Umsetzung nötig. Sie bindet DNS-Anbieter, TLD-Register, Cloud-Anbieter, Rechenzentren, Managed Service Provider und die übrigen im Anhang gelisteten Sektoren.
§30(2)(1) BSIG (Deutschland)
Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.
Deutschland übernimmt den EU-Text fast eins zu eins. Die kleine Abweichung („Sicherheit in der Informationstechnik“ statt „Sicherheit für Informationssysteme“) ist Wortwahl, nicht Inhalt.
Einen Risikomanagementrahmen aufsetzen
Schreiben Sie auf, wie Sie Risiken erkennen, wie Sie sie bewerten, was Sie damit tun und welche Risiken Sie bereit sind zu akzeptieren. Decken Sie jedes System ab, das für Ihr Geschäft zählt. Wer entscheidet, welche Risiken Sie akzeptieren, unterschreibt das namentlich.
Prüfen, ob das Team ihn auch nutzt
Schauen Sie in einem festen Rhythmus nach, ob Ihr Team auch das tut, was im Rahmen steht. Wenn nicht, schreiben Sie die Lücke auf und schließen Sie sie. Ein Rahmen, dem niemand folgt, ist kein Rahmen.
Ein unabhängiges Auge darauf werfen lassen
Ab und zu sollte jemand draufschauen, der den Rahmen nicht selbst führt. Unabhängig heißt strukturell getrennt, nicht zwingend extern. Die interne Revision reicht. Ein externer Berater reicht auch. Es geht um frische Augen.
Gefahrenübergreifender Ansatz (Artikel 21(2))
Cyberangriffe sind nicht alles. Brand, Hochwasser, Stromausfall, der Schlüsselmitarbeiter geht, ein Lieferant geht pleite — alles zählt. Wenn Ihr Risikoregister nur Malware und Phishing enthält, haben Sie den Maßstab nicht erfüllt.
Verhältnismäßigkeit (Artikel 21(1), Unterabsatz 2)
Sie passen das, was Sie tun, dem Risiko an, das Sie wirklich tragen. Der Text sagt: „dem bestehenden Risiko angemessen“. In die Bewertung fließen sechs Dinge ein: wie exponiert Sie sind, wie groß Sie sind, wie wahrscheinlich ein Vorfall ist, wie schlimm er wäre (auch gesellschaftlich und wirtschaftlich), der Stand der Technik und was die Umsetzung kostet. Ein Stadtwerk mit 60 Personen muss nicht ausgeben wie eine Bank.
BSI / §30 BSIG
Das BSI listet die zehn Maßnahmen aus Artikel 21(2) in seinen Infopaketen als „mindestens folgende zehn Maßnahmen (vgl. § 30 Absatz 2 BSIG)“. Die deutsche Umsetzung folgt dem Richtlinientext eng und verweist auf den IT-Grundschutz als den praktischen Weg zur Umsetzung.
ENISA Technical Implementation Guidance
Die ENISA, die EU-Cybersicherheitsagentur, veröffentlicht eine Technical Implementation Guidance (TIG). Sie nimmt den abstrakten CIR-Text und zeigt Ihnen, was Sie konkret tun. Sie mappt die Anforderungen außerdem auf etablierte Standards wie ISO/IEC 27001:2022 und NIST CSF 2.0, sodass bestehende Zertifikate Ihnen einen Vorsprung verschaffen.
Nationale Umsetzungsgesetze
Jeder Mitgliedstaat hat sein eigenes Umsetzungsgesetz (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Pflichten sind gleich, weil die Richtlinie einen EU-weiten Standard setzt. Unterschiedlich sind: Fristen, Meldewege, welche Behörde Sie ansprechen.
Wir haben eine Cyber-Versicherung, also sind wir abgedeckt.
Das BSI ist da deutlich: „Ein pauschaler Risikotransfer oder eine generelle Risikoakzeptanz ist daher ausgeschlossen.“ Versicherung ist etwas, was Sie oben drauf legen, nicht ein Ersatz für die Risikobehandlung. Und Sie können nicht einfach jedes Risiko, mit dem Sie sich nicht beschäftigen wollen, „akzeptieren“. Dieses Argument hält im Audit nicht.
Wir können die Risikoanalyse ohne Asset-Liste machen.
Können Sie nicht. CIR §2.1 funktioniert nicht ohne eine schriftliche Liste dessen, was Sie wirklich haben. Anwendungen, Systeme, Standorte, Daten, Lieferanten. Der IT-Grundschutz erlaubt, gleichartige Werte zu bündeln (45 Büro-Notebooks zählen als ein Eintrag mit Stückzahl), die Liste muss also nicht riesig sein. Aber sie muss existieren.
Wir entscheiden im Einzelfall, was wir akzeptieren.
Ein Prüfer muss die Kriterien sehen, die Sie vor dem Vorfall festgelegt haben, nicht danach. Legen Sie vorab fest: Ab welcher Schwelle akzeptieren Sie ein Risiko, ab welcher behandeln Sie es, ab welcher übertragen Sie es (z. B. über eine Versicherung). Diese Kriterien gehören in den Rahmen. Nicht in eine nachträgliche E-Mail.
Artikel 21(1) gibt Ihnen über die Verhältnismäßigkeitsklausel Spielraum: Das, was Sie tun, muss zu Ihrer Größe, Ihrer Risikoexposition und Ihren Kosten passen. Die Richtlinie selbst erwartet nicht, dass Sie am Tag eins alles in maximaler Tiefe machen.
Was wir Praktiker im deutschen Mittelstand machen sehen: erst eine Lückenanalyse, dann die zwölf bis fünfzehn dringendsten Maßnahmen im ersten Jahr, dann den Rest verteilt über die nächsten ein bis zwei Jahre. Das hält unter Artikel 21(1), solange die Phasierung dokumentiert ist, durch Ihr Risikobild begründet wird und vom Leitungsorgan namentlich freigegeben ist. Es hält nicht, wenn die Phasierung nicht dokumentiert ist oder wenn Sie die höchsten Risiken übersprungen haben.
Wir haben den §2-CIR-Rahmen als Modul in die Plattform gebaut. Sie erfassen Risiken zu Ihren Werten, bewerten Wahrscheinlichkeit und Auswirkung, leiten jedes Risiko in einen Behandlungsplan über und halten die Akzeptanzkriterien mit einer signierten Freigabe fest. Kein Excel-Stapel. Kein zweites Tool.
Die Überwachung nach §2.2 fällt aus der Nutzung der Plattform heraus: Sign-Offs, Aufgabenstatus, Audit-Trail. Sie führen kein separates Compliance-Log. Die unabhängige Überprüfung nach §2.3 kann intern laufen (ein Kollege, der nicht in der Kette steckt) oder extern (ein hinzugezogener Auditor). In beiden Fällen geben wir ihm die Lesesicht, die er braucht.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §1 und §2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI Infopakete „NIS 2 Pflichten“ — bsi.bund.de/dok/nis-2-infopakete
- ENISA Technical Implementation Guidance für CIR (EU) 2024/2690 (Stand: Mai 2026)