CloudSoul
Ressourcen · Blog · NIS2

Cybersicherheitszertifizierung und Normen nach NIS2

Zertifizierung und Normen nach NIS2 Artikel 24-25: EU-Schemata, ISO 27001 und Sicherheitszertifizierungsanforderungen für ausgewiesene Einrichtungen.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 18 May 2026 · 7 Min. Lesezeit
NIS2
Cybersicherheitszertifizierung und Normen nach NIS2

Wer sollte das lesen: Produktmanager, Compliance-Beauftragte, Chief Information Security Officers.

Die NIS2-Richtlinie schreibt keine spezifischen Technologien oder Normen für Cybersicherheit vor; stattdessen verlangt sie „verhältnismäßige” Maßnahmen, die auf das Risikoprofil jeder Einrichtung zugeschnitten sind. Die Artikel 24 und 25 erkennen jedoch an, dass Cybersicherheitsnormen und Zertifizierungsschemata eine gemeinsame Sprache für Sicherheitspraktiken bieten und Einrichtungen ermöglichen, Konformität durch anerkannte Benchmarks nachzuweisen.

Für viele Organisationen bietet die Verfolgung einer anerkannten Zertifizierung wie ISO 27001 (Informationssicherheitsmanagement) oder die Teilnahme an einem EU-genehmigten Sicherheitsschema einen strukturierten Weg zur Konformität und einen Nachweis des Engagements für Sicherheit. Für Produkthersteller signalisieren Zertifizierung und Normkonformität den Kunden, dass Produkte Sicherheitserwartungen erfüllen. Für Dienstleister demonstriert die Zertifizierung das Engagement für Kundendaten und operative Sicherheit.

Dieser Beitrag entpackt die Artikel 24 und 25, klärt die Rolle von Normen und Zertifizierung bei der NIS2-Konformität und untersucht, wie Zertifizierung als Teil einer umfassenden Compliance-Strategie genutzt werden kann. Die Diskussion deckt anerkannte Normen (ISO 27001, ISO 27002), EU-Sicherheitszertifizierungsschemata und die Beziehung zwischen Zertifizierung und NIS2-Verhältnismäßigkeit ab.

Artikel 24 und 25: Normen und Zertifizierung

Artikel 24 erkennt an, dass Mitgliedstaaten Cybersicherheitsnormen und Zertifizierungsschemata annehmen oder anerkennen können, die mit EU- oder internationalen Normen übereinstimmen. Diese Schemata bieten einen Rahmen, anhand dessen Einrichtungen ihre Sicherheitspraktiken bewerten und eine Drittzertifizierung erhalten können.

Artikel 25 adressiert die Cybersicherheitszertifizierung für Produkte und Dienste und erkennt an, dass die Zertifizierung von Produkten, die von ausgewiesenen Einrichtungen verwendet werden (z. B. Cloud-Dienste, Cybersicherheitstools, Netzwerkausrüstung), Zusicherung bezüglich Sicherheitseigenschaften bietet.

Zusammen legen die Artikel 24 und 25 fest, dass:

Zertifizierung ist optional, aber wertvoll: Einrichtungen sind nicht verpflichtet, eine Zertifizierung zu erhalten, um NIS2 zu erfüllen. Konformität kann durch dokumentierte Umsetzung verhältnismäßiger Maßnahmen ohne formale Zertifizierung nachgewiesen werden. Zertifizierung bietet jedoch einen anerkannten Rahmen und Drittzusicherung, die viele Einrichtungen verfolgen wählen.

Normen bieten Struktur: Normen wie ISO 27001 bieten einen strukturierten Rahmen für die Umsetzung von Sicherheitsmaßnahmen. Eine Einrichtung, die ISO-27001-Kontrollen umsetzt, setzt einen anerkannten Ansatz zum Sicherheitsmanagement um und kann leichter Konformität mit der Verhältnismäßigkeitsanforderung von NIS2 nachweisen.

Produkt- und Dienstzertifizierung ist wichtig: Für Produkte und Dienste, die von ausgewiesenen Einrichtungen verwendet werden, bietet Zertifizierung Sicherheitszusicherung. Eine Einrichtung, die einen ISO-27001-zertifizierten Cloud-Dienst kauft oder einen nach einem Sicherheitsschema zertifizierten Netzwerkausrüstungshersteller, hat Nachweise für die Sicherheitspraktiken des Anbieters.

Mitgliedstaatsermessen: Mitgliedstaaten haben Ermessensspielraum darin, welche Normen und Schemata sie für NIS2-Zwecke anerkennen. Ein Mitgliedstaat könnte ISO 27001, bestimmte EU-Zertifizierungsschemata oder andere nationale Normen anerkennen.

ISO 27001 und die ISO-27000-Serie

Die am weitesten anerkannte Norm für Informationssicherheitsmanagement ist ISO/IEC 27001, Teil der ISO-27000-Serie. ISO 27001 definiert einen Rahmen für die Etablierung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung von Informationssicherheits-Managementsystemen (ISMS).

ISO 27001 umfasst:

  • Eine Reihe von Sicherheitskontrollen, die Zugriffskontrolle, Verschlüsselung, physische Sicherheit, Personalsicherheit, Lieferantenbeziehungen und viele andere Bereiche adressieren. Organisationen wählen Kontrollen, die ihrem Risikoprofil angemessen sind.
  • Anforderungen an die Risikobewertung, die spezifische Bedrohungen und Schwachstellen für die Organisation identifizieren.
  • Anforderungen an eine Informationssicherheitsrichtlinie, die den Sicherheitsansatz der Organisation definiert.
  • Anforderungen an die Governance, einschließlich Rollen und Verantwortlichkeiten, Schulung und Sensibilisierung.
  • Anforderungen an Überwachung und Vorfallsmanagement.
  • Anforderungen an regelmäßige Überprüfung und Aktualisierung.

Eine Organisation, die ISO 27001 umsetzt, durchläuft ein Drittaudit, um zu überprüfen, dass das ISMS ordnungsgemäß umgesetzt ist. Bei erfolgreichem Audit erhält die Organisation ein ISO-27001-Zertifikat, das drei Jahre gültig ist (mit regelmäßigen Überwachungsaudits erforderlich).

Für NIS2-Zwecke ist ISO 27001 wertvoll, weil:

  • Er einen strukturierten Ansatz zur Umsetzung verhältnismäßiger Sicherheitsmaßnahmen bietet, der mit der Anforderung von NIS2 an „geeignete” und „verhältnismäßige” Kontrollen übereinstimmt.
  • Er Risikobewertung, Governance, Überwachung und Vorfallsreaktion umfasst, alles Elemente der NIS2-Konformität.
  • Er international weit anerkannt ist und eine gemeinsame Sprache für Sicherheitspraktiken bietet.
  • Die Zertifizierung Drittzusicherung für Kunden, Regulierungsbehörden und Partner bezüglich der Sicherheitspraktiken der Einrichtung bietet.

Viele Organisationen, die NIS2 unterliegen, verfolgen die ISO-27001-Zertifizierung als Grundlage ihres Compliance-Programms. Compliance-Beauftragte können ISO-27001-Kontrollen auf spezifische NIS2-Anforderungen abbilden und zeigen, wie die Zertifizierung NIS2-Pflichten erfüllt.

EU-Cybersicherheitszertifizierungsschemata

Über ISO 27001 hinaus hat die EU Cybersicherheitszertifizierungsschemata für bestimmte Produktkategorien und Dienste etabliert. Diese Schemata werden gemäß der Verordnung (EU) 2019/881 (dem Cybersecurity Act) entwickelt und bieten einen Rahmen für die Zertifizierung von Produkten, Diensten und Prozessen nach definierten EU-Sicherheitsnormen.

Die Common-Criteria-Zertifizierung (CC) ist ein gut etabliertes Schema zur Bewertung der Sicherheit von IT-Produkten. Nach Common Criteria zertifizierte Produkte haben eine rigorose Bewertung ihrer Sicherheitseigenschaften durchlaufen, und die Bewertungsergebnisse werden veröffentlicht. Ein Cloud-Dienst oder eine Netzwerk-Sicherheits-Appliance, die nach Common Criteria zertifiziert ist, bietet Zusicherung bezüglich ihrer Sicherheit.

Die EU entwickelt zusätzliche Zertifizierungsschemata gemäß dem Cybersecurity Act, einschließlich:

EUCC (EU Cybersecurity Certification): Ein Schema zur Bewertung von IKT-Produkten, -Diensten und -Prozessen mit Zusicherungsstufen (basic, substantial, high), die die Strenge der Bewertung widerspiegeln. Produkte oder Dienste, die EUCC-Normen erfüllen, bieten Zusicherung von Sicherheitseigenschaften.

SECOC (Scheme for Certification of Cloud Services): Ein vorgeschlagenes Schema zur Zertifizierung von Cloud-Diensten, die europäischen öffentlichen Verwaltungen und wesentlichen Dienstleistern angeboten werden. Die SECOC-Zertifizierung würde Zusicherung bieten, dass Cloud-Dienste definierte Sicherheitsnormen erfüllen.

Diese EU-Schemata sind darauf ausgelegt, anerkannte Sicherheitszertifizierungen bereitzustellen, die die Beschaffung durch wesentliche Dienstleister erleichtern und Herstellern ermöglichen, Sicherheit gegenüber Kunden zu demonstrieren.

Für Einrichtungen und Produkthersteller bietet die Verfolgung einer EU-Zertifizierung Anerkennung, dass Produkte und Dienste definierte EU-Sicherheitsnormen erfüllen, was die Beschaffung durch Organisationen kritischer Infrastruktur erleichtert und das Engagement für Sicherheit demonstriert.

Zertifizierung als Nachweis der NIS2-Konformität

Wie verhält sich Zertifizierung zur NIS2-Konformität? Eine Einrichtung kann Zertifizierung (ISO 27001, Common Criteria oder EU-Schemata) als Nachweis verwenden, dass sie verhältnismäßige Sicherheitsmaßnahmen umgesetzt hat, die NIS2-Anforderungen erfüllen.

Beispielsweise:

Eine Organisation kann ISO-27001-Zertifizierung nachweisen und die zertifizierten Kontrollen auf NIS2-Betriebsanforderungen (Zugriffskontrolle, Verschlüsselung, Überwachung, Vorfallsreaktion) abbilden und argumentieren, dass das ISMS die Anforderung von NIS2 an verhältnismäßige Maßnahmen erfüllt.

Ein Cloud-Dienstanbieter kann ISO-27001-Zertifizierung erhalten und dies bei Kunden, die wesentliche Dienstleister sind, als Nachweis von Sicherheitspraktiken bewerben, die mit NIS2 Artikel 22 (Drittanbieter-Sicherheitsanforderungen) konform sind.

Ein Hersteller medizinischer Geräte kann Common-Criteria- oder EUCC-Zertifizierung verfolgen und demonstrieren, dass Produkte Sicherheitsnormen erfüllen, was die Beschaffung durch wesentliche Gesundheitsdienstleister erleichtert.

Dieser Ansatz hat Vorteile sowohl für Einrichtungen als auch für Regulierungsbehörden:

Für Einrichtungen bietet die Verfolgung einer Zertifizierung einen strukturierten Weg zur Konformität, Drittzusicherung und Anerkennung, dass Sicherheitspraktiken etablierte Normen erfüllen.

Für Regulierungsbehörden bietet Zertifizierung einen Nachweis der Konformität, ohne dass die Regulierungsbehörde detaillierte technische Audits jeder Einrichtung durchführen muss. Ein zertifiziertes ISMS ist ein Nachweis, dass die Einrichtung verhältnismäßige Maßnahmen umgesetzt hat.

Zertifizierung ersetzt jedoch nicht die NIS2-Konformität. Eine Einrichtung könnte ISO-27001-Zertifizierung verfolgen und dennoch nicht vollständig mit NIS2 konform sein, wenn die Einrichtung es versäumt, Risikobewertungen, Vorfallsreaktionsverfahren oder Drittanbietermanagement wie erforderlich umzusetzen. Zertifizierung ist Nachweis, der Konformität unterstützt, aber Konformität erfordert die Umsetzung aller anwendbaren Pflichten.

Sektorspezifische Normen und Leitlinien

Verschiedene Sektoren haben sektorspezifische Normen und Best Practices entwickelt, die sektorspezifische Risiken und regulatorische Anforderungen widerspiegeln. Beispielsweise:

Das Gesundheitswesen hat Normen entwickelt, die die Sicherheit medizinischer Geräte, die Sicherheit elektronischer Gesundheitsakten und die Vorfallsreaktion im Gesundheitswesen adressieren.

Die Finanzbranche hat Normen für operative Resilienz, Geschäftskontinuität und Finanzsystemsicherheit entwickelt (von denen viele jetzt in DORA aufgenommen sind).

Die Energiebranche hat Normen für die Sicherheit industrieller Steuerungssysteme entwickelt, die die einzigartigen Risiken von OT-Systemen adressieren.

Diese sektorspezifischen Normen stimmen oft mit ISO 27001 überein und ergänzen es, indem sie sektorspezifische Anforderungen hinzufügen. Eine Einrichtung könnte ISO-27001-Zertifizierung verfolgen und gleichzeitig sektorspezifische Normen umsetzen, die den Sektor der Einrichtung widerspiegeln.

Aus Compliance-Sicht sollten Einrichtungen prüfen, ob ihr Mitgliedstaat sektorspezifische Leitlinien veröffentlicht hat, die klären, welche Normen oder Zertifizierungen er als Nachweis der NIS2-Konformität in bestimmten Sektoren anerkennt.

Verhältnismäßigkeit und Zertifizierung

Eine häufige Frage ist, ob Zertifizierung für die NIS2-Konformität erforderlich ist. Die Antwort ist nein: Artikel 21 verlangt verhältnismäßige Maßnahmen, nicht Zertifizierung. Eine kleine Einrichtung kann mit NIS2 ohne Zertifizierung konform sein, sofern sie verhältnismäßige Kontrollen umsetzt, die in ihren Sicherheitsrichtlinien und -verfahren dokumentiert sind.

Die Verhältnismäßigkeit muss jedoch echt sein. Eine Einrichtung, die behauptet, mit NIS2 konform zu sein, während sie grundlegende Kontrollen (Zugriffskontrollen, Überwachung, Vorfallsreaktion) nicht umsetzt, wäre in Verletzung, unabhängig von der Größe. Zertifizierung ist kein Ersatz für tatsächliche Umsetzung.

Für größere Einrichtungen und solche, die hochsensible Informationen oder kritische Infrastruktur behandeln, bietet Zertifizierung oft praktischen Nachweis verhältnismäßiger Umsetzung. Die Investition in Zertifizierung und Audit ist gerechtfertigt durch die Glaubwürdigkeit und Zusicherung, die sie Kunden, Regulierungsbehörden und Partnern bietet.

Wichtige Erkenntnisse

  • Die Artikel 24-25 erkennen Cybersicherheitsnormen und Zertifizierungsschemata als Mechanismen zur Demonstration der NIS2-Konformität an, verlangen jedoch keine Zertifizierung.
  • ISO 27001 ist ein weithin anerkannter Rahmen für die Umsetzung verhältnismäßiger Sicherheitsmaßnahmen, einschließlich Risikobewertung, Governance, Kontrollen, Überwachung und Vorfallsreaktion. Die ISO-27001-Zertifizierung bietet Nachweis systematischer Umsetzung.
  • EU-Cybersicherheitszertifizierungsschemata (EUCC, Common Criteria, SECOC) bieten anerkannte Normen für Produkte, Dienste und Prozesse, die die Beschaffung durch wesentliche Dienstleister erleichtern und Sicherheit gegenüber Kunden demonstrieren.
  • Zertifizierung unterstützt Konformität, indem sie einen strukturierten Ansatz zur Umsetzung verhältnismäßiger Maßnahmen und Drittzusicherung von Sicherheitspraktiken bietet, ersetzt jedoch nicht die tatsächliche Umsetzung der NIS2-Pflichten.
  • Sektorspezifische Normen (Gesundheit, Finanzen, Energie, Verkehr) ergänzen oft ISO 27001 und adressieren sektorspezifische Risiken und Anforderungen. Einrichtungen sollten die sektorspezifischen Leitlinien ihres Mitgliedstaats prüfen.
  • Für größere Einrichtungen und solche, die kritische Infrastruktur oder sensible Daten behandeln, bietet Zertifizierung oft praktischen Nachweis verhältnismäßiger Umsetzung und Glaubwürdigkeit gegenüber Kunden und Regulierungsbehörden.
  • Verhältnismäßigkeit wird durch Größe nicht aufgehoben: Kleine Einrichtungen können mit NIS2 ohne Zertifizierung konform sein, sofern sie verhältnismäßige Kontrollen umsetzen, aber eine wirklich verhältnismäßige Umsetzung ist weiterhin erforderlich.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.