Art. 21(2)(f) NIS 2 + CIR §7

NIS-2-Wirksamkeitsbewertung nach Artikel 21(2)(f)

Es reicht nicht, die Sicherheitsmaßnahmen aufzuschreiben. Artikel 21(2)(f) verlangt, dass Sie laufend prüfen, ob sie wirklich funktionieren. CIR §7 macht daraus konkrete Kennzahlen, Verantwortliche und einen Turnus.

Simon OrzelSimon Orzel·

Die kurze Version

Wirksamkeitsbewertung ist die Nachweisschleife. Sie haben ein Jahr lang Risikomanagement, Zugriffskontrolle, Kryptographie, Lieferantenprüfungen und den Rest aufgebaut. Artikel 21(2)(f) stellt die nächste Frage: funktioniert das alles auch? Ein dokumentierter Control, den niemand testet, ist nicht dasselbe wie ein wirkender Control.

CIR (EU) 2024/2690 §7 macht aus der abstrakten Pflicht einen PDCA-Prozess. Sie legen fest, was gemessen wird. Sie legen Methode und Turnus fest. Sie benennen Verantwortliche für die Messung und für die Auswertung. Sie überprüfen die Ergebnisse. Nach jedem erheblichen Sicherheitsvorfall aktualisieren Sie das Konzept.

Deutschland setzt dieselbe Regel in §30(2)(6) BSIG um. Die Formulierung folgt dem Richtlinientext nahezu wörtlich. Diese Seite geht der Reihe nach durch Richtlinie, EU-Durchführungsverordnung und deutsche Umsetzung.

Die Rechtsquelle
Drei Ebenen übereinander. Die Richtlinie (für jeden EU-Mitgliedstaat verbindlich). Die Durchführungsverordnung (unmittelbar geltendes EU-Recht für die im Anhang genannten Sektoren). Die nationale Umsetzung (in Deutschland: BSIG).

Artikel 21(2)(f) NIS-2-Richtlinie (2022/2555)

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit.

Punkt (f) auf der Liste der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Die Richtlinie schreibt weder Turnus noch Kennzahlen vor. Das überlässt sie CIR §7.

CIR (EU) 2024/2690, Anhang §7

Für die Zwecke von Artikel 21 Absatz 2 Buchstabe f der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept und Verfahren fest, setzen sie um und wenden sie an, um zu bewerten, ob die ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit wirksam umgesetzt und aufrechterhalten werden.

Unmittelbar geltendes EU-Recht für die im CIR-Anhang genannten Sektoren. §7 nennt die sechs Punkte, die Ihr Konzept abdecken muss (was, wie, wann, wer misst, wann ausgewertet wird, wer auswertet). Außerdem verlangt §7 eine Überprüfung in geplanten Abständen oder nach jedem erheblichen Sicherheitsvorfall.

§30(2)(6) BSIG (Deutschland)

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit.

Deutschland übernimmt den EU-Text nahezu wörtlich. Das BSI erwartet im Audit ein dokumentiertes Bewertungskonzept, keine spontan zusammengestellte Tabelle.

Die drei Bestandteile nach CIR §7
CIR 2024/2690 §7 läuft auf drei Fragen hinaus: Was wird gemessen, wie wird gemessen, wer ist verantwortlich. Die sechs Punkte aus §7.2 bilden genau diese drei Blöcke ab.
§7.2(a)

WAS gemessen wird

Benennen Sie die Risikomanagementmaßnahmen, die Sie überwachen. Verfahren und Controls zählen beide. Sie müssen nicht alles messen. Sie müssen eine Auswahl treffen, dokumentieren und an die Ergebnisse der Risikobeurteilung sowie an frühere erhebliche Vorfälle koppeln.

§7.2(b)+(c)

WIE und WANN gemessen wird

Für jede Maßnahme nennen Sie Überwachungs- und Messmethode, Auswertungsansatz und Turnus. Quartalskennzahlen plus jährlicher Tiefblick ist ein gängiger Schnitt. Die Methode muss valide Ergebnisse liefern, ein 'Bauchgefühl' reicht nicht.

§7.2(d)+(f)

WER verantwortlich ist

Zwei benannte Rollen. Eine Person verantwortet die Messung (Zahlen ziehen, Test ausführen, Log exportieren). Eine zweite Person verantwortet die Auswertung (Daten lesen, Wirksamkeit beurteilen, eskalieren). Im kleineren Mittelstand kann dieselbe Person beides machen, das Dokument muss sie aber namentlich nennen.

Zwei Regeln, die alles andere prägen
Zwei Auslegungsregeln liegen unter §7. Sie erklären, warum Wirksamkeitsbewertung nicht nur ein Kennzahlen-Dashboard-Projekt ist.

Wirksamkeit an das Risikoregister koppeln

CIR §7.2 schreibt, dass das Konzept die Ergebnisse der Risikobeurteilung und frühere erhebliche Vorfälle berücksichtigen muss. Freischwebende Kennzahlen reichen nicht. Wenn Sie Patch-Compliance messen, Ihre drei größten Risiken aber Lieferantenvorfälle, Phishing und OT-Exposition sind, gehen Ihre Kennzahlen am Punkt vorbei. Wählen Sie Kennzahlen, die genau die Maßnahmen testen, die Ihre größten Risiken abdecken.

Berichten an das Leitungsorgan

Artikel 20(1) NIS 2 verpflichtet das Leitungsorgan, die Risikomanagementmaßnahmen zu genehmigen und ihre Umsetzung zu überwachen. Was die Leitung nicht sieht, kann sie nicht überwachen. Die Wirksamkeitsdaten müssen ihr regelmäßig vorliegen. Quartalsweise ist der übliche Turnus. Das Format ist frei, solange es dokumentiert ist.

Wie nationale Aufsichten das in der Praxis handhaben
Die EU setzt die Regel. Jedes Land setzt sie um. Inhaltlich gleich, mechanisch unterschiedlich.
Deutschland

BSI / IT-Grundschutz DER.1

Das BSI führt die Wirksamkeitsbewertung als Punkt sechs der zehn Maßnahmen aus Artikel 21(2). Der IT-Grundschutz-Baustein DER.1 'Detektion sicherheitsrelevanter Ereignisse' deckt den operativen Überwachungsteil ab (Loganalyse, SIEM, Anomalieerkennung). DER.1 allein erfüllt §7 nicht, ist aber einer der Inputs für Ihr Bewertungskonzept.

EU-weit

ENISA Technical Implementation Guidance

Die ENISA TIG zur CIR (EU) 2024/2690 nennt die Nachweise, die Auditoren unter §7 erwarten: dokumentiertes Konzept, Kennzahlenliste mit Zielwerten und Istwerten, benannte Verantwortliche, Protokolle der Auswertungen, Maßnahmen aus der Analyse. ENISA mappt §7 außerdem auf ISO/IEC 27001:2022 Controls 9.1 (Überwachung) und 5.36 (Compliance-Überprüfung).

Andere Mitgliedstaaten

Nationale Umsetzungsgesetze

Jeder Mitgliedstaat hat ein eigenes Umsetzungsgesetz (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Pflicht ist überall gleich, weil die Richtlinie einen EU-weiten Standard setzt. Unterschiedlich: Meldewege, Auditzyklus, zuständige Sektoraufsicht im jeweiligen Land.

Drei Fallen, die wir ständig sehen
Drei Annahmen, die in fast jedem Audit-Vorbereitungsgespräch auftauchen. Alle drei erzeugen Lücken, die ein Auditor findet.

  • Wir machen ein Jahresaudit, das ist unsere Wirksamkeitsbewertung.

    Ein Audit ist eine Punkt-in-Zeit-Prüfung. CIR §7 verlangt laufende Überwachung und Messung plus periodische Auswertung. Das Audit ist ein Input, nicht die ganze Antwort. Wenn Ihr einziger Wirksamkeitsnachweis ein jährlicher Auditbericht ist, haben Sie kein §7-Konzept.

  • Wir haben ein SIEM, also ist die Überwachung erledigt.

    Ein SIEM ist eines von mehreren Werkzeugen, die in Ihr Bewertungskonzept einfließen. §7 fragt nicht 'haben Sie ein SIEM'. §7 fragt 'welchen Control testen Sie, welche Kennzahl messen Sie dagegen, welcher Zielwert definiert Wirksamkeit'. SIEM-Dashboards allein beantworten das nicht.

  • Unser CISO weiß, ob die Maßnahmen wirken.

    CIR §7.2(d) und §7.2(f) verlangen benannte Verantwortliche und dokumentierte Auswertungen. Erfahrungswissen in einem Kopf scheitert zweifach: kein Audit-Trail, kein Übergang, wenn diese Person geht. Das Konzept muss schriftlich vorliegen, die Auswertung dokumentiert sein, und das Leitungsorgan muss die Ergebnisse sehen.

Wie der Mittelstand das in der Praxis macht

Die meisten Mittelständler messen schon zwei Dinge: Systemverfügbarkeit und Patch-Compliance. Beides sind brauchbare Kennzahlen, decken aber nur zwei der zehn Maßnahmen aus Artikel 21(2) ab. Artikel 21(2)(f) verlangt mehr: Vorfallzahlen gegen Zielwerte, Mean-Time-to-Detect, Mean-Time-to-Respond, Schulungsquoten, Phishing-Testergebnisse, Quoten abgeschlossener Lieferantenprüfungen.

Was wir in der Praxis sehen: sechs bis acht Kennzahlen, die die Top-Risiken abbilden. Quartalsweiser Bericht ans Leitungsorgan. Jahreszyklus mit Tiefblick, der die Kennzahlenauswahl gegen das aktualisierte Risikoregister prüft. Nach jedem erheblichen Vorfall greift der §7.3-Trigger und Sie überprüfen die betroffenen Maßnahmen unabhängig vom Kalender. Das hält unter der Verhältnismäßigkeitsklausel des Artikel 21(1) für einen Betrieb mit 60 bis 250 Beschäftigten.

Wie wir das auf der Plattform abbilden

Das §7-Bewertungskonzept ist als Modul in der Plattform abgebildet. Sie definieren Kennzahlen, verknüpfen jede mit der getesteten Risikomanagementmaßnahme, setzen Messturnus und Zielwert und benennen die Verantwortlichen für Messung und Auswertung. Die Plattform erinnert die Verantwortlichen an die nächste Messung.

Das Leitungsorgan-Dashboard fasst alle Kennzahlen zu einer Quartalsansicht zusammen, fertig für die Aufsichtssitzung nach Artikel 20(1). Nach einem erheblichen Vorfall greift der §7.3-Reviewtrigger automatisch: die relevanten Kennzahlen werden hervorgehoben, die betroffenen Verantwortlichen bekommen eine Aufgabe, die Auswertung wird abgezeichnet. Der Audit-Trail ist standardmäßig vollständig.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(f) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §7 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSI-Gesetz (BSIG), §30(2)(6) i.d.F. des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
  • BSI IT-Grundschutz, Baustein DER.1 'Detektion sicherheitsrelevanter Ereignisse' — bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance zur CIR (EU) 2024/2690 (Stand Mai 2026)
Wirksamkeit nachweisen, ohne Tabellenchaos
Kennzahlen, Verantwortliche, Turnus und Leitungs-Dashboard auf einer Plattform. Kostenlos, Open Source, kein Lock-in.
Plattform öffnen