NIS2 und Penetrationstests: Was Artikel 21 wirklich von Ihnen fordert
Die NIS2-Richtlinie hat einen unscharfen Satz, der in deutschen IT-Abteilungen seit Monaten fuer Diskussionen sorgt: Unternehmen muessen "Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmassnahmen" einfuehren. Konkret uebersetzt: Sie muessen regelmaessig pruefen, ob Ihre Sicherheit tatsaechlich funktioniert. Reicht dafuer ein jaehrlicher Schwachstellenscan? Oder brauchen Sie Pentests?
Dieser Artikel raeumt mit den Missverstaendnissen auf.
Kurz vorab: Schreibt NIS2 Pentests explizit vor?
Nein. NIS2 nennt das Wort "Penetrationstest" nicht. Es fordert aber Massnahmen, die in der aufsichtsrechtlichen Praxis nur mit Pentests nachweisbar sind:
- Artikel 21 Abs. 2 lit. e): Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen inkl. Schwachstellenbehandlung
- Artikel 21 Abs. 2 lit. f): Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmassnahmen
- Artikel 21 Abs. 1: Massnahmen muessen dem Stand der Technik entsprechen
Das BSI und die meisten europaeischen Aufsichtsbehoerden legen "Stand der Technik" + "Wirksamkeitsbewertung" so aus: Schwachstellenmanagement + Penetrationstests als Jaehrliches Minimum.
Fuer wen NIS2 gilt
NIS2 gilt fuer:
- Wesentliche Einrichtungen (Grossunternehmen in 11 Sektoren, ab 250 MA oder EUR 50 Mio. Umsatz)
- Wichtige Einrichtungen (mittlere Unternehmen ab 50 MA/EUR 10 Mio.)
In Deutschland wird NIS2 durch das NIS2UmsuCG (in Umsetzung 2025/2026) umgesetzt. Die Pflichten treffen damit erstmals viele deutsche Mittelstaendler, die zuvor nicht unter KRITIS fielen.
Machen Sie den NIS2-Selbstcheck - die Plattform zeigt in 5 Minuten, ob und wie NIS2 auf Sie zutrifft.
Was Artikel 21 konkret fordert
Artikel 21 Abs. 2 listet zehn Massnahmen-Bereiche. Zwei davon haben direkten Pentest-Bezug:
lit. e) Sicherheit in der Lieferkette und bei IT-Systementwicklung
Fordert:
- Schwachstellen zu behandeln
- Sicherheit von Beschaffung, Entwicklung und Wartung von IT-Systemen
- Schwachstellenbehandlung und -offenlegung
Praktische Uebersetzung: Sie brauchen ein dokumentiertes Schwachstellenmanagement-Programm. Pentests sind ein Kernbestandteil davon.
lit. f) Konzepte zur Bewertung der Wirksamkeit
Fordert:
- Regelmaessige Bewertung der Massnahmen
- Dokumentierte Verfahren
- Messbare Kriterien
Praktische Uebersetzung: Einmaliger Pentest reicht nicht. Sie muessen einen Prozess aufbauen, der kontinuierlich prueft. Das kombiniert:
- Kontinuierliche Schwachstellenanalyse
- Mindestens jaehrlicher Penetrationstest
- Anlassbezogene Tests bei wesentlichen Aenderungen
Was das BSI sagt
Das BSI hat in seinem Orientierungsrahmen zu NIS2 (2025) klargestellt:
"Wesentliche und wichtige Einrichtungen sollen mindestens einmal jaehrlich oder anlassbezogen die Wirksamkeit ihrer technischen Schutzmassnahmen durch geeignete Pruefverfahren (z.B. Penetrationstests) validieren."
Das ist zwar keine Rechtsverordnung, aber in der Aufsichtspraxis wird genau dieser Massstab angelegt. Wer im Pruefjahr keinen Pentest nachweisen kann, hat erhoehten Erklaerungsbedarf.
Was "Stand der Technik" bei Pentests bedeutet
Der Stand der Technik fuer Pentests in Deutschland 2026 umfasst:
Externe Pentests
- Mindestens einmal jaehrlich
- Pruefung des gesamten externen Perimeters
- Webapplikationen mit Authentifizierung
- API-Pruefung
Interne Pentests
- Mindestens alle zwei Jahre bei mittleren Unternehmen
- Jaehrlich bei grossen und kritischen Einrichtungen
- Active Directory, laterale Bewegung, Privilege Escalation
Cloud-Pentests
- Bei relevanter Cloud-Nutzung (also praktisch ueberall)
- IAM-Pruefung, Konfigurationsanalyse, Container-Security
Kontinuierliche Schwachstellenanalyse
- Automatisierte Scans mindestens monatlich
- Asset Discovery fortlaufend
- Integration in Change-Prozesse
Anlassbezogene Pentests
- Vor Go-Live kritischer Systeme
- Nach wesentlichen Architekturaenderungen
- Nach Sicherheitsvorfaellen
Welche Sanktionen bei Nichteinhaltung drohen
NIS2 sieht erhebliche Bussgelder vor:
- Wesentliche Einrichtungen: bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu EUR 7 Mio. oder 1,4 % des weltweiten Jahresumsatzes
Zusaetzlich:
- Persoenliche Haftung der Geschaeftsleitung (Art. 20)
- Oeffentliche Bekanntmachung von Verstoessen
- Moegliche Aussetzung der Taetigkeit fuer Geschaeftsleitung
Ein fehlender Pentest-Nachweis allein wird nicht zu maximalen Bussgeldern fuehren, kann aber bei einem Sicherheitsvorfall als Organisationsverschulden gewertet werden - mit entsprechenden haftungsrechtlichen Folgen.
Das Mindestprogramm fuer NIS2-pflichtige Unternehmen
Basierend auf der Aufsichtspraxis 2026 empfehlen wir folgendes Mindestprogramm:
Fuer wichtige Einrichtungen (50-249 MA)
- 1 × externer Pentest/Jahr: EUR 8.000-18.000
- Alle 2 Jahre interner Pentest: amortisiert ca. EUR 7.500/Jahr
- Kontinuierliche Schwachstellenanalyse (PTaaS oder Tool): EUR 8.000-18.000/Jahr
- Gesamtbudget: EUR 25.000-45.000/Jahr
Fuer wesentliche Einrichtungen (250+ MA)
- 1 × externer Pentest/Jahr: EUR 15.000-30.000
- 1 × interner Pentest/Jahr: EUR 12.000-22.000
- 1 × Cloud-Pentest/Jahr: EUR 15.000-28.000
- Kontinuierliche Schwachstellenanalyse: EUR 18.000-36.000/Jahr
- Gesamtbudget: EUR 60.000-115.000/Jahr
Matproof Pentest fuer NIS2 bietet genau dieses Bundle als Komplettpaket mit direktem Mapping aller Findings auf NIS2 Artikel 21.
Wie Matproof NIS2-Compliance abbildet
Matproof kombiniert:
- Kontinuierliche automatisierte Pentests - erfuellt "Wirksamkeitsbewertung" (Art. 21 lit. f) kontinuierlich
- NIS2-Mapping - jedes Finding wird direkt einer NIS2-Anforderung zugeordnet
- Audit-fertige Evidenz - automatische Berichte fuer BSI- oder Aufsichtsbehoerden-Pruefungen
- Menschliche Deep-Dive-Pentests - mindestens jaehrlich inklusive, erfuellt Stand-der-Technik-Anforderung
- Incident-Response-Integration - Findings fliessen in Incident-Management (Art. 21 lit. b)
Dazu kommen die Readiness-Tools: NIS2-Readiness-Assessment, NIS2-Checker, NIS2-Umsetzungsleitfaden.
Haeufige Missverstaendnisse
"Wir haben einen Schwachstellenscan, das reicht"
Nein. Ein Schwachstellenscan ist keine Pentest-Pruefung. Er findet bekannte CVEs, prueft aber nicht die Ausnutzbarkeit oder Wirksamkeit der Schutzmassnahmen.
"Unsere Betriebshaftpflicht deckt das ab"
Nein. Eine Cyber-Versicherung ersetzt keine Compliance. Viele Policen verlangen sogar explizit jaehrliche Pentests als Bedingung fuer Deckung.
"Wir sind zu klein fuer NIS2"
Pruefen Sie das. NIS2 gilt bereits ab 50 MA oder EUR 10 Mio. Umsatz in wichtigen Sektoren. Zusaetzlich haben Lieferketten-Pflichten Wirkung auch auf kleinere Zulieferer. NIS2-Check in 5 Minuten.
"Wir machen das intern"
Ein interner Sicherheitstest ist sinnvoll, ersetzt aber keinen externen Pentest. Aufsichtsbehoerden erwarten unabhaengige Pruefung durch qualifizierte Dritte.
Zeitplan: Was Sie 2026 tun sollten
Q2 2026 (jetzt)
- NIS2-Betroffenheitsanalyse durchfuehren
- Externen Pentest fuer Q3 beauftragen (Vorlaufzeit beachten)
- Kontinuierliche Schwachstellenanalyse einfuehren
Q3 2026
- Erster externer Pentest durchgefuehrt
- Ergebnisse in Risikomanagement-Dokumentation integrieren
- Meldewege zum BSI einrichten (Art. 23)
Q4 2026
- Interner Pentest oder Cloud-Pentest
- Jahresbericht zur Wirksamkeitsbewertung erstellen
- Fuer 2027 kontinuierliches Pentest-Programm budgetieren
Fazit
NIS2 schreibt Pentests nicht direkt vor - aber in der Aufsichtspraxis sind sie faktisch Pflicht. Wer 2026 keinen jaehrlichen Pentest und kein kontinuierliches Schwachstellenmanagement nachweisen kann, erfuellt nicht den Stand der Technik nach Artikel 21 und riskiert Bussgelder, persoenliche Haftung und - im Schadensfall - Versicherungsprobleme.
Der einfachste Weg: ein PTaaS-Programm mit direktem NIS2-Mapping, das kontinuierliche Pruefung und jaehrlichen Deep-Dive in einem Abo kombiniert.
Starten Sie hier: NIS2-Readiness-Assessment (15 Minuten, Sofortauswertung) oder Matproof Pentest fuer NIS2 direkt anfragen.
Weiter lesen: Der NIS2-Umsetzungsleitfaden | Pentest-Kosten in Deutschland | Pentest-as-a-Service Leitfaden