Blog

NIS2 Artikel 21.2 b:

Effektives Incident-Management auch unter Druck.

Ich habe Incident-Pläne gesehen, die so perfekt sind, dass sie eine eigene Vitrine verdienen würden. Das Problem ist, dass sich Vorfälle selten um solche Vitrinen kümmern. Sie treten auf, wenn jemand krank ist, wenn der Anbieter "beschäftigt" ist und wenn die Organisation bereits erschöpft ist. Deshalb ist Artikel 21.2 b von NIS2 so wichtig. Er fordert keine Perfektion, sondern eine Incident-Management-Methode, die in der Praxis tatsächlich funktioniert.

Robert Willborg

Mitbegründer und Chief Security Officer bei OneMore Secure.

Was bedeuten Incident und Incident-Management gemäß NIS2

NIS2 definiert diese Begriffe sehr klar. Ein Incident ist ein Ereignis, das die Verfügbarkeit, Authentizität, Genauigkeit oder Vertraulichkeit von Daten oder der über Netzwerk- und Informationssysteme angebotenen Dienste beeinträchtigt. Incident-Management umfasst alle Maßnahmen und Verfahren zur Prävention, Erkennung, Analyse und Eindämmung sowie zur Reaktion und Wiederherstellung nach einem Incident (Europäische Union, 2022).

Häufige Verwechslung: Artikel 21 und Artikel 23

Hier herrscht oft Verwirrung. Artikel 21.2 b bezieht sich auf die Fähigkeit, Incidents zu managen. Die sogenannten Meldefristen (erste Warnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden und Abschlussbericht innerhalb von 30 Tagen) sind in Artikel 23 geregelt. Das bedeutet jedoch nicht, dass Artikel 21 und 23 völlig getrennte Bereiche sind. Im Gegenteil: Ein Incident-Prozess, der die Fristen nicht einhält, ist selten ein funktionierender Prozess. Rechtlich korrekt ist jedoch die Unterscheidung, dass 21.2 b das Incident-Management betrifft und 23 die Berichterstattung (Europäische Union, 2022).

Schwedische Umsetzung: Cybersicherheitsgesetz

In Schweden trat das Cybersicherheitsgesetz (2025:1506) am 15. Januar 2026 in Kraft und ersetzte das NIS1-Gesetz (Schwedischer Reichstag, 2025). Das Gesetz basiert auf NIS2 und verlangt von betroffenen Betreibern von wesentlichen Diensten Risikomanagementmaßnahmen, wobei Incident-Management eine zentrale Rolle spielt. Die Behörde für den Zivilschutz beschreibt, dass das Gesetz die Anforderungen an Risikoanalysen und Sicherheitsmaßnahmen verschärft und die Beteiligung der Leitung stärkt (Behörde für Zivilschutz, 2026).

Praktische Anforderungen von Artikel 21.2 b

Ich interpretiere die Anforderung so: Sie müssen nachweisen können, dass Sie einen wiederholbaren, geübten und lernenden Prozess für Incidents haben. Nicht nur ein Dokument – ein Prozess. Und dieser Prozess muss die gesamte Kette abdecken: von der Erkennung über Triage und Eindämmung bis hin zur Wiederherstellung und den daraus gewonnenen Erkenntnissen. Eine einfache Faustregel: Was nicht geübt und gemessen wird, existiert nicht.

Um sachlich und verständlich zu bleiben, verwende ich drei Begriffe, die jeder versteht: erkennen, isolieren, wiederherstellen. Wenn diese drei Schritte in der Praxis funktionieren, fügt sich der Rest meist von selbst.

Verbindung von Artikel 21.2 b zu anderen Teilen des Artikels 21

Incident-Management steht nicht allein. Es ist verknüpft mit mehreren anderen Punkten in Artikel 21.2. Kontinuität und Krisenmanagement (21.2 c) bestimmen, wie schnell Dienste wiederhergestellt werden können. Sicherheit in der Lieferkette (21.2 d) stellt sicher, dass rechtzeitige und korrekte Informationen vorliegen. Schwachstellenmanagement und sichere Entwicklung (21.2 e) beeinflussen, wie oft es zu Incidents kommt. Effektivitätskontrolle (21.2 f) zeigt, ob Maßnahmen wirken. Schulungen (21.2 g) sorgen dafür, dass Menschen im Stress richtig handeln (Europäische Union, 2022).

Risiko der Überimplementierung

Eine Sache möchte ich klarstellen: Incident-Management wird manchmal zur Diskussion über Werkzeuge – "Wir brauchen SIEM", "Wir brauchen ein großes SOC", "Wir müssen X kaufen". Das mag für einige richtig sein. Aber NIS2 verlangt kein spezielles Tool, sondern angemessene Maßnahmen, die funktionieren. Wenn Sie einen Incident-Prozess bauen, der so schwerfällig ist, dass er nie genutzt wird, schaffen Sie damit praktisch eine neue Schwachstelle.

Drei Vorschläge mit Wirkung

Ich halte mich an drei Vorschläge, die mit Artikel 21.2 b im Einklang stehen und ohne Bürokratie eingeführt werden können.

· Üben Sie Erkennung, Isolierung und Wiederherstellung.

· Messen Sie Zeiten, nicht Berichte.

· Verankern Sie Erkenntnisse im Betrieb.

Üben bedeutet, kleine realistische Szenarien durchzuspielen und Kommunikationswege, Entscheidungsprozesse sowie technische Schritte zu testen. Zeiten messen heißt, Zeit bis zur Erkennung und Wiederherstellung sowie Ausfallzeiten kritischer Dienste zu verfolgen. Erkenntnisse im Betrieb verankern heißt, dass jeder Incident konkrete Maßnahmen nach sich zieht, die umgesetzt und kontrolliert werden. So gehen Sie vom bloßen Compliance zur tatsächlichen Fähigkeit über.

Fazit

Artikel 21.2 b verlangt nicht, niemals angegriffen zu werden. Er fordert, mit der Realität umgehen zu können. Wenn Sie zeigen können, dass Sie erkennen, isolieren, wiederherstellen und aus den Vorfällen lernen, sind Sie auf dem richtigen Weg. Im Ernstfall rettet nicht die Policy, sondern das Muskelgedächtnis.