CloudSoul
Ressourcen · Blog · NIS2

NIS2 für MSPs und MSSPs: Vom Anbieter zur regulierten Einrichtung

NIS2-Geltungsbereich für MSPs und MSSPs: Verstehen Sie, wie Managed-Service-Provider zu regulierten Einrichtungen nach Anhang I, Sektor 9 werden.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 13 May 2026 · 7 Min. Lesezeit
NIS2
NIS2 für MSPs und MSSPs: Vom Anbieter zur regulierten Einrichtung

Wer sollte das lesen: MSP/MSSP-Führungskräfte, Produktverantwortliche, Compliance-Beauftragte, Vertriebsteams.

Für Managed-Service-Provider (MSPs) und Managed-Security-Service-Provider (MSSPs) markiert die NIS2-Richtlinie eine entscheidende Verschiebung: Sie wechseln von Dienstleistern zu regulierten Einrichtungen. Bisher operierten MSPs weitgehend in einem privaten vertraglichen Raum, verantwortlich gegenüber ihren Kunden, aber nicht direkt von Regierungen reguliert. NIS2 ändert das: MSPs und MSSPs, deren Dienstleistungen wesentlich genug sind, fallen in den Geltungsbereich und werden zu wesentlichen Dienstleistern mit direkter staatlicher Aufsicht und Cybersicherheitspflichten.

Anhang I, Sektor 9 von NIS2 weist Managed-Service-Provider und Management-Service-Provider ausdrücklich als wesentliche Dienstleister aus. Der Geltungsbereich ist nicht universell: Nur MSPs und MSSPs, die bestimmte Schwellenwerte erreichen, werden zu wesentlichen Dienstleistern. Für diejenigen, die es werden, erlegt NIS2 jedoch Governance-, Sicherheits-, Audit- und Vorfallsmeldepflichten auf, die ihr Betriebs- und Compliance-Modell grundlegend umgestalten.

Dieser Beitrag entpackt den NIS2-Geltungsbereich für MSPs und MSSPs, klärt die Schwellenkriterien für die Ausweisung, untersucht, wie NIS2-Pflichten den Betrieb von MSPs/MSSPs beeinflussen, und gibt Hinweise zur Compliance-Bereitschaft. Der Beitrag ist besonders relevant für MSP/MSSP-Führungskräfte, die den Übergang vom privaten Anbieter zur öffentlich regulierten Einrichtung navigieren, und für ihre Kunden, die zunehmend NIS2-Konformität von Anbietern erwarten.

Definition des MSP/MSSP-Geltungsbereichs

Anhang I, Sektor 9 weist Managed-Service-Provider (MSPs) als wesentliche Dienstleister aus, wenn sie Management-Dienstleistungen (IT-Dienste, Hosting oder Netzwerkmanagement) für Einrichtungen erbringen, die selbst wesentliche Dienstleister sind. Ein MSSP, ein Managed-Security-Service-Provider, der Cybersicherheitsdienste für ein Krankenhaus, eine Energiegesellschaft oder einen anderen wesentlichen Dienstleister erbringt, ist ähnlich ausgewiesen.

Der Schlüsselausdruck ist „für wesentliche Dienstleister”. Ein MSP, der IT-Dienste für ein kleines E-Commerce-Unternehmen erbringt, ist selbst kein wesentlicher Dienstleister (der Kunde ist kein wesentlicher Dienst). Ein MSP, der IT-Dienste für ein Krankenhaus, eine Energiegesellschaft oder einen anderen ausgewiesenen wesentlichen Dienstleister erbringt, ist ein wesentlicher Dienstleister.

Anhang I enthält jedoch auch eine quantitative Schwelle. Ein MSP oder MSSP ist nur dann wesentlicher Dienstleister, wenn er Dienstleistungen für eine bestimmte Anzahl bedeutender Kunden erbringt oder ein bestimmtes Volumen kritischer Infrastruktur verwaltet. Mitgliedstaaten haben Ermessensspielraum bei der Festlegung dieser Schwellen; typischerweise werden Schwellen auf einem Niveau festgelegt, das große MSPs erfasst, aber nicht kleine lokale Anbieter.

Ein Mitgliedstaat könnte die Schwelle beispielsweise wie folgt definieren:

  • Ein MSP, der IT-Dienste für 20 oder mehr wesentliche Dienstleister verwaltet, oder
  • Ein MSP, der Dienste für wesentliche Dienstleister erbringt, die zusammen mehr als 1 % der kritischen Infrastruktur in der Zuständigkeit des Mitgliedstaats darstellen, oder
  • Ein MSSP mit mehr als X Sicherheitsvorfällen, die jährlich bearbeitet werden, oder ähnliche Kennzahlen.

Mitgliedstaaten veröffentlichen ihre spezifischen Schwellen während der NIS2-Umsetzung. MSPs und MSSPs sollten die Websites der ausgewiesenen Behörden ihrer Mitgliedstaaten konsultieren, um festzustellen, ob sie nach den veröffentlichten Kriterien in den Geltungsbereich fallen.

Der regulatorische Übergang: Vom privaten Anbieter zur öffentlichen Einrichtung

Für MSPs und MSSPs, die in den Geltungsbereich fallen, schafft NIS2 eine grundlegende Verschiebung des regulatorischen Status. Bisher unterlagen MSPs vertraglichen Verpflichtungen gegenüber ihren Kunden, aber nicht der direkten staatlichen Regulierung. NIS2 weist sie als wesentliche Dienstleister aus und bringt sie direkt unter staatliche Cybersicherheitsaufsicht.

Dies hat mehrere praktische Implikationen:

Regulatorische Registrierung und Ausweisung: MSPs und MSSPs müssen sich möglicherweise bei der zuständigen Behörde oder dem CSIRT ihres Mitgliedstaats registrieren, um ihren Status als ausgewiesene Einrichtungen zu bestätigen.

Staatliche Audits und Inspektionen: Zuständige Behörden und CSIRTs haben die Befugnis, Informationen anzufordern, Audits durchzuführen und die Konformität zu überprüfen. MSPs und MSSPs können regulatorische Aufsicht erwarten.

Vorfallsmeldung an Behörden: Wenn erhebliche Vorfälle auftreten, müssen MSSPs und MSPs innerhalb von 24 Stunden an zuständige Behörden und CSIRTs melden, nicht nur an ihre Kunden.

Compliance-Dokumentation: MSPs und MSSPs müssen Dokumentation ihrer Sicherheitsgovernance, Risikobewertungen, Kontrollen und Vorfallsreaktionsverfahren pflegen, Dokumentation, die von Regulierungsbehörden angefordert werden kann.

Diese Verschiebung unterscheidet sich von der DSGVO, wo Dienstleister (Auftragsverarbeiter) neben Verantwortlichen reguliert werden. Unter NIS2 sind MSPs und MSSPs als Einrichtungen mit direkten Pflichten ausgewiesen, nicht nur als Anbieter, die vertraglicher Aufsicht unterliegen.

Kernpflichten von NIS2 für MSPs und MSSPs

MSPs und MSSPs, die NIS2 unterliegen, müssen das gesamte Spektrum der NIS2-Pflichten umsetzen:

Verhältnismäßige Cybersicherheitsmaßnahmen (Artikel 21): MSPs und MSSPs müssen technische und organisatorische Maßnahmen umsetzen, die ihrem Risikoprofil angemessen sind. Für einen MSSP, der die Sicherheit für mehrere wesentliche Dienstleister verwaltet, ist das Risiko erheblich: Eine Verletzung des MSSP könnte auf mehrere Kunden kaskadieren. Verhältnismäßige Kontrollen sind umfangreich: Netzwerksegmentierung zwischen Kundenumgebungen, Zugriffskontrollen, Überwachung, Verschlüsselung und rigoroses Drittanbietermanagement.

Governance und Verantwortlichkeit des Vorstands (Artikel 21): Obwohl nicht alle MSPs große Unternehmen mit formellen Vorständen sind, gilt das Prinzip: Die Führungsebene muss für Cybersicherheitsrisiken verantwortlich sein. Die Führung muss Sicherheitsstrategien etablieren, Ressourcen zuweisen und Konformität sicherstellen.

Sicherheitsaudits (Artikel 26): Zuständige Behörden und CSIRTs haben die Befugnis, Sicherheitsaudits durchzuführen. MSPs und MSSPs müssen mit Audits kooperieren und bei Bedarf Informationen und Zugang bereitstellen. Größere MSPs/MSSPs können jährlichen oder zweijährlichen Audits unterzogen werden.

Vorfallserkennung und -reaktion (Artikel 23): MSPs und MSSPs müssen Vorfälle in ihrer eigenen Infrastruktur und in Kundenumgebungen erkennen (soweit sie diese Umgebungen verwalten). Sie müssen zeitnah reagieren und erhebliche Vorfälle innerhalb von 24 Stunden an Behörden melden.

Drittanbieterrisikomanagement (Artikel 22): Paradoxerweise müssen MSPs und MSSPs, die selbst Dienstleister für andere sind, ihre eigenen Anbieter und Subunternehmer verwalten. Ein MSSP, der Cloud-Infrastruktur für Kundendaten nutzt, muss sicherstellen, dass dieser Cloud-Anbieter Cybersicherheitsstandards erfüllt.

Spezifische Herausforderungen für MSPs und MSSPs

MSPs und MSSPs stehen vor einzigartigen Compliance-Herausforderungen im Vergleich zu anderen Einrichtungen:

Multi-Tenancy und Datenisolation: Viele MSPs und MSSPs nutzen Multi-Tenant-Architekturen, bei denen Daten und Systeme mehrerer Kunden eine gemeinsame Infrastruktur teilen. NIS2 verlangt, dass Kontrollen unbefugten Zugriff zwischen Mandanten verhindern und sicherstellen, dass eine Verletzung, die einen Kunden betrifft, andere nicht kompromittiert. Dies durch technische Kontrollen und Governance zu überprüfen, ist komplex.

Lieferkettenkonzentration: Große MSPs und MSSPs hängen von einer kleinen Anzahl von Cloud-Infrastrukturanbietern, Hardware-Herstellern und Software-Plattformen ab. Eine Verletzung bei einem vorgelagerten Anbieter (z. B. einem Cloud-Anbieter) kann alle Kunden des MSSP betreffen. Die Drittanbieterrisikomanagement-Pflichten von NIS2 verlangen, dass MSSPs dieses Konzentrationsrisiko managen.

Transparenz und Sichtbarkeit: MSPs und MSSPs müssen Sichtbarkeit über Kundenumgebungen für Vorfallserkennung und -reaktion wahren, während sie Kundenprivatsphäre und Datenschutz respektieren. Die Überwachung von Kundensystemen auf Sicherheitsvorfälle erfordert Zugriff auf Logs und Traffic, dies muss jedoch transparent und in Konformität mit Datenschutzpflichten erfolgen.

Compliance-Skalierung: Ein großer MSSP mit Hunderten oder Tausenden von Kunden steht vor Herausforderungen, Sicherheitsmaßnahmen über alle Kunden proportional zu skalieren. Manche Kunden sind stark reguliert (Gesundheit, Finanzen); andere weniger. Kontrollen müssen für alle angemessen sein.

Vorfallskoordination mit Kunden: Wenn ein Vorfall Kundenumgebungen betrifft, muss der MSSP die Reaktion mit dem Kunden koordinieren, hat aber auch eine direkte Meldepflicht an Behörden. Wenn ein Vorfall erheblich ist, meldet der MSSP an Behörden; der Kunde kann auch unabhängig melden. Koordination und Entkonflikt sind essenziell.

NIS2-Compliance-Strategie für MSPs und MSSPs

Für MSPs und MSSPs, die in den Geltungsbereich fallen, sollte eine umfassende Compliance-Strategie Folgendes adressieren:

Basis-Sicherheitsprogramm: Entwickeln und dokumentieren Sie ein Sicherheitsprogramm, das auf alle Operationen anwendbar ist. Definieren Sie akzeptable Risikoniveaus, etablieren Sie Kontrollen und pflegen Sie Richtlinien und Verfahren. Das Programm sollte alle Anforderungen von Artikel 21 adressieren: Zugriffskontrolle, Verschlüsselung, Überwachung, Vorfallsreaktion und Geschäftskontinuität.

Sicherheit der Kundenumgebung: Für MSPs, die Kunden-IT-Infrastruktur verwalten, oder MSSPs, die Kundensicherheit verwalten, etablieren Sie standardisierte Sicherheitskonfigurationen und Deployment-Vorlagen. Stellen Sie sicher, dass Kundenumgebungen Basis-Sicherheitsstandards erfüllen. Auditieren Sie die Konformität der Kundenumgebung.

Vorfallsreaktion und -meldung: Etablieren Sie klare Verfahren zur Erkennung von Vorfällen in der eigenen Infrastruktur des MSSP und in Kundenumgebungen. Definieren Sie die Erheblichkeitsschwelle und Verfahren zur Meldung an Behörden. Bilden Sie Vorfallsreaktionsteams in der 24-Stunden-Meldepflicht aus.

Drittanbietermanagement: Identifizieren Sie alle Anbieter, Cloud-Provider und Partner, die MSSP-Operationen unterstützen. Führen Sie Due-Diligence ihrer Sicherheitspraktiken durch. Etablieren Sie Verträge, die Cybersicherheitsmaßnahmen, Vorfallsmeldung und Auditrechte verlangen.

Zertifizierung und Standards: Erwägen Sie die Verfolgung einer ISO-27001- oder anderen Cybersicherheitszertifizierung. Diese Zertifizierungen demonstrieren Konformität gegenüber Kunden und Regulierungsbehörden und bieten einen Rahmen für kontinuierliche Verbesserung.

Regulatorisches Engagement: Überwachen Sie Mitgliedstaatsleitlinien zur NIS2-Umsetzung. Etablieren Sie Beziehungen zu der zuständigen Behörde, die für die MSP/MSSP-Aufsicht verantwortlich ist. Stellen Sie der Behörde Informationen über die Dienstleistungen des MSSP, Kundenbasis und Compliance-Status bereit.

Dokumentation: Pflegen Sie eine umfassende Dokumentation aller Sicherheitskontrollen, Risikobewertungen, Auditergebnisse, Vorfallsreaktionsverfahren und Drittanbietermanagement-Aktivitäten. Diese Dokumentation ist essenziell, um Konformität gegenüber Regulierungsbehörden nachzuweisen.

Kundenbeziehungen und vertragliche Pflichten

Für MSPs und MSSPs beeinflusst NIS2 die Kundenbeziehungen. Kunden erwarten zunehmend, dass Anbieter NIS2-konform sind, und manche Kunden (selbst wesentliche Dienstleister oder wichtige digitale Dienstleister) können von Anbietern vertraglich verlangen, NIS2-Standards zu erfüllen.

MSPs und MSSPs sollten:

NIS2-Compliance-Status kommunizieren: Veröffentlichen Sie Informationen zur NIS2-Konformität, Sicherheitszertifizierungen und Auditergebnissen. Kunden wollen Sicherheit, dass Anbieter reguliert und sicher sind.

Service Level Agreements (SLAs) aktualisieren: SLAs sollten aktualisiert werden, um NIS2-Vorfallsmeldepflichten zu reflektieren. Kunden sollten verstehen, dass der MSSP verpflichtet sein kann, Vorfälle an Behörden zu melden; SLA-Formulierungen sollten dies vorwegnehmen.

Auditnachweise bereitstellen: Kunden können Nachweise der NIS2-Konformität anfordern, einschließlich Auditberichten, Zertifizierungen und Kontroll-Dokumentation. MSPs und MSSPs sollten bereit sein, Auditnachweise bereitzustellen (vorbehaltlich Vertraulichkeitsbeschränkungen).

Vorfallsverantwortlichkeiten klären: Wenn eine Kundenumgebung von einem Vorfall betroffen ist, klären Sie, welche Partei (MSSP oder Kunde) für welche Aspekte der Reaktion und Meldung verantwortlich ist. Der MSSP kann direkte Meldepflichten an Behörden haben; der Kunde kann parallele Pflichten haben. Koordinationsverfahren sollten klar sein.

Wichtige Erkenntnisse

  • MSPs und MSSPs fallen in den NIS2-Geltungsbereich (Anhang I, Sektor 9), wenn sie Dienstleistungen für ausgewiesene wesentliche Dienstleister erbringen und Mitgliedstaatsschwellen erreichen. Ausweisungskriterien variieren je nach Mitgliedstaat; prüfen Sie die lokale Umsetzung auf Anwendbarkeit.
  • NIS2-ausgewiesene MSPs und MSSPs werden zu wesentlichen Dienstleistern mit direkter staatlicher Aufsicht. Sie sind nicht mehr rein private Anbieter, sondern regulierte Einrichtungen mit Pflichten zur Umsetzung von Kontrollen, Meldung von Vorfällen und Kooperation mit Behörden.
  • Kernpflichten umfassen die Umsetzung verhältnismäßiger Sicherheitsmaßnahmen, die Etablierung von Governance, Sicherheitsaudits, Vorfallserkennung und -reaktion sowie das Management des Drittanbieter-Cybersicherheitsrisikos.
  • Einzigartige Herausforderungen umfassen Multi-Tenant-Datenisolation, Lieferkettenkonzentration, Transparenz- und Sichtbarkeitsanforderungen und Vorfallskoordination mit Kunden.
  • Die Compliance-Strategie sollte Basis-Sicherheitsprogramme, Sicherheit der Kundenumgebung, Vorfallsreaktions- und Meldeverfahren, Drittanbietermanagement, Zertifizierungen, regulatorisches Engagement und umfassende Dokumentation umfassen.
  • Kundenkommunikation ist essenziell: MSPs und MSSPs sollten Compliance-Status veröffentlichen, SLAs aktualisieren, um Vorfallsmeldepflichten zu reflektieren, Auditnachweise bereitstellen und Vorfallsverantwortlichkeiten klären.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.