Blog

NIS2 Artikel 21.2 f:

Die Testtaste am Rauchmelder – wenn Sicherheit bewiesen und nicht nur angenommen werden muss.

Fast in jedem Haushalt gibt es ein Detail, das sowohl genial als auch unangenehm ist: die Testtaste am Rauchmelder. Sie dauert nur eine Sekunde zum Drücken. Dennoch nutzen viele sie nie – nicht aus Nachlässigkeit, sondern weil der Alltag einfach weiterläuft.

Artikel 21.2 f in NIS2 ist genau diese Testtaste. Er bezieht sich auf Richtlinien und Verfahren, um zu prüfen, ob Ihre Cybersicherheitsmaßnahmen tatsächlich wirksam sind. Nicht nur, ob Sie sie haben. Nicht nur, ob Sie planen, sie einzuführen. Sondern ob sie auch unter Belastung funktionieren.

Robert Willborg

Mitgründer und Chief Security Officer bei OneMore Secure.

Was Artikel 21.2 f wirklich aussagt

Artikel 21.1 der NIS2 verlangt, dass Maßnahmen angemessen und verhältnismäßig sind, Risiken in Netzwerken und Informationssystemen adressieren und die Auswirkungen von Vorfällen minimieren. In Artikel 21.2 werden die Bereiche aufgelistet, die abgedeckt sein müssen. Punkt f bezieht sich auf Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen (Europäische Union, 2022).

Umsetzung in Schweden: kein EU-Projekt mehr, sondern Realität

In Schweden traten das Cybersicherheitsgesetz (2025:1506) und die Cybersicherheitsverordnung (2025:1507) am 15. Januar 2026 in Kraft. Das bedeutet, dass NIS2 nun ein tatsächliches Aufsichts- und Überwachungsverfahren ist und kein zukünftiges Projekt mehr (Schwedisches Parlament, 2025a; Schwedisches Parlament, 2025b; Regierung, 2026).

Die häufigste Fehlinterpretation: 21.2 f heißt nicht automatisch "Führen Sie Penetrationstests durch"

Hier möchte ich klar sein: 21.2 f verlangt nicht, dass alle Penetrationstests durchführen, ein Security Operations Center einrichten oder bestimmte Werkzeuge anschaffen müssen. Es verlangt, dass Sie bewerten können, ob Ihre Maßnahmen funktionieren.

Penetrationstests, Schwachstellenscans, Übungen, Log-Analysen und Wiederherstellungstests können gute Methoden dafür sein. Was angemessen ist, hängt jedoch von Risiko, Größe, Branche und Konsequenzen ab. Verhältnismäßigkeit ist eine durchgängige Anforderung in NIS2 (Europäische Union, 2022).

Warum Punkt f einen großen Kulturwandel darstellt

Die unbequeme Wahrheit ist: Sicherheit, die nicht überprüft wird, bleibt schnell nur eine Geschichte. Dokumente zu erstellen ist einfach, Beweise zu liefern ist schwieriger.

21.2 f verlangt eine Reife in der Steuerung. Es fordert einen Wandel von "Wir haben es eingeführt" zu "Wir wissen, dass es funktioniert". Und wenn Sie erst einmal Wirkung messen, sehen Sie auch die wahren Kosten: Reibungsverluste, unklare Zuständigkeiten und Maßnahmen, die nie umgesetzt wurden.

Wie 21.2 f mit dem Rest von Artikel 21 zusammenhängt

Die Bewertung der Wirksamkeit ist das Bindeglied zwischen Ambition und Realität. Sie steht in Verbindung mit Risikoanalyse (21.2 a), Vorfallmanagement (21.2 b), Kontinuität (21.2 c), Lieferkette (21.2 d) und Schwachstellenmanagement im Lebenszyklus (21.2 e). Ohne Punkt f können Sie auf dem Papier "die richtigen Dinge" tun und trotzdem im Ernstfall ohne Handlungsfähigkeit dastehen (Europäische Union, 2022; ENISA, 2025).

Drei Wege, die Testtaste zu drücken, ohne eine Papierflut zu erzeugen

Ich beschränke mich auf drei Vorschläge, die einfach zu erklären, schwer zu umgehen und voll kompatibel mit 21.2 f sind.

· Messen Sie Ergebnisse mit wenigen Kennzahlen.

· Testen Sie das Wichtigste regelmäßig.

· Machen Sie Zuständigkeiten sichtbar.

Wenig Kennzahlen bedeutet, dass Sie einige robuste Messgrößen wählen, die Budgetjahre und organisatorische Veränderungen überdauern. Beispiele sind Zeit bis zur Entdeckung und Wiederherstellung, Patch-Verzug bei kritischen Schwachstellen und nachgewiesene Wiederherstellungstests.

Regelmäßiges Testen des Wichtigsten heißt, dass Sie Prioritäten nach Auswirkung setzen. Kleine, wiederkehrende Tests schlagen große Einzelprojekte. Übungen schaffen Muskelgedächtnis.

Zuständigkeiten sichtbar zu machen bedeutet, dass jede Abweichung einen klaren Verantwortlichen, eine Frist und eine Nachprüfung erhält. Hier verwandeln Sie Kontrolle von einer Idee zur täglichen Praxis.

Ein kurzer Hinweis zu kleinen Unternehmen

NIS2 gilt nicht für alle. Mikro- und Kleinunternehmen sind oft ausgenommen, mit Ausnahmen für besonders kritische Fälle. Aber auch diejenigen, die formal nicht erfasst sind, stehen häufig indirekt vor Anforderungen durch Kunden und Lieferanten. Und damit bleibt Punkt f relevant: Nachweisen zu können, dass das, was man tut, funktioniert.

Fazit

Artikel 21.2 f ist im Kern eine Aufforderung zur Ehrlichkeit. Nicht moralische Ehrlichkeit, sondern operative. Entweder funktionieren die Maßnahmen, oder sie tun es nicht. Die Testtaste zeigt es auf.

Wenn Sie erst einmal die Gewohnheit entwickeln, zu messen und zu testen, passiert etwas Positives. Sicherheit wird nicht länger als Kostenfaktor verteidigt, sondern als Fähigkeit nachgewiesen. Und genau das ist das Ziel von NIS2.

Quellen

ENISA. (2025). Technische Leitlinien zur Umsetzung von Maßnahmen im Cybersicherheitsrisikomanagement (Version 1.0). Europäische Agentur für Cybersicherheit.

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

Regierung. (2026). Cybersicherheit: Das neue Cybersicherheitsgesetz und die Cybersicherheitsverordnung traten am 15. Januar 2026 in Kraft.

Schwedisches Parlament. (2025a). Cybersicherheitsgesetz (2025:1506). Schwedisches Gesetzesblatt.

Schwedisches Parlament. (2025b). Cybersicherheitsverordnung (2025:1507). Schwedisches Gesetzesblatt.