Framework Guide

NIS 2 Artikel 21 - Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit

Secfix Team
January 28, 2026

Auch hier ist es erwähnenswert, dass von der gesamten NIS-2-Richtlinie (45 Artikel) nur drei Artikel für Unternehmen, die die Vorschriften einhalten wollen, relevant sind. Einer von ihnen ist Artikel 21. Darüber hinaus spielen Artikel 20 (Governance) und Artikel 23 (Berichtspflichten) eine wichtige Rolle. In diesem Blogbeitrag geht es um Artikel 21 der NIS 2 - Maßnahmen zum Management von Cybersicherheitsrisiken und wie ISO 27001 diesen Bereich abdeckt.

NIS 2 Artikel 21: Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit

Die Tatsache, dass sich Cyber-Bedrohungen ständig weiterentwickeln, ist nichts Neues. Deshalb hat die Europäische Union neue und strengere Vorschriften (wie die NIS 2 - Richtlinie) für Organisationen eingeführt, die in wichtigen Sektoren tätig sind.

Ein wichtiger Aspekt dieser Richtlinie ist Artikel 21, in dem die Anforderungen an Maßnahmen des Cybersicherheitsrisikomanagements dargelegt werden.

Was ist NIS 2?

Die NIS 2 - Richtlinie (Netz- und Informationssicherheit 2) ist eine Aktualisierung der ursprünglichen NIS - Richtlinie, die deren Anwendungsbereich erweitert und die Anforderungen an die Cybersicherheit verschärft. Die Richtlinie gilt für eine breite Palette von Sektoren, die als kritisch für das Funktionieren der Gesellschaft gelten, darunter Energie, Gesundheitswesen, Finanzen, öffentliche Verwaltung und digitale Infrastruktur. Lesen Sie mehr darüber in diesem Blog.

Artikel 21: Kernanforderungen an das Risikomanagement im Bereich der Cybersicherheit

Artikel 21 der NIS 2 stellt sicher, dass Organisationen einen umfassenden und risikobasierten Ansatz für das Management von Cybersicherheitsrisiken verfolgen. Zu den wichtigsten Anforderungen gehören:

  • Risikobewertung: Unternehmen müssen regelmäßig die mit ihrer IT- und OT-Infrastruktur (Operational Technology) verbundenen Risiken bewerten. Dazu gehört die Ermittlung von Schwachstellen, potenziellen Bedrohungen und der Wahrscheinlichkeit von Cyberangriffen, die die Verfügbarkeit, Integrität und Vertraulichkeit wichtiger Dienste beeinträchtigen könnten.

  • Sicherheitspolitiken und -verfahren: Unternehmen sind verpflichtet, formelle Sicherheitsrichtlinien einzuführen. Diese Richtlinien sollten Bereiche wie Zugangskontrolle, Patch-Management, Netzwerksicherheit, Erkennung von und Reaktion auf Vorfälle abdecken.

  • Sicherheit der Lieferkette: Die Unternehmen müssen auch Maßnahmen zur Sicherung ihrer Lieferketten ergreifen. Dies bedeutet, dass sie die Cybersicherheitslage von Drittanbietern und Partnern bewerten und sicherstellen müssen, dass sie die Mindestsicherheitsstandards erfüllen.

  • Reaktion auf Zwischenfälle und Wiederherstellung: Artikel 21 unterstreicht die Bedeutung eines gut definierten Verfahrens zur Reaktion auf Zwischenfälle. Dazu gehört die Fähigkeit, Vorfälle im Bereich der Cybersicherheit schnell und effektiv zu erkennen, darauf zu reagieren und sich davon zu erholen.

  • Einsatz modernster Technologie: Organisationen werden ermutigt, modernste Technologien und bewährte Verfahren einzusetzen, um ihre Cybersicherheit zu verbessern. Dazu gehört auch der Einsatz fortschrittlicher Tools für die Erkennung, Überwachung und Abwehr von Bedrohungen.

  • Schulung und Sensibilisierung: Ein entscheidender Aspekt des Risikomanagements besteht darin, sicherzustellen, dass die Mitarbeiter sich der Risiken der Cybersicherheit bewusst sind und regelmäßig in den neuesten Sicherheitspraktiken geschult werden. Der Aufbau einer Kultur des Sicherheitsbewusstseins ist entscheidend für die Verringerung menschlicher Fehler, die zu Cyber-Vorfällen führen könnten.

Warum ist Artikel 21 (NIS2) von Bedeutung?

Die Einführung von Artikel 21 ist ein klares Signal, dass es der Europäischen Union ernst ist mit der Verbesserung der Cybersicherheitsstandards in kritischen Sektoren. Durch die obligatorische Umsetzung von Risikomanagementmaßnahmen soll sichergestellt werden, dass Organisationen einen proaktiven Sicherheitsansatz verfolgen, anstatt nur auf Bedrohungen zu reagieren, nachdem diese bereits eingetreten sind. Durch die Konzentration auf Vorbeugung und Schadensbegrenzung zielt die NIS 2 darauf ab, eine widerstandsfähigere und sicherere digitale Infrastruktur in ganz Europa zu schaffen.

Die Nichteinhaltung von Artikel 21 kann schwerwiegende Folgen haben, darunter Geldstrafen, Rufschädigung und sogar die vorübergehende Einstellung des Betriebs. Für Unternehmen geht es bei der Einhaltung der Vorschriften nicht nur darum, Strafen zu vermeiden, sondern auch darum, ihre Geschäftstätigkeit zu schützen und das Vertrauen von Kunden und Interessengruppen zu erhalten.

Mapping von ISO 27001 auf Artikel 21

Organisationen, die bereits nach ISO 27001, der internationalen Norm für das Informationssicherheitsmanagement, zertifiziert sind, sind gut aufgestellt, um die Anforderungen von Artikel 21 zu erfüllen. ISO 27001 bietet einen Rahmen für die Risikobewertung, das Management von Zwischenfällen und die kontinuierliche Verbesserung, der sich eng an die in der NIS 2 dargelegten Risikomanagementmaßnahmen anlehnt.

Die Organisationen sollten jedoch eine Lückenanalyse durchführen, um sicherzustellen, dass alle Aspekte von Artikel 21 abgedeckt sind, insbesondere im Hinblick auf die Sicherheit der Lieferkette und den Einsatz modernster Technologie. 

Wie Secfix hilft

Die Komplexität der NIS 2-Konformität kann eine Herausforderung sein, aber mit den richtigen Tools und der richtigen Unterstützung ist es machbar. Secfix hat sich darauf spezialisiert, Unternehmen bei der Automatisierung ihrer Cybersecurity-Risikomanagementprozesse zu unterstützen und die Einhaltung von Standards wie ISO 27001 und NIS 2 zu gewährleisten. Unsere Plattform erleichtert die Durchführung von Risikobewertungen, die Überwachung von Drittanbietern und die Einhaltung der neuesten Sicherheitsmaßnahmen.

Mit unserer automatisierten Plattform können Unternehmen den Konformitätsprozess vereinfachen, Zeit sparen und das Risiko von kostspieligen Strafen verringern. Wenn Sie sich auf NIS 2 vorbereiten, kann Secfix Ihnen helfen, ein robustes, sicheres und konformes Cybersicherheitssystem zu schaffen.

Vereinbaren Sie einen Beratungstermin mit uns.

– 24/7 Support for all our customer

Achieve ISO 27001 in weeks, with real experts by your side.

Book Demo

Latest blog posts

Discover stories, tips, and resources to inspire your next big idea.

Compliance Insights
Keine Artikel gefunden.

Wie man überzeugende Ausschlussargumente im Statement of Applicability (SOA) formuliert

Secfix Team

Formulierung der Ausschlussgründe für SOA

Framework Guide
ISO 27001

Bedeutung der Dynamik interner Besprechungen für die Instandhaltung von ISO 27001

Secfix Team

Warum diese Besprechungen eine entscheidende Rolle spielen

Framework Guide
ISO 27001

Cloud-Sicherheit - ISO 27017 unter ISO 27001

Secfix Team

Wie ISO 27017 die Cloud-Konformität in ISO 27001 abdeckt

NIS 2
NIS 2
Hey, verpassen Sie nicht unser nächstes Webinar

Kostenloses SaaS-Webinar jetzt für alle unsere Besucher geöffnet

Tage
00
Stunden
00
Min
00
Sek
00
Jetzt registrieren