NIS2 Penetrationstest: Anforderungen nach Art. 21 NIS2 und NIS2UmsuCG

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) und ihr deutsches Umsetzungsgesetz NIS2UmsuCG verpflichten essenzielle und wichtige Einrichtungen zu regelmäßigen technischen Sicherheitsbewertungen. Art. 21 NIS2 schreibt explizit 'regelmäßige und außerplanmäßige Bewertungen der Wirksamkeit' von Cybersicherheitsmaßnahmen vor — ein Vulnerability Scan reicht nicht. Das BSI fungiert als primäre Aufsichtsbehörde in Deutschland und kann Bußgelder bis €10 Millionen verhängen sowie die Geschäftsleitung persönlich belangen.

NIS2-Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum NIS2 den Pentest zur unternehmerischen Pflicht macht

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen gegenüber NIS1 erheblich: Schätzungsweise 30.000 bis 40.000 Unternehmen in Deutschland fallen neu unter die Regulierung — darunter mittelständische Unternehmen in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Wasserversorgung, Lebensmittelproduktion und Raumfahrt. Kern der technischen Anforderungen ist Art. 21 NIS2-RL, der in seiner deutschen Umsetzung (§§ 30–32 NIS2UmsuCG) konkret Penetrationstests als Mittel zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen nennt. Besonders einschneidend ist die persönliche Haftung der Geschäftsleitung (§ 38 NIS2UmsuCG): Leitungsorgane können nicht mehr auf 'habe ich nicht gewusst' setzen — sie müssen nachweisen können, dass sie angemessene technische Maßnahmen angeordnet und deren Wirksamkeit kontrolliert haben. Ein aktueller, dokumentierter Pentest-Bericht ist der stärkste Nachweis dieser Kontrollpflicht.

NIS2 Art. 21 Abs. 2 lit. g: 'Grundlegende Verfahren im Bereich Cyberhygiene und Cybersicherheitsschulungen' — explizit ergänzt durch lit. h: 'Policies und Verfahren für den Einsatz von Kryptographie und ggf. Verschlüsselung' und lit. m: 'Sicherheit in der Lieferkette'. Penetrationstests sind das primäre Instrument zur Verifikation dieser Maßnahmen.
NIS2 Art. 21 Abs. 1: Verhältnismäßigkeitsgrundsatz — Maßnahmen müssen 'dem Risiko angemessen' sein; das BSI erwartet jedoch für essenzielle Einrichtungen (Sektor Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur) mindestens jährliche Penetrationstests.
§ 38 NIS2UmsuCG (persönliche Haftung Leitungsorgane): Geschäftsführer und Vorstandsmitglieder haften persönlich für Verstöße gegen NIS2-Anforderungen — Haftungsausschluss nur möglich, wenn sie nachweisen, dass sie die Einhaltung angemessen überwacht und beauftragt haben.
Bußgelder NIS2: Essenzielle Einrichtungen bis €10 Mio. oder 2 % des globalen Jahresumsatzes (der höhere Betrag gilt). Wichtige Einrichtungen bis €7 Mio. oder 1,4 % des Jahresumsatzes. Das BSI kann zudem die Zulassung entziehen (Art. 32 Abs. 5 NIS2-RL).
Meldefrist-Anforderungen (Art. 23 NIS2): Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden (Frühwarnung), vollständige Meldung nach 72 Stunden. Ein vorliegender Pentest-Bericht erleichtert die Ursachenanalyse im Vorfallsfall erheblich.
Lieferkettensicherheit (Art. 21 Abs. 2 lit. m NIS2): Essenzielle Einrichtungen müssen die Sicherheit ihrer direkten Lieferanten und Dienstleister bewerten — inkl. Penetrationstests für kritische Software-Komponenten und IKT-Dienstleister.
BSI-Aufsicht: Das BSI kann ohne Vorankündigung Vor-Ort-Prüfungen durchführen und die Vorlage von Pentest-Berichten und -Unterlagen erzwingen (§ 64 NIS2UmsuCG). Wer keinen aktuellen Bericht vorlegen kann, muss mit sofortiger Nachbesserungsanordnung und Bußgeldbescheid rechnen.

Was ein NIS2-konformer Pentest prüft

Netzwerk-Perimeter und Erreichbarkeit: Exponierte Services, ungepatchte Systeme, veröffentlichte CVEs in verwendeten Produkten (z.B. CVE-2024-21887 Ivanti Connect Secure RCE, CVSS 9.1; CVE-2023-20198 Cisco IOS XE, CVSS 10.0).
Authentifizierungs-Infrastruktur: Active Directory-Sicherheit (Kerberoasting, Pass-the-Hash, DCSync-Angriffe), IAM-Konfiguration, MFA-Abdeckung, privilegierte Konten (§ 30 Abs. 2 lit. e NIS2UmsuCG: Zugangssteuerung).
Patch-Management-Compliance: Verifikation ob bekannte kritische CVEs (NVD CVSS >= 9.0) gepatcht sind — BSI erwartet max. 30 Tage für kritische Patches, max. 90 Tage für hohe.
Verschlüsselung und Kryptographie (Art. 21 Abs. 2 lit. h): TLS-Konfiguration (kein TLS 1.0/1.1, keine RC4/DES-Cipher), Datenverschlüsselung at rest, Schlüsselmanagement-Prozesse.
SIEM/SOC-Detektionsqualität: Prüfung ob simulierte Angriffe in Logging-Systemen detektiert werden — NIS2 Art. 23 Meldefrist-Anforderungen setzen voraus, dass Vorfälle innerhalb 24 Stunden erkannt werden.
Web-Applikations-Sicherheit: OWASP Top 10 (2021), API-Sicherheit (OWASP API Top 10, 2023), Authentifizierungs-Flows, Input-Validierung, Session-Management.
E-Mail-Sicherheit (Anti-Phishing): SPF, DKIM, DMARC-Konfiguration, BIMI, anti-spoofing-Controls — NIS2 nennt Phishing explizit als Bedrohungsvektor in Erwägungsgrund 79.
Lieferketten-Komponenten: SCA (Software Composition Analysis) für alle verwendeten Open-Source-Bibliotheken gegen NVD/GHSA; Bewertung von Drittanbieter-SaaS-Integrationen.
Backup-Systeme und Business Continuity: Verifikation ob Backups angreifbar sind (Ransomware-Isolation, Offline-Kopien), Wiederherstellungszeit-Tests.
Cloud-Infrastruktur: IAM-Fehlkonfigurationen, exponierte Storage, Secrets in Umgebungsvariablen oder Code-Repositories — CVE-2024-21626 (runc container escape, CVSS 8.6) als Referenz für Container-Sicherheit.

Beispiel-Befund

Kritisch

Unauthentifizierter RCE durch ungepatchte Ivanti Connect Secure-Instanz (CVE-2024-21887)

Die VPN-Gateway-Instanz (Ivanti Connect Secure 9.1R14) ist direkt aus dem Internet erreichbar und enthält die ungepatchte Schwachstelle CVE-2024-21887 (Command Injection in Web-Komponente, CVSS 9.1). Ein nicht-authentifizierter Angreifer kann über einen manipulierten HTTP-Request beliebige Betriebssystembefehle mit SYSTEM-Rechten ausführen. Die Schwachstelle wurde am 10. Januar 2024 veröffentlicht und wird aktiv von staatlichen Angreifern (Mandiant UNC5221, mutmaßlich Verbindung zu China) ausgenutzt. Über die kompromittierte VPN-Appliance ist direkter Zugriff auf das interne Netzwerksegment möglich, in dem sich das SCADA-System der Energieversorgung befindet.

Behebung: Sofortiger Patch auf Ivanti Connect Secure 22.7R2.2 (oder aktuellste Version). Falls Patch nicht sofort möglich: temporäre Abschaltung des VPN-Gateways oder Netzwerk-ACL-Einschränkung auf bekannte IP-Ranges. Factory-Reset der Appliance nach Patch (Ivanti empfiehlt dies wegen persistenter Backdoors durch UNC5221). Netzwerksegmentierung: VPN-Gateway darf keinen direkten Zugriff auf SCADA-Segmente haben — Firewall-Regel mit expliziter Freigabe nur notwendiger Protokolle/Ports. Dokumentation des Vorfalls und Prüfung ob eine NIS2 Art. 23 Meldung (24-Stunden-Frühwarnung) erforderlich ist.

Referenz: CVE-2024-21887 (CVSS 9.1) · CVE-2023-46805 (Authentication Bypass, Ivanti) · NIS2 Art. 21 Abs. 2 · BSI-Empfehlung: Patch-Management gemäß IT-Grundschutz ORP.3.M3

NIS2-Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

NIS2-konforme Pentest-Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum NIS2 Penetrationstest

Welche Unternehmen fallen in Deutschland unter NIS2?

NIS2 gilt für 'essenzielle Einrichtungen' (Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste B2B, Weltraum, öffentliche Verwaltung) und 'wichtige Einrichtungen' (weitere kritische Sektoren: Post, Abfallbewirtschaftung, Lebensmittel, Herstellung kritischer Produkte, Chemie, Forschung, digitale Anbieter). Größenschwelle: ab 50 Mitarbeiter oder €10 Mio. Jahresumsatz in einem der genannten Sektoren. Ausnahmen für Kleinstunternehmen, sofern nicht systemkritisch.

Was fordert NIS2 Art. 21 konkret von Unternehmen?

Art. 21 NIS2-RL (in DE: §§ 30–32 NIS2UmsuCG) verlangt ein 'Risikomanagement-Konzept' mit mindestens 10 Maßnahmenkategorien: Sicherheitsrichtlinien, Incident Management, Business Continuity, Lieferkettensicherheit, Netzwerk- und Systemsicherheit, Schwachstellenmanagement, Kryptographie, Zugangssteuerung, MFA, E-Mail-Sicherheit. Penetrationstests sind das primäre Verifikationsinstrument für die technischen Maßnahmen (v.a. Netzwerk- und Systemsicherheit, Schwachstellenmanagement).

Wie unterscheidet sich ein NIS2-Pentest von einem DORA-Pentest?

NIS2 gilt sektorübergreifend für alle essenziellen und wichtigen Einrichtungen; DORA ist ein sektorielles Spezialgesetz für Finanzunternehmen. Für Finanzunternehmen gilt DORA als lex specialis (hat Vorrang). Der inhaltliche Fokus unterscheidet sich: DORA betont IKT-Resilienz und TLPT-Tests; NIS2 betont Netzwerk-Perimeter, Lieferkettensicherheit und Incident Response. Methodisch sind beide mit einem OWASP/PTES-basierten Pentest erfüllbar — der Bericht muss explizit das jeweilige regulatorische Mapping enthalten.

Was sind die Bußgelder bei NIS2-Verstößen in Deutschland?

Für essenzielle Einrichtungen: bis zu €10 Mio. oder 2 % des globalen Jahresumsatzes (der höhere Betrag). Für wichtige Einrichtungen: bis zu €7 Mio. oder 1,4 % des Jahresumsatzes. Zusätzlich kann das BSI die Zulassung oder Betriebsgenehmigung entziehen und die Geschäftsleitung persönlich belangen (§ 38 NIS2UmsuCG). Im Vergleich: DSGVO-Bußgelder liegen bei bis zu €20 Mio. oder 4 % — NIS2 adressiert damit die Lücke im operationellen Bereich.

Reicht ein Schwachstellenscan (Vulnerability Scan) als NIS2-Nachweis?

Nein. Das BSI hat in seinen Auslegungshinweisen zum NIS2UmsuCG klargestellt, dass ein automatisierter Vulnerability Scan die Anforderung an 'regelmäßige Bewertung der Wirksamkeit von Risikomanagementmaßnahmen' (Art. 21 Abs. 1 NIS2) nicht erfüllt. Ein vollständiger Penetrationstest — mit dokumentiertem Scope, manueller oder KI-gestützter Verifikation, Proof-of-Exploit und regulatorischem Mapping — ist erforderlich.

Wie schnell muss nach einem NIS2-Vorfall ein Pentest stattfinden?

NIS2 Art. 23 schreibt keine Pflicht zu einem Post-Incident-Pentest vor, aber es ist Best Practice und wird von BSI und Versicherern erwartet. Im Incident-Response-Prozess sollte nach Behebung eines kritischen Vorfalls ein gezielter Re-Test der betroffenen Systeme innerhalb von 30 Tagen stattfinden. Matproof Sentinel ermöglicht sofortigen Re-Test nach Behebung — kein Warten auf Beratungstermin.

Wann tritt das NIS2UmsuCG in Deutschland in Kraft?

Die NIS2-Richtlinie hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Deutschland war mit dem NIS2UmsuCG in Verzug — der Kabinettsentwurf lag Ende 2024 vor. Das Gesetz wird voraussichtlich im Laufe des Jahres 2025 in Kraft treten. Die EU-Richtlinie ist jedoch bereits direkt anwendbar, und das BSI hat angekündigt, ab Oktober 2024 NIS2-konforme Aufsicht auszuüben. Unternehmen sollten nicht auf die formale Verabschiedung warten, sondern jetzt mit der Compliance beginnen.

Wie lange dauert ein NIS2-konformer Pentest mit Matproof?

Der kostenlose Vorschau-Scan auf matproof.com/tools/pentest-scan liefert in 3 Minuten erste Ergebnisse zu TLS, Security-Headern, DNS und exponierten Pfaden. Der vollständige NIS2-konforme Pentest (€149 einmalig oder Abo) dauert 30–60 Minuten für eine typische Webanwendung und liefert einen audit-bereiten PDF-Bericht mit explizitem NIS2 Art. 21-Mapping. Für komplexere Infrastrukturen (mehrere Systeme, Netzwerk-Pentest, AD-Sicherheit) empfehlen wir den Growth-Plan.

Vertiefen — verwandte Artikel aus unserem Blog

NIS2-konformen Pentest jetzt starten

Prüfen Sie Ihre NIS2-Sicherheitslage in 3 Minuten kostenlos — oder starten Sie einen vollständigen Penetrationstest ab €149 mit audit-bereitem Bericht und explizitem NIS2 Art. 21-Mapping. Schützen Sie sich vor BSI-Bußgeldern und persönlicher Haftung der Geschäftsleitung.