SaaSFort Artikel 21 NIS2 ist der Paragraf, an dem deutsche KMU 2026 gemessen werden. Nicht die Registrierung, nicht die Theorie — die zehn konkreten Maßnahmen aus Artikel 21 Absatz 2 sind das, was ein Auditor sehen will. Die BSI-Registrierungsfrist lief am 6. März 2026 ab, rund 18.500 von 29.000 Unternehmen haben sie verpasst, und das BSI ist in der aktiven Durchsetzungsphase.
Dieser Artikel übersetzt Artikel 21 in Umsetzung — ohne Beraterjargon, ohne 60-seitige Konzepte.
In dieser Reihenfolge starten:
- Kostenloser Sicherheitsscan — A-F-Note und Ihre größten NIS2-Lücken in unter 60 Sekunden, ohne Account.
- NIS2 Article 21 Self-Audit Excel — alle 10 Maßnahmen mit Status-, Prioritäts- und Verantwortlichkeitsspalten.
- Preise ansehen — kontinuierliches Monitoring mit prüffähigem NIS2-Report ab 9 €/Monat.
Wer von Artikel 21 betroffen ist
Artikel 21 gilt, wenn Ihr Unternehmen beide Bedingungen erfüllt:
- Größenschwelle: 50+ Mitarbeiter ODER 10 Mio. € Jahresumsatz
- Sektor: einer von 18 regulierten Sektoren (Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe und weitere)
Auch unterhalb dieser Schwellen greift Artikel 21 indirekt: Wenn Sie ein NIS2-reguliertes Unternehmen beliefern, kaskadiert dessen Lieferkettenpflicht auf Sie. Unsere 10-Schritte-Checkliste für deutsche KMU deckt den Registrierungs- und Scope-Teil ab — dieser Artikel geht in die Maßnahmen-Tiefe.
Die 10 Maßnahmen aus Artikel 21 Absatz 2 — praktisch übersetzt
| # | Maßnahme (Gesetzestext) | Was das KMU konkret braucht |
|---|---|---|
| a | Risikoanalyse und Sicherheitspolitik | Schriftliche, von der Geschäftsführung genehmigte Richtlinie + Risikoregister |
| b | Bewältigung von Sicherheitsvorfällen | Incident-Response-Plan mit 24h/72h/1-Monat-Meldekette |
| c | Aufrechterhaltung des Betriebs | BCM mit RTO/RPO je kritischem System, getestete Backups |
| d | Sicherheit der Lieferkette | Inventar aller Dienstleister + jährliche Bewertung |
| e | Sicherheit bei Erwerb/Entwicklung | Secure SDLC, Schwachstellenmanagement, Patch-SLAs |
| f | Bewertung der Wirksamkeit | Kennzahlen + regelmäßige Scans als Nachweis |
| g | Cyberhygiene und Schulungen | Jährliche Awareness-Schulung, Pflichtschulung der Leitung |
| h | Kryptografie | TLS 1.2+, AES-256 at rest, Zertifikatsmanagement |
| i | Personalsicherheit, Zugriffskontrolle | RBAC, Least Privilege, Offboarding-Prozess |
| j | Multi-Faktor-Authentifizierung | MFA auf allen Admin- und privilegierten Zugängen |
Wo KMU 2026 am häufigsten scheitern
Aus der Praxis: Die Maßnahmen a, b und f sind die häufigsten Audit-Mängel.
- a (Sicherheitspolitik): existiert, ist aber nicht von der Geschäftsführung unterschrieben — formal ungültig.
- b (Incident Handling): Plan existiert, wurde aber nie in einer Tabletop-Übung getestet. Auditoren verlangen den Übungsnachweis.
- f (Wirksamkeit): Hier scheitern fast alle. Ein einmaliger Pentest belegt keine fortlaufende Wirksamkeit. Gefragt ist eine Nachweiskette über die Zeit.
Maßnahme b lässt sich mit einer fertigen Vorlage entschärfen — unser BSI-Meldevorlagen-Bundle bündelt 24h/72h/1-Monats-Templates und ein Tabletop-Worksheet.
Was „Umsetzung” für einen Auditor bedeutet
Das BSI prüft nicht, ob Sie ein Dokument haben. Es prüft, ob ein System existiert. Drei Belegtypen, die zählen:
- Genehmigung: Geschäftsführungsbeschluss zu den §30-Maßnahmen, datiert und unterschrieben
- Überwachung: regelmäßige Sicherheitsberichte an die Leitung (mindestens quartalsweise)
- Wirksamkeit: zeitgestempelte, automatisierte Nachweise — nicht ein Tabellenblatt von vor sechs Monaten
Genau hier setzt ein externer Scan an: Er liefert den zeitgestempelten, auf Artikel 21 gemappten Nachweis für die Maßnahmen e, f und h — automatisch, wiederholbar, prüffähig. Die kontinuierliche Überwachung von SaaSFort erzeugt genau diese Nachweiskette.
30-Tage-Umsetzungsplan für KMU ohne Sicherheitsteam
| Woche | Fokus | Maßnahmen |
|---|---|---|
| 1 | Standortbestimmung | Scan (e/f/h), Scope dokumentieren, BSI-Registrierung nachholen |
| 2 | Governance | Sicherheitspolitik (a) schreiben, Geschäftsführung genehmigt schriftlich |
| 3 | Reaktion & Betrieb | Incident-Plan (b), BCM/Backups (c), Tabletop-Übung |
| 4 | Technik & Nachweis | MFA erzwingen (j), Zugriffsreview (i), wöchentlichen Scan einrichten (f) |
Vier Wochen bringen ein KMU von Null auf prüffähig — wenn der technische Nachweis automatisiert läuft statt manuell.
Häufige Fragen
Reicht ISO 27001 für Artikel 21?
Nein, aber es hilft erheblich. Rund 70-80 % der ISO-27001-Annex-A-Kontrollen mappen auf Artikel 21. Lücken bleiben bei den NIS2-spezifischen Meldefristen (24h/72h) und der nicht delegierbaren Leitungsverantwortung.
Müssen wir einen CISO einstellen?
Nein. Die meisten KMU mit 50-250 Mitarbeitern decken Artikel 21 mit automatisiertem Scanning für die technische Basis plus klaren Richtlinienvorlagen ab — zu einem Bruchteil der Beraterkosten von 15.000-50.000 €.
Was prüft das BSI im Audit zuerst?
Die externe Posture. Was ein Angreifer und ein Auditor von außen sehen — Zertifikate, Security Header, offene Pfade — ist der erste Eindruck. Genau das misst ein kostenloser Scan in 60 Sekunden.
Gilt Artikel 21 auch ohne deutsche Niederlassung?
Ja, sobald Sie digitale Dienste für EU-Kunden anbieten. Die Geschäftsführerhaftung nach §38 BSIG trifft die Leitung persönlich.
Wie oft müssen wir scannen?
Mindestens wöchentlich. Maßnahme f verlangt fortlaufende Wirksamkeit — punktuelle Tests genügen dem BSI 2026 nicht.
Prüfen Sie Ihren NIS2-Status. Kostenloser Scan — 60 Prüfungen, A-F-Note, unter 60 Sekunden, gemappt auf Artikel 21. Den vollständigen Rahmen liefert das SaaS Security Playbook 2026 — kostenloser Download.
Ready to put this into practice?
Two ways to start — pick what fits. Free Scan if you want to see your security grade in 60s with no commitment. Free 14-day Growth trial if you're ready to monitor multiple domains, export NIS2 reports, and download Deal Reports — no credit card required.
No credit card · Cancel anytime · GDPR-ready · EU-hosted