NIS-2 und Pentests: Was Unternehmen wissen müssen

Schutzpunkt Team
03 Nov, 2025
02 Minuten
Hintergründe

Die NIS-2-Richtlinie (EU) 2022/2555 ist ein Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Ab Oktober 2024 müssen tausende Unternehmen in Deutschland verpflichtende Sicherheitsmaßnahmen nachweisen – darunter auch regelmäßige Penetrationstests.

Was ist NIS-2?

Die NIS-2-Richtlinie wurde im Dezember 2022 verabschiedet und ersetzt die bisherige NIS-Richtlinie. Sie legt einheitliche Anforderungen für die Cybersicherheit kritischer und wichtiger Einrichtungen in der EU fest. Ziel ist es, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen und gleichzeitig ein hohes Sicherheitsniveau in der Union sicherzustellen.

Wer ist betroffen?

In Deutschland betrifft die Richtlinie ab 2024 deutlich mehr Organisationen als bisher. Darunter:

Betreiber kritischer Infrastrukturen (KRITIS)
Unternehmen mit mehr als 50 Mitarbeitern oder 10 Mio. EUR Umsatz in betroffenen Sektoren
- Anlage I – Besonders wichtige Einrichtungen (bwE)
  - Energie
  - Verkehr
  - Bankwesen
  - Finanzmarktinfrastrukturen
  - Gesundheit
  - Trinkwasser
  - Abwasser
  - Digitale Infrastruktur
  - Öffentliche Verwaltung
  - Raumfahrt
  - weitere Details Anlage I
- Anlage II – Wichtige Einrichtungen (wE)
  - Post- und Kurierdienste
  - Abfallbewirtschaftung
  - Chemische Industrie
  - Ernährungswirtschaft
  - Herstellung kritischer Produkte
  - Forschungseinrichtungen
  - Anbieter digitaler Dienste
  - Verwaltung von IKT-Diensten (z. B. Managed Service Provider)
  - weitere Details Anlage II

Auch viele Unternehmen, die bisher nicht unter KRITIS-Regelungen fielen, müssen sich auf neue Pflichten einstellen.

Bin ich jetzt betroffen? Hierzu hat das BSI einen Entscheidungsbaum und eine interaktive Prüfung bereitgestellt.

BSI Entscheidungsbaum: Bin ich betroffen?

Was verlangt NIS-2 konkret?

Die betroffenen Organisationen müssen laut Artikel 21 der Richtlinie technische und organisatorische Maßnahmen (TOMs) umsetzen, darunter:

Risikobewertungen
Business Continuity Management
Zugriffskontrollen
Sicherheitsüberprüfungen und -tests
Schwachstellenmanagement
Reaktion auf Sicherheitsvorfälle

Besonders relevant: Die Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und regelmäßig überprüft werden. Genau hier kommen Penetrationstests ins Spiel.

Sind Pentests Pflicht?

Die Richtlinie spricht nicht explizit das Wort “Penetrationstest” aus, jedoch ist klar: Unternehmen müssen ihre Schutzmaßnahmen regelmäßig prüfen

Art. 21 Abs. 2 Buchst. f:

Politiken und Verfahren zur Beurteilung der Wirksamkeit der Maßnahmen zum Management der Cybersicherheitsrisiken

Art. 21 Abs. 2 Buchst. e:

Sicherheit bei Erwerb, Entwicklung und Wartung von Netz‑ und Informationssystemen, einschließlich Schwachstellenbehandlung und ‑offenlegung

Daher gelten regelmäßige Pentests als anerkannter Nachweis, dass Unternehmen ihre gesetzlichen Pflichten ernst nehmen und erfüllen – ähnlich wie bei ISO/IEC 27001 oder dem BSI IT-Grundschutz.

Wann sollte getestet werden?

Regelmäßigkeit ist entscheidend. Empfohlen wird:

Mindestens jährlich
Zusätzlich bei Systemveränderungen oder nach Sicherheitsvorfällen
Vor Inbetriebnahme neuer Systeme oder bei größeren Software-Releases

Was droht bei Nichtumsetzung?

Die Richtlinie sieht empfindliche Sanktionen vor:

Geldbußen bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
Persönliche Verantwortung von Geschäftsführern und CISOs
Reputationsschäden und Haftungsrisiken bei Vorfällen

Fazit

NIS-2 wird die Cybersicherheitslandschaft in Deutschland grundlegend verändern. Unternehmen sind gut beraten, sich frühzeitig mit den Anforderungen auseinanderzusetzen und Maßnahmen wie regelmäßige Penetrationstests einzuplanen – nicht nur zur Compliance, sondern auch als Schutzschild gegen reale Bedrohungen.

Sie haben Fragen zur NIS-2-Umsetzung oder benötigen Unterstützung bei der Vorbereitung auf die neuen Pflichten? Kontaktieren Sie unser Team – wir helfen weiter.

Referenzen

EU-Richtlinie (EU) 2022/2555 – NIS-2
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555
BMI – Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
BSI – Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
Entscheidungsbaum der NIS-2-Betroffenheitsprüfung des BSI https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-betroffenheit-entscheidungsbaum.pdf
ISO/IEC 27001, BSI IT-Grundschutz
Sicherheitsstandards, die Penetrationstests als empfohlene Kontrollmaßnahme aufführen

Konfigurieren Sie Ihren individuellen Pentest

Konfigurieren

Penetrationstests für Ihre interne oder externe Infrastruktur, Pentests von Webapplikationen oder APIs oder komplexe Angriffssimulationen wie Red Teaming Engagements, Phishing Kampagnen oder Social Engineering. Wir gehen auf Ihre Wünsche ein.