Erstmal: Was Punkt e tatsächlich besagt

Es ist leicht zu glauben, dass sich 21.2 e nur auf Beschaffung bezieht. Tut es aber nicht. Punkt e umfasst Sicherheit beim Erwerb, der Entwicklung und dem Betrieb von Netzwerk- und Informationssystemen. Er beinhaltet Schwachstellenmanagement und die Meldung von Schwachstellen. Anders gesagt: Wie Sie Technik so kaufen, bauen und betreiben, dass sie langfristig vertrauenswürdig bleibt (Europäische Union, 2022).

Deutsche Umsetzung: Von der Theorie zur Aufsicht

In Deutschland sind das Cybersicherheitsgesetz (2025:1506) und die Cybersicherheitsverordnung (2025:1507) am 15. Januar 2026 in Kraft getreten. Das bedeutet, dass NIS2 nicht mehr nur eine "EU-Idee" ist, sondern ein praktisches Anforderungsprofil, das in Arbeit, Entscheidungen und Nachweisen sichtbar sein muss (Deutscher Bundestag, 2025a; Deutscher Bundestag, 2025b; Bundesregierung, 2026).

Die häufigste Falle: Excel, Standardformulare und Einmalkontrollen

Ich treffe immer noch auf Ausschreibungen, bei denen Sicherheit mit langen Fragebögen gehandhabt wird, die per E-Mail hin und her geschickt werden. Die Fragen sind oft generisch, nicht auf die tatsächliche Leistung bezogen, und die Antworten werden selten nach der Unterzeichnung überprüft. Das ist, als würde man eine Baufirma fragen, ob sie "gewöhnlich" Schlösser einbaut, und dann nie kontrollieren, ob die Tür tatsächlich verschließbar ist.

NIS2 weist in eine andere Richtung. Sicherheit soll Teil des Lebenszyklus sein, nicht ein einmaliger Vorgang. Das heißt, Anforderungen müssen messbar sein und es muss eine Nachverfolgung während der Vertragslaufzeit erfolgen. Sonst erhält man ein Dokument, das Sicherheit vorgaukelt, aber die Realität nicht abbildet.

Was Schwachstellenmanagement bedeutet, ohne nur "Security Theatre" zu sein

Eine Schwachstelle ist vereinfacht gesagt eine verwundbare Stelle, die ausgenutzt werden kann. Schwachstellenmanagement ist die Arbeit, diese zu finden, zu priorisieren und zu beheben, bevor sie zu Vorfällen führen. Das klingt technisch, ist aber im Kern Steuerung: Wer trifft die Entscheidung, wie schnell wird gehandelt und wie wird sichergestellt, dass es erledigt wurde.

Für bestimmte Akteure hat die EU zudem technische und methodische Anforderungen in einer Durchführungsverordnung präzisiert. Diese unterstreicht, dass Schwachstellenmanagement und sichere Abläufe im Lebenszyklus systematisch, nachvollziehbar und aktuell sein müssen (Europäische Kommission, 2024).

Die unbequeme Wahrheit: Der Lieferant ist Teil Ihrer Angriffsfläche

Wenn Sie Systeme oder Dienstleistungen einkaufen, kaufen Sie nicht nur Funktionen. Sie erwerben auch eine zukünftige Update-Kette, Support-Struktur, Komponentenliste und Unternehmenskultur. Hat der Lieferant schlechte Prozesse im Umgang mit Schwachstellen oder ist er nicht bereit, Fragen zu beantworten, ist das ein Warnsignal. Nicht weil er "böse" ist, sondern weil er Teil Ihrer Angriffsfläche wird.

Das hängt eng mit Artikel 21.2 d zur Lieferkette zusammen, aber 21.2 e geht noch tiefer: Es geht darum, wie sicher das, was Sie kaufen und bauen, tatsächlich konstruiert und über die Zeit gewartet wird (Europäische Union, 2022).

Drei realistische und rechtlich sichere Vorschläge

Ich möchte das hier als Blogbeitrag belassen, nicht als Handbuch. Aber ich traue mich, drei Punkte zu nennen, die oft Wirkung zeigen und ganz im Einklang mit 21.2 e stehen, ohne eigene Anforderungen zu erfinden.

· Fordern Sie Nachweise, keine Versprechen.

· Legen Sie Schwachstellen-SLA nach Risiko fest.

· Üben Sie Updates als Routine.

Nachweise fordern bedeutet, dass Sie konkrete Artefakte verlangen: Wie sieht der Prozess aus, was wird gemessen und was zeigen die letzten Ergebnisse. Schwachstellen-SLA bedeutet, dass Sie Zeitvorgaben an die Kritikalität koppeln, sodass nicht alles "so schnell wie möglich" ist. Updates als Routine üben heißt, dass Patches und Änderungen kontrolliert durchgeführt werden, mit Rollback-Möglichkeit und klarer Kommunikation. So baut man ein Schloss, das sich tatsächlich verschließen lässt.

Fazit

Artikel 21.2 e ist ein Weckruf für alle, die Sicherheit als nachträgliche Angelegenheit sehen. Er sagt: Bauen Sie Sicherheit dort ein, wo sie am meisten bringt – beim Auswahl-, Bau- und Betriebsprozess des Systems. Dann wird Risikomanagement kein Hemmschuh, sondern ein Mittel, um Panik zu vermeiden, Kosten langfristig zu senken und Vertrauen zu schaffen, wenn jemand fragt: "Kann man dem vertrauen?". Ein Schloss, das im Alltag funktioniert, ist kein Glamour, sondern Freiheit.

Quellen

Europäische Kommission. (2024). Durchführungsverordnung (EU) 2024/2690 mit technischen und methodischen Anforderungen… EUR-Lex.

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

Bundesregierung. (2026). Neues Gesetz stärkt die Cybersicherheit (Inkrafttreten 15. Januar 2026). https://www.bundesregierung.de/

Deutscher Bundestag. (2025a). Cybersicherheitsgesetz (2025:1506). Bundesgesetzblatt.

Deutscher Bundestag. (2025b). Cybersicherheitsverordnung (2025:1507). Bundesgesetzblatt.