NIS2 Security Mapping
Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete technische Maßnahmen.
Die Paragraphen und Anforderungen der deutschen NIS2-Umsetzung im BSI-Gesetz (NS.) ordnet das OpenKRITIS Mapping Security-Standards als Orientierung zu:
- KRITIS (KdA): Konkretisierung der Anforderungen des BSI (2024)
- ISO 27001:2022: Management von Informationssicherheit und Annex A Kontrollen
- NIS2 Implementing Act: Vorgaben der EU NIS2 Durchführungsverordnung (EU) 2024/2690
Separat konkretisieren EU NIS2 Implementing Acts (DVEU) die NIS2-Maßnahmen für bestimmte Internet-Provider. Ein separates DORA zu NIS2, ISO 27001 Mapping hilft IT-Dienstleistern.
Alle Angaben ohne Gewähr der Vollständigkeit und Korrektheit. Wird regelmäßig aktualisiert.
NIS2-Anforderungen und Standards
Dieses Mapping und die Zuordnungen sind nicht vollständig und nur eine Orientierung.
| Nr. | NIS2 BSIG |
Anforderung | KdA KRITIS |
ISO 27001 2022 |
NIS2 DVEU |
|---|---|---|---|---|---|
| NS.1 | §30 (1) Satz 1 | Maßnahmen basierend auf Risiko-Exposition und gesellschaftlichen und wirtschaftlichen Auswirkungen | BSI-3 BSI-15 |
4.3 6.1 8.2 8.3 A.5.4 A.5.30 |
|
| NS.2 | §30 (1) Satz 3 | Dokumentation der NIS2 Risiko-Management Maßnahmen | BSI-16 | 6.1.3 7.5 8.3 A.5.31 |
|
| NS.3 | §30 (2) Satz 1 | Allgefahrenansatz und Stand der Technik | BSI-13 BSI-15 |
6.1 8.2 8.3 A.5.30 |
2.1.2 |
| NS.4 | §30 (2) Nr. 1 | Konzepte zur Risiko-Analyse (IT-RM) | BSI-13 BSI-14 BSI-16 BSI-85 BSI-86 BSI-87 BSI-88 BSI-89 |
6.1 8.2 8.3 10.1 A.5.31 A.5.36 A.8.34 |
2.1.1 2.1.2 2.1.3 2.2.1 2.2.2 2.2.3 2.3.1 2.3.2 2.3.3 2.3.4 |
| NS.5 | §30 (2) Nr. 1 | Konzepte für IT-Sicherheit (ISMS) | BSI-1 BSI-2 BSI-3 BSI-4 |
4.1-10.2 A.5.1 A.5.2 A.5.3 A.5.4 |
1.1.1 1.1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 |
| NS.6 | §30 (2) Nr. 2 | Bewältigung von Sicherheitsvorfällen | BSI-77 BSI-78 BSI-79 BSI-80 BSI-90 BSI-92 BSI-93 SzA |
A.5.2 A.5.24 A.5.25 A.5.26 A.5.27 A.5.28 A.5.30 A.6.8 A.8.9 A.8.15 A.8.16 |
3.1.1 3.1.2 3.1.3 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.3.1 3.3.2 3.4.1 3.4.2 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.6.1 3.6.2 3.6.3 |
| NS.7 | §30 (2) Nr. 3 | Aufrechterhaltung Betrieb (BCM) | BSI-15 BSI-17 BSI-18 |
A.5.29 A.5.30 A.5.31 A.8.14 |
4.1.1 4.1.2 4.1.3 4.2.4 |
| NS.8 | §30 (2) Nr. 3 | Backup-Management | BSI-20 BSI-22 BSI-23 BSI-24 |
A.8.6 A.8.13 A.8.14 A.8.16 |
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 |
| NS.9 | §30 (2) Nr. 3 | Wiederherstellung nach Notfällen (DR und IT-SCM) | BSI-19 | A.5.29 A.5.30 |
4.1.4 |
| NS.10 | §30 (2) Nr. 3 | Krisenmanagement | - | - | 4.3.1 4.3.2 4.3.3 4.3.4 |
| NS.11 | §30 (2) Nr. 4 | Sicherheit der Lieferkette | BSI-98 BSI-99 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 |
| NS.12 | §30 (2) Nr. 4 | Sicherheitsaspekte zu Anbietern und Dienstleistern | BSI-98 BSI-99 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
5.1.4 5.2 |
| NS.13 | §30 (2) Nr. 5 | Sicherheit beim Einkauf von IT | BSI-43 BSI-66 |
A.5.19 A.5.20 A.5.22 A.5.23 A.8.30 |
6.1.1 6.1.2 6.1.3 |
| NS.14 | §30 (2) Nr. 5 | Sicherheit bei der Entwicklung von IT | BSI-43 BSI-44 |
A.5.8 A.8.25 A.8.26 A.8.27 A.8.28 A.8.29 A.8.30 |
6.2.1 6.2.2 6.2.3 6.2.4 |
| NS.15 | §30 (2) Nr. 5 | Sicherheit bei der Wartung von IT | BSI-25 BSI-45 BSI-46 BSI-47 BSI-48 BSI-49 BSI-76 |
A.7.13 A.8.9 A.8.19 A.8.31 A.8.32 |
6.3.1 6.3.2 6.3.3 6.4.1 6.4.2 6.4.3 6.4.4 |
| NS.16 | §30 (2) Nr. 5 | Management und Offenlegung von Schwachstellen | BSI-25 BSI-84 BSI-84 BSI-95 BSI-96 |
A.5.7 A.8.8 A.8.19 A.8.32 A.8.33 A.8.34 |
6.5.1 6.5.2 6.5.3 6.6.1 6.6.2 |
| NS.17 | ? | (Netzwerksicherheit) | (einige) | (viele) | 6.7.1 6.7.2 6.7.3 6.8.1 6.8.2 6.8.3 6.9.1 6.9.2 |
| NS.18 | §30 (2) Nr. 6 | Bewertung der Wirksamkeit von Maßnahmen | BSI-1 BSI-85 BSI-86 |
9.1 9.2 9.3 A.5.31 A.5.36 A.8.34 |
7.1 7.2 7.3 |
| NS.19 | §30 (2) Nr. 7 | Cyberhygiene und Awareness | BSI-68 | 7.3 9 A.6.3 A.7.7 |
8.1.1 8.1.2 8.1.3 |
| NS.20 | §30 (2) Nr. 7 | Schulungen Informationssicherheit | BSI-68 | 7.2 9 A.6.3 A.6.5 |
8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 |
| NS.21 | §30 (2) Nr. 8 | Kryptografie und Verschlüsselung | BSI-32 BSI-33 BSI-34 BSI-35 |
A.5.1 A.5.14 A.5.31 A.8.20 A.8.21 A.8.24 A.8.33 |
9.1.1 9.1.2 9.1.3 |
| NS.22 | §30 (2) Nr. 9 | Personalsicherheit (HR-Security) | BSI-42 BSI-56 BSI-57 BSI-68 BSI-69 BSI-70 |
7.2 7.3 A.5.8 A.5.14 A.5.20 A.6.1 A.6.2 A.6.3 A.6.4 A.6.5 A.6.6 |
10.1.1 10.1.2 10.1.3 10.2.1 10.2.2 10.2.3 10.3.1 10.3.2 10.4.1 10.4.2 |
| NS.23 | §30 (2) Nr. 9 | Konzepte für Zugriffskontrolle | BSI-26 BSI-27 BSI-29 BSI-30 BSI-39 BSI-58 BSI-59 BSI-60 BSI-61 BSI-62 BSI-63 |
A.5.15 A.5.18 |
11.1.1 11.1.2 11.1.3 11.2.1 11.2.2 11.2.3 11.3.1 11.3.2 11.3.3 11.4.1 11.4.2 11.5.1 11.5.2 11.5.3 11.6.1 11.6.2 11.6.3 11.6.4 11.7.1 11.7.2 |
| NS.24 | §30 (2) Nr. 9 | Management von Anlagen (Asset Management) | BSI-5 BSI-7 BSI-8 BSI-9 BSI-10 BSI-11 BSI-12 |
A.5.9 A.5.10 A.5.11 A.5.12 A.5.13 A.7.9 A.7.10 A.7.14 A.8.3 A.8.10 |
12.1.1 12.1.2 12.1.3 12.2.1 12.2.2 12.2.3 12.3.1 12.3.2 12.3.3 12.4.1 12.4.2 12.4.3 12.5 |
| NS.25 | (§30) | Physische Sicherheit | (einige) | A.7 | 13.1.1 13.1.2 13.1.3 13.2.1 13.2.2 13.2.3 13.3.1 13.3.2 13.3.3 |
| NS.26 | §30 (2) Nr. 10 | Multi-Faktor-Authentifizierung (MFA) und kontinuierliche Authentifizierung (SSO) | BSI-26 BSI-27 BSI-64 |
A.5.17 A.8.5 A.8.24 |
11.7.1 11.7.2 |
| NS.27 | §30 (2) Nr. 10 | Gesicherte Sprach-, Video- und Textkommunikation | BSI-33 BSI-36 BSI-41 |
A.8.20 A.8.21 A.8.12 |
|
| NS.28 | §30 (2) Nr. 10 | Gesicherte Notfallkommunikationssysteme | - | A.8.14 | |
| NS.29 | §31 (1) | Besondere Maßnahmen für Betreiber kritischer Anlagen | BSI-16 BSI-17 (§8a (1)) |
6.1.3 8.3 A.5.31 |
|
| NS.30 | §31 (2) | Systeme zur Angriffserkennung | OH SzA BSI-90 BSI-91 BSI-92 BSI-93 BSI-94 |
viele | viele |
| NS.31 | §32 (1) | Meldepflichten | BSI‑100 §8b (3‑4) |
A.5.24 A.5.31 |
3.3.1 3.5.3 |
| NS.32 | §33 (1) | Registrierung Einrichtung | - | A.5.5 A.5.31 |
|
| NS.33 | §33 (2) | Registrierung kritische Anlage, Kontaktstelle | BSI-100 §8b (3‑4) |
A.5.5 A.5.31 |
(3.5.3) |
| NS.34 | §34 (1) | Registrierung besondere Einrichtung | - | A.5.5 A.5.31 |
|
| NS.35 | §35 | Unterrichtung Kunden (und Gegenmaßnahmen) | - | A.5.26 A.5.31 |
3.5.3 |
| NS.36 | §36 | Rückmeldung BSI und Unterrichtung Öffentlichkeit | - | A.5.31 | 3.5.3 |
| NS.37 | §38 (1) | Verantwortung Geschäftsführung | BSI-17 | 5.1 A.5.31 |
2.1.2 2.2 |
| NS.38 | §38 (3) | Schulungen Geschäftsführung | BSI-68 | 7.2 7.3 A.5.2 A.5.31 A.6.3 |
8.2.2 10.1.2 |
| NS.39 | §39 (1) | Prüfungen Betreiber kritischer Anlagen | 9.2 10.1 A.5.35 A.5.36 A.5.37 A.8.34 |
2.3.1 | |
| NS.40 | §39 (1) S.3-5 | Vorlage Dokumentation, Nachweise, Pläne | A.5.31 A.5.28 A.5.37 |
(2.3.3) | |
| NS.41 | §41 | Untersagung Einsatz kritischer Komponenten | A.5.31 | (12.1) (12.4) (5.1) |
|
| NS.42 | §61 (1)(5) §62 |
Anordnung/Durchführung von Audits durch Behörde | A.5.31 | ||
| NS.43 | §61 (3)(6)(7) | Vorlage Nachweise, Anordnung Maßnahmen und Umsetzung | A.5.31 |
Weitere Informationen
Literatur
- KRITIS-Branchenstandards auf OpenKRITIS
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
Quellen
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2)
- Durchführungsverordnung (EU) 2024/2690 der Kommission, Durchführungsbestimmungen zur Richtlinie (EU) 2022/2555, 17. Oktober 2024
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements