NIS2 Artikel 21(2)

Technische NIS2-Artikel-21-Sicherheitsbewertung: Was zu pruefen ist

NIS2 Artikel 21(2) listet 10 Kategorien technischer Massnahmen. Dieser Leitfaden erklaert, was jede erfordert, wie man sie prueft und welche Nachweise ein Pruefer erwartet. Der externe Scan deckt 60 Pruefpunkte in unter 60 Sekunden ab.

Kostenlos scannen (60 Pruefpunkte) Audit Pack fuer 39 EUR

Was NIS2 Artikel 21(2) verlangt

Artikel 21(2) listet 10 technische und organisatorische Mindestmassnahmen. Die durch automatisierten externen Scan am direktesten testbaren sind:

Unterklausel	Was sie abdeckt	Extern testbar?
Art. 21(2)(b)	Vorfallbehandlung und Erkennung	Teilweise - DMARC, Protokollierungsindikatoren
Art. 21(2)(d)	Lieferkettensicherheit	Teilweise - Drittanbieter-Header, DNS
Art. 21(2)(e)	Schwachstellenmanagement	Ja - exponierte CVEs, veraltete Libs, JS-Quellen
Art. 21(2)(g)	Verschluesselung und Kryptographie	Ja - TLS-Version, Cipher Suites, Zertifikatsgueltigkeit
Art. 21(2)(h)	Netzwerk- und Systemsicherheit	Ja - HSTS, CSP, X-Frame-Options, DNSSEC
Art. 21(2)(i)	Zugangskontrolle	Teilweise - exponierte Admin-Panels

5-Schritte-Bewertungsprozess

1

Externen Postur-Scan durchfuehren

Beginnen Sie mit dem, was Pruefer und Angreifer von aussen sehen: TLS-Konfiguration, HTTP-Sicherheitsheader (HSTS, CSP, X-Frame-Options), DMARC, DNSSEC und exponierte Admin-Panels. SaaSFort fuehrt 60 Pruefpunkte an Ihrer Domain in unter 60 Sekunden durch, gemappt auf Art. 21(2)(h) und (g). Kein Konto erforderlich.
2

Zugangskontrolle und Authentifizierung pruefen

Ueberpruefen Sie MFA-Abdeckung fuer privilegierte Konten, stellen Sie sicher, dass Verwaltungsschnittstellen nicht oeffentlich zugaenglich sind, und bestaetigen Sie Session-Timeout-Richtlinien. Gemappt auf NIS2 Art. 21(2)(i).
3

Verschluesselung in Transit und im Ruhezustand pruefen

Bestaetigen Sie TLS 1.2+ auf allen oeffentlichen Endpunkten (kein TLS 1.0/1.1), pruefen Sie Zertifikatsgueltigkeit und Kettenvolletaendigkeit, vergewissern Sie sich, dass Daten im Ruhezustand verschluesselt sind. Deckt NIS2 Art. 21(2)(g) ab.
4

Schwachstellenmanagement ueberpruefen

Bestaetigen Sie einen dokumentierten Prozess zur Verfolgung und Behebung von Schwachstellen. NIS2 Art. 21(2)(e) verlangt, dass Schwachstellen umgehend behoben werden. Monatliche externe Scans sind die praktische Untergrenze.
5

Ergebnisse fuer Ihren Pruefer dokumentieren

Erstellen Sie einen datierten Bericht, der jeden Befund dem betreffenden NIS2-Artikel-21-Kontrollpunkt zuordnet. Das SaaSFort-Auditpaket erstellt dieses PDF: 60 Pruefpunkte, A-F-Bewertung, NIS2- und ISO-27001-Annex-A-Mapping. Einmalkauf, kein Konto.

Schritt 1 jetzt starten - kostenlos in 60 Sekunden

Der externe Postur-Scan deckt 60 Pruefpunkte zu NIS2 Art. 21(2)(g), (h) und (i) ab. Kein Konto. Das Audit-Paket fuer 39 EUR ergaenzt das datierte PDF, das Ihr Pruefer oder Enterprise-Kaeufer akzeptiert.

Domain kostenlos scannen Audit Pack fuer 39 EUR

Haeufige Fragen

Welche technischen Massnahmen verlangt NIS2 Artikel 21?

NIS2 Artikel 21(2) listet 10 Kategorien. Die extern am einfachsten testbaren sind: (h) Netzwerk- und Systemsicherheit (HSTS, CSP, DMARC, DNSSEC); (g) Verschluesselung (TLS 1.2+, Cipher Suites, Zertifikatsgueltigkeit); (e) Schwachstellenmanagement (exponierte CVEs, veraltete Bibliotheken); (i) Zugangskontrolle. Ein externer Scan ist der schnellste Startpunkt und das Erste, was ein Pruefer prueft.

Wie lange dauert eine technische NIS2-Sicherheitsbewertung?

Der externe Postur-Teil dauert mit einem automatisierten Scanner unter 60 Sekunden. Eine vollstaendige interne Bewertung (Zugangskontrollen-Pruefung, Patch-Management-Audit, Protokollierungsreview) dauert 1-3 Tage fuer ein SaaS-Team mit 50-200 Mitarbeitern. Beginnen Sie mit dem externen Scan, um schnelle Verbesserungen zu finden.

Was enthaelt ein NIS2-Sicherheitsbewertungsbericht?

Jeder gepruefkte Kontrollpunkt, das Bestanden/Nicht-bestanden-Ergebnis, die NIS2-Artikel-21-Unterklausel, der er zugeordnet ist, und Massnahmen zur Behebung von Fehlern. Das SaaSFort-Auditpaket deckt die externe Postur-Teilmenge (60 Pruefpunkte) ab und erstellt ein datiertes PDF fuer 39 EUR. Fuer den vollen Umfang der internen Kontrollen benoetigen Sie einen qualifizierten Pruefer oder die BSI-IT-Grundschutz-Methodik.

Wie oft sollte ich eine technische NIS2-Bewertung durchfuehren?

NIS2 gibt keine Haeufigkeit vor, aber die meisten Interpretationen verlangen jaehrliche Bewertungen mit laufender Ueberwachung. BSI-Empfehlungen fuer deutsche Einrichtungen sehen vierteljaehrliche externe Postur-Scans und jaehrliche interne Reviews vor. Monatliches automatisiertes Scannen ist die praktische Untergrenze fuer SaaS-Anbieter im Anwendungsbereich.

Verwandte Leitfaeden: Sicherheitsscan-Anwendungsfaelle · SaaS-Sicherheits-Leaderboard