Blog

NIS2 Artikel 21.2 g:

Grundlegende Cyberhygiene: Küchenhygiene, die Gästen Vertrauen beim Essen gibt.

Ich schätze seit jeher eine einfache Wahrheit aus der Gastronomie: Sie können das kreativste Menü der Stadt haben, aber wenn die Hygienestandards in der Küche nicht stimmen, spielt das keine Rolle. Die Gäste kommen nicht wieder. Am Ende entscheidet nicht der Geschmack, sondern das Vertrauen.

Artikel 21.2 g in NIS2 steht genau dafür: Grundlegende Cyberhygiene und Schulung. Nicht als nettes Extra, sondern als Basis. Denn ohne Basis wird jede neue Initiative nur mehr Arbeit im Nachhinein bedeuten.

Robert Willborg

Mitgründer und Chief Security Officer bei OneMore Secure.

Was Punkt g tatsächlich besagt

Artikel 21.2 der NIS2-Richtlinie nennt zehn Bereiche (a bis j), die durch Risikomanagementmaßnahmen abgedeckt werden müssen. Punkt g betrifft grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit. Wichtig ist, diesen Punkt im Zusammenhang mit Artikel 21.1 zu sehen: Die Maßnahmen müssen verhältnismäßig sein und die Auswirkungen von Vorfällen reduzieren. Punkt g fordert also, dass der menschliche Alltag Teil der Risikominderung wird – nicht eine Schwachstelle, die man im Fehlerfall verantwortlich macht (Europäische Union, 2022).

Eine Klarstellung: NIS2 legt nicht genau fest, was 'Hygiene' umfasst

Hier kann man leicht den Überblick verlieren. Die Richtlinie nennt nicht explizit, welche Hygienevorgaben Sie einhalten müssen. Das ist Absicht. NIS2 basiert auf Verhältnismäßigkeit und Risiko. Die EU-Cybersicherheitsagentur ENISA hat jedoch technische Leitlinien zur Umsetzung veröffentlicht, die konkretisieren, was Risikomanagementmaßnahmen in der Praxis oft beinhalten, darunter Schulungen, Zugangskontrollen, Patch-Management, Protokollierung und Wiederherstellung als Basis (ENISA, 2025).

Deutsche Umsetzung: Warum das Thema jetzt auf die Führungsebene kommt

In Deutschland wird NIS2 durch das Cybersicherheitsgesetz umgesetzt, das am 15. Januar 2026 in Kraft trat (Deutscher Bundestag, 2025a). Das Bundesamt für Sicherheit in der Informationstechnik beschreibt, dass die Anforderungen verschärft wurden und mehr Organisationen betroffen sind, unter anderem mit klareren Vorgaben zu Risikoanalysen und Sicherheitsmaßnahmen (BSI, 2026). Damit wird Cyberhygiene mehr als nur eine Kampagne – sie wird Teil der Compliance und Leistungsfähigkeit eines Unternehmens.

Was Cyberhygiene im Alltag bedeutet

Ich bevorzuge eine praktische Herangehensweise an Cyberhygiene. Es geht nicht um "alles, was man tun sollte", sondern um wenige Verhaltensweisen und Routinen, die, wenn sie sitzen, viele der häufigsten und kostspieligsten Fehler vermeiden.

In der Küche bedeutet Hygiene, jeden Tag das Richtige zu tun: saubere Hände, richtige Temperatur, saubere Oberflächen. Im digitalen Alltag entspricht das oft: starke Anmeldung, aktuelle Systeme und die Gewohnheit, Abweichungen früh zu erkennen. Das ist kein Glamour, sondern Betrieb und Vertrauen.

Der unangenehme Punkt: Cyberhygiene ist kollektiv, kein Hobby

Hier möchte ich klar sein: Cyberhygiene wird von Individuen umgesetzt, ist aber kein individuelles Projekt. Es ist eine Fähigkeit der Organisation. Wenn Sie von Menschen Perfektion in einem stressigen, unübersichtlichen System mit Ausnahmen verlangen, bauen Sie Fehlerquellen ein. NIS2 verschiebt daher den Fokus von 'Mensch als schwachem Glied' hin zur Organisation als verantwortungsvollem Umfeld. Punkt g ist still und leise die Aufforderung, es den Menschen leicht zu machen, richtig zu handeln.

Drei Punkte, die oft die eigentliche Basis darstellen

Ich konzentriere mich auf drei Aspekte, um Cyberhygiene nicht in eine unübersichtliche Liste zu verwandeln. Das ist nicht 'alle Anforderungen der NIS2', sondern ein Weg, Punkt g lebendig und messbar zu machen.

· Sichere Entscheidungen am einfachsten machen.

· Compliance im Betrieb messen.

· Kurz und regelmäßig trainieren.

Sichere Entscheidungen am einfachsten machen bedeutet, Reibungsverluste beim richtigen Verhalten zu minimieren. Wenn Multifaktor-Authentifizierung für die am meisten belasteten Nutzer zu umständlich ist, wird sie umgangen. Compliance im Betrieb messen heißt, Abdeckung und Abweichungen zu überwachen, nicht nur Erinnerungen zu versenden. Kurz und regelmäßig trainieren bedeutet, Schulungen als Routine zu etablieren, nicht als jährliche Vorlesung, die keiner mehr erinnert, wenn es wichtig wird.

Fazit

Artikel 21.2 g ist nicht der spektakulärste Punkt in NIS2. Er ist sogar schlimmer: Er ist alltäglich. Und genau deshalb funktioniert er.

Sicherheit, die langfristig hält, entsteht nicht nur durch Architektur und Verträge. Sie entsteht durch Gewohnheiten. Wie Küchenhygiene: Niemand applaudiert, wenn sie funktioniert. Aber jeder bemerkt, wenn sie fehlt.

Quellen

ENISA. (2025). Technische Umsetzungshinweise zu Maßnahmen des Cybersicherheitsrisikomanagements (Version 1.0). Europäische Agentur für Cybersicherheit.

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

Bundesamt für Sicherheit in der Informationstechnik. (2026). Das ist das Cybersicherheitsgesetz (NIS2). https://www.bsi.bund.de/

Deutscher Bundestag. (2025a). Cybersicherheitsgesetz (2025:1506). Bundesgesetzblatt.