CloudSoul
Ressourcen · Blog · NIS2

Verhältnismäßigkeit in der Praxis: Ihre NIS2-Maßnahmen richtig dimensionieren

Meistern Sie die Verhältnismäßigkeitsanforderungen von NIS2. Lernen Sie, Cybersicherheitsmaßnahmen für wesentliche und wichtige Einrichtungen zu bewerten, zu skalieren und zu rechtfertigen.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 25 May 2026 · 7 Min. Lesezeit
NIS2
Verhältnismäßigkeit in der Praxis: Ihre NIS2-Maßnahmen richtig dimensionieren

Wer sollte das lesen: Compliance-Beauftragte, Chief Information Security Officers, Risikomanagement-Fachkräfte.

Eine der größten Herausforderungen, vor denen Organisationen bei der Umsetzung der NIS2-Richtlinie stehen, besteht darin, zu bestimmen, was „geeignet und verhältnismäßig” in der Praxis tatsächlich bedeutet. Die Richtlinie betont die Verhältnismäßigkeit wiederholt: in Artikel 21(1) verlangt sie von wesentlichen und wichtigen Einrichtungen, „geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen” zu treffen. Diese Sprache klingt einfach, bis Sie sich mit Ihrem Vorstand zusammensetzen und erklären müssen, warum Ihre Organisation Millionen für bestimmte Kontrollen ausgibt, für andere aber nicht. Verhältnismäßigkeit zu verstehen ist nicht akademisch; sie ist die rechtliche und praktische Grundlage Ihres Compliance-Programms.

Das Prinzip der Verhältnismäßigkeit existiert aus gutem Grund. Die Richtlinie erkennt in Erwägungsgrund 81 ausdrücklich an, dass die Auferlegung unverhältnismäßiger finanzieller und administrativer Belastungen niemandem dient, weder den Organisationen selbst noch der Sicherheitslage der kritischen Infrastruktur Europas. Doch Verhältnismäßigkeit ist kein Freifahrtschein, um das absolute Minimum zu tun. Stattdessen ist sie eine nuancierte Anforderung, die verlangt, dass Sie Ihre Risiken, Ihren Betriebskontext und Ihre verfügbaren Ressourcen verstehen und dann verteidigbare Entscheidungen darüber treffen, wo Sie Ihr Sicherheitsbudget investieren.

Den Verhältnismäßigkeitsrahmen verstehen

Artikel 21(1) von NIS2 legt das Kernprinzip fest: Maßnahmen müssen verhältnismäßig zu den Risiken sein, die für Ihre Netz- und Informationssysteme bestehen. Bei der Bewertung dieser Verhältnismäßigkeit verlangt die Richtlinie, dass Sie mehrere Faktoren berücksichtigen, die alle dokumentiert und systematisch geprüft werden müssen. Diese Faktoren bilden eine Verhältnismäßigkeitsmatrix, die jeder Compliance-Beauftragte verinnerlicht haben sollte.

Der erste Faktor ist die Risikoexposition Ihrer Organisation. Dies ist kein generisches Risiko; es ist die spezifische Bedrohungslandschaft, der Ihr Sektor und Ihre besondere Position darin ausgesetzt sind. Ein Gesundheitsdienstleister, der Patientendaten verwaltet, sieht sich anderen Bedrohungen gegenüber als ein Wasserversorger, der Verteilernetze betreibt, selbst wenn beide wesentliche Einrichtungen sind. Ihre Expositionsbewertung sollte die sektorspezifischen Bedrohungsinformationen berücksichtigen, die Ihnen zur Verfügung stehen, die Prävalenz von Angriffen gegen ähnliche Organisationen und die Taktiken, die Bedrohungsakteure in Ihrer Branche typischerweise einsetzen. Die Kooperationsgruppe und die ENISA veröffentlichen sektorspezifische Leitlinien, und Ihr nationales CSIRT kann Ihnen auf den nationalen Kontext zugeschnittene Bedrohungsinformationen liefern.

Der zweite Faktor ist die Größe Ihrer Organisation. Eine kleine wesentliche Einrichtung mit fünfzig Mitarbeitern kann nicht glaubwürdig dieselbe technische Architektur umsetzen wie ein multinationales Großunternehmen. NIS2 erkennt diese Realität an. Wenn Sie die Verhältnismäßigkeit bewerten, ist die Größe Ihrer Organisation (gemessen in Mitarbeitern, Umsatz oder operativer Reichweite) eine legitime Variable. Größe ist jedoch nicht binär; sie liegt auf einem Spektrum. Eine Organisation mittlerer Größe kann sich nicht hinter Größenargumenten verstecken. Die Richtlinie erwartet eine verhältnismäßige Antwort, die Ihre tatsächliche operative Leistungsfähigkeit widerspiegelt.

Der dritte Faktor ist die Wahrscheinlichkeit und Schwere von Vorfällen, die Ihren Betrieb beeinträchtigen könnten. Dies ist Wahrscheinlichkeit multipliziert mit Auswirkung. Sie müssen nicht nur einschätzen, ob ein Vorfall eintreten könnte, sondern auch, wie wahrscheinlich er angesichts Ihrer Bedrohungslandschaft ist und welche Folgen er hätte, falls er einträte. Die Folgen umfassen Betriebsstörungen, finanzielle Verluste und, kritisch, gesellschaftliche und wirtschaftliche Auswirkungen. Wenn Ihre Organisation Energie, Wasser oder Gesundheitsdienste bereitstellt, könnte ein Vorfall das öffentliche Wohl beeinträchtigen. Die gesellschaftliche Dimension zieht sich durch NIS2 und ist für die Verhältnismäßigkeitsbewertungen wesentlicher Einrichtungen unerlässlich.

Erwägungsgrund 82 schafft zusätzliche Klarheit: Verhältnismäßigkeit sollte die Kritikalität Ihrer Einrichtung, die Risiken, denen sie ausgesetzt ist (einschließlich gesellschaftlicher Risiken), Ihre Größe und die Wahrscheinlichkeit sowie Schwere von Vorfällen einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen widerspiegeln. Beachten Sie die bewusste Wiederholung der gesellschaftlichen Auswirkung. Die Richtlinie signalisiert, dass für wesentliche Einrichtungen die gesellschaftliche Auswirkung nicht peripher ist; sie ist zentral für die Bestimmung geeigneter Maßnahmen.

Die Rolle von Normen und Stand der Technik

Artikel 21(1) verlangt, dass Sie „den Stand der Technik und, soweit anwendbar, einschlägige europäische und internationale Normen sowie die Kosten der Umsetzung” bei der Bestimmung verhältnismäßiger Maßnahmen berücksichtigen. Das ist entscheidende Sprache. Von Ihnen wird nicht erwartet, jede modernste Technologie oder jede in der neuesten NIST-Rahmenwerksrevision veröffentlichte Kontrolle umzusetzen. Von Ihnen wird erwartet, Maßnahmen umzusetzen, die in Ihrer Branche aktuell und akzeptiert sind.

Der Ausdruck „Stand der Technik” ist ein bewegliches Ziel. Er bedeutet die derzeit weithin anerkannten besten Praktiken in Ihrem Sektor. Wenn Ihre Wettbewerber in der Wasserversorgung industrielle Kontrollsysteme gemäß IEC 62443 härten, dann gehört diese Norm zum Stand der Technik für Wasserversorger. Wenn Krankenhäuser Segmentierungsnetzwerke für medizinische Geräte einsetzen, wird das für die Verhältnismäßigkeitsbewertungen anderer Krankenhäuser relevant.

Europäische und internationale Normen (ISO 27001, ISO 27005, IEC 62443, NIST Cybersecurity Framework und andere) dienen als Bezugspunkte. Sie sind nicht namentlich verpflichtend, aber sie sind die Maßstäbe, an denen Regulierungsbehörden die Angemessenheit Ihres Ansatzes bewerten werden. Bemerkenswert: Die Richtlinie verpflichtet Sie nicht zur ISO-27001-Zertifizierung. Sie schreibt keine spezifischen Kontrollrahmenwerke vor. Sie verlangt, dass Sie diese ernst als Bezugspunkte nehmen und Abweichungen davon begründen.

Die Kosten der Umsetzung sind ausdrücklich Teil der Verhältnismäßigkeitsbewertung. Wenn eine bestimmte Kontrolle mehr kostet als der Nutzen, den sie bringt, haben Sie legitime Gründe, ihre Verhältnismäßigkeit zu hinterfragen. Dies muss jedoch sorgfältig verstanden werden. Sie können nicht argumentieren, dass eine kritische Kontrolle unverhältnismäßig ist, weil sie teuer ist, wenn die Alternative ein inakzeptables Risiko für Ihre Organisation oder für öffentliche Dienste ist. Stattdessen bewerten Sie Kosten und Nutzen am Rand: Kontrollen, die bei enormen Kosten eine bescheidene Risikominderung bringen, können vernünftigerweise zugunsten von Kontrollen depriorisiert werden, die bei mäßigen Kosten eine substanzielle Risikominderung bringen.

Ihre Verhältnismäßigkeitsanalyse dokumentieren

In der Praxis muss Verhältnismäßigkeit nachweisbar sein. Ihre Compliance-Beauftragten, Ihr Vorstand und letztlich Ihre Aufsichtsbehörde müssen sehen, dass Sie eine strukturierte Methodik auf Ihre Verhältnismäßigkeitsbewertung angewandt haben. Es geht nicht darum, aufwendige Dokumentation um ihrer selbst willen zu erstellen. Es geht darum, eine Prüfspur zu schaffen, die Ihr Denken zeigt.

Beginnen Sie mit der Abbildung Ihrer kritischen Vermögenswerte und Dienste. Welches sind die Kerndienste, die Ihre Organisation erbringt? Welche Netz- und Informationssysteme sind für die Bereitstellung dieser Dienste wesentlich? Für wesentliche Einrichtungen umfasst dies typischerweise Systeme, die Energieversorgung, Wasserverteilung, Verkehrsnetze, Gesundheitsdienste oder digitale Infrastruktur unterstützen. Für wichtige Einrichtungen ist die Bewertung enger, folgt aber derselben Logik.

Führen Sie als Nächstes eine Risikobewertung durch, die die in Artikel 21(1) genannten spezifischen Faktoren behandelt. Dokumentieren Sie Ihre Risikoexposition: Welche Bedrohungsakteure zielen auf Ihren Sektor ab, welche Techniken setzen sie ein, was ist die typische Frequenz von Angriffen, und wie schwer sind die Vorfälle, wenn sie eintreten? Bewerten Sie Ihre Größe und operative Leistungsfähigkeit: Wie viele Sicherheitsfachleute haben Sie, wie hoch ist Ihr Budget, wie ist Ihre geografische Präsenz, und wie hoch ist Ihre technische Reife? Bewerten Sie die Wahrscheinlichkeit und Schwere von Vorfällen, die Ihre Organisation speziell betreffen könnten, und stützen Sie sich dabei auf sektorspezifische Bedrohungsinformationen und Ihre eigenen historischen Vorfallsdaten.

Bewerten Sie dann für jede der in Artikel 21(2) festgelegten verpflichtenden Risikomanagementmaßnahmen, die Risikoanalysepolitiken, Bewältigung von Sicherheitsvorfällen, Geschäftskontinuität, Sicherheit der Lieferkette, Entwicklungspraktiken, Wirksamkeitsbewertung, Schulung, Kryptografiepolitiken, Personalsicherheit und Multi-Faktor-Authentifizierung umfassen, welche spezifischen Kontrollen Ihrem Risikoprofil angemessen sind. Sie können diese Maßnahmen durch verschiedene Mechanismen umsetzen: Einige Organisationen bauen Kontrollen intern auf, andere lagern an Anbieter verwalteter Sicherheitsdienste aus, und einige verlassen sich auf die integrierten Fähigkeiten von Cloud-Anbietern. Die Richtlinie kümmert sich um das Ergebnis, nämlich dass Maßnahmen vorhanden und wirksam sind, nicht um den Bereitstellungsmechanismus.

Dokumentieren Sie Ihre Entscheidungen und Ihre Begründung. Wenn Sie sich entschieden haben, eine bestimmte Kontrolle nicht umzusetzen, erklären Sie, warum sie nicht verhältnismäßig ist. Wenn Sie eine Kontrolle in modifizierter Form statt im branchenüblichen Standardansatz umgesetzt haben, erklären Sie die risikobasierte Begründung. Diese Dokumentation ist keine bloße Bürokratie; sie ist Ihre erste Verteidigungslinie, falls Ihre Aufsichtsbehörde Ihre Verhältnismäßigkeitsbewertung in Frage stellt.

Verhältnismäßigkeit in der Durchsetzung

Es ist wert zu beachten, dass Verhältnismäßigkeit nicht nur ein Gestaltungsprinzip ist; sie ist auch ein Durchsetzungsprinzip. Artikel 21(4) verlangt, dass Organisationen, die Non-Compliance entdecken, „alle erforderlichen, geeigneten und verhältnismäßigen Korrekturmaßnahmen” ohne unangemessene Verzögerung ergreifen. Das bedeutet, dass Ihr Behebungsplan, wenn Sie eine Lücke identifizieren, dem von dieser Lücke ausgehenden Risiko angemessen sein sollte. Eine Verzögerung bei der Einführung der Multi-Faktor-Authentifizierung in einem unkritischen System kann eine kürzere Behebungsfrist rechtfertigen als eine Verzögerung bei den Vorfallserkennungsfähigkeiten in einem kritischen System.

Darüber hinaus ist Verhältnismäßigkeit in das Bußgeldregime eingebettet. Artikel 32 legt Höchstbußgelder von 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für wesentliche Einrichtungen fest, und 7 Millionen Euro oder 1,4 % des Umsatzes für wichtige Einrichtungen. Dies sind Höchstbeträge, keine Garantien. Bei der Festsetzung von Bußgeldern werden Regulierungsbehörden die Schwere des Verstoßes, die Größe der Organisation und die Angemessenheit der Abhilfemaßnahmen berücksichtigen. Eine Organisation, die eine gutgläubige Verhältnismäßigkeitsbewertung und rasche Behebung nach Entdeckung einer Lücke nachweisen kann, wird milder behandelt als eine Organisation, die Verpflichtungen ignoriert.

Wichtigste Erkenntnisse

  • Verhältnismäßigkeit ist eine rechtliche Anforderung, keine Ausrede für minimale Compliance. Artikel 21(1) und die Erwägungsgründe 81-82 verlangen von Ihnen, zu dokumentieren, wie Ihre Risikomanagementmaßnahmen Ihrer Risikoexposition, Größe und Ihrem operativen Kontext entsprechen.

  • Ihre Verhältnismäßigkeitsbewertung sollte ausdrücklich die Bedrohungsexposition, organisatorische Größe, Wahrscheinlichkeit und Schwere von Vorfällen sowie gesellschaftliche Auswirkungen für wesentliche Einrichtungen behandeln. Jeder Faktor sollte mit Nachweisen und Begründung dokumentiert werden.

  • Normen und Praktiken auf dem Stand der Technik in Ihrem Sektor dienen als Bezugspunkte. Verwenden Sie ISO, NIST, IEC und sektorspezifische Rahmenwerke, um Ihren Ansatz zu vergleichen, und dokumentieren Sie alle begründeten Abweichungen.

  • Verhältnismäßigkeit ist nicht statisch. Wenn sich Bedrohungen entwickeln, Ihre Organisation wächst oder Ihre kritischen Dienste sich ändern, überprüfen Sie Ihre Verhältnismäßigkeitsbewertung und passen Sie Ihre Maßnahmen entsprechend an.

  • Eine klare Dokumentation Ihrer Verhältnismäßigkeitsmethodik ist Ihre stärkste Verteidigung. Sie demonstriert gutgläubige Compliance, unterstützt die Vorstands-Governance und liefert Nachweise vernünftiger Entscheidungsfindung in regulatorischen Gesprächen.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.

Weiterlesen

Mehr aus dem Blog.

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt
NIS2 · 31 May 2026

NIS2 in Luxemburg: Wie das Gesetz vom 5. Mai 2026 die EU-Richtlinie umsetzt

Luxemburg hat NIS2 mit dem Gesetz vom 5. Mai 2026 umgesetzt und ILR, HCPN sowie CIRCL als institutionelle Säulen benannt. Was jede wesentliche und wichtige Einrichtung wissen muss.
Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher
NIS2 · 29 May 2026

Koordinierte Schwachstellenoffenlegung: Ein neuer Rahmen für Forscher

Verstehen Sie den Rahmen für die koordinierte Schwachstellenoffenlegung nach NIS2 Artikel 12. Wie Forscher, Anbieter und CSIRTs im neuen europäischen CVD-Prozess zusammenarbeiten.
NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen
NIS2 · 27 May 2026

NIS2 für das verarbeitende Gewerbe: Autos, Elektronik und Maschinen

Verstehen Sie die NIS2-Anforderungen für Hersteller von Fahrzeugen, Elektronik und Maschinen. Was „wichtige Einrichtungen" gemäß Anhang II umsetzen müssen.