Blog

NIS2 Artikel 21.2 h:

Der Schlüsselschrank: Wenn Kryptografie Routine ist, keine Zauberei.

Ich beschreibe Kryptografie oft als einen Schlüsselschrank. Nicht als dramatischen Tresor aus einem Actionfilm, sondern als jene eher unscheinbare, aber lebenswichtige Box, in der ein Unternehmen seine Schlüssel aufbewahrt. Wenn die Schlüssel wahllos verteilt sind, jemand sie eigenmächtig kopiert oder niemand weiß, wer welchen Schlüssel besitzt, spielt es keine Rolle, wie teuer die Tür war – sie lässt sich trotzdem öffnen.

Artikel 21.2 h der NIS2-Richtlinie behandelt genau dieses Thema: Die Organisation muss Richtlinien und Verfahren für den Einsatz von Kryptografie und, wo es angemessen ist, Verschlüsselung festlegen. Es ist keine Aufforderung, "immer und alles zu verschlüsseln". Es ist eine Forderung nach Kontrolle, Urteilsvermögen und Nachvollziehbarkeit.

Robert Willborg

Mitbegründer und Chief Security Officer bei OneMore Secure.

Was Punkt h tatsächlich besagt

Artikel 21.2 listet zehn Bereiche (a bis j) auf, die durch Risikomanagementmaßnahmen abgedeckt werden müssen. Punkt h betrifft Richtlinien und Verfahren für die Nutzung von Kryptografie und, wo passend, Verschlüsselung. Das bedeutet, dass NIS2 keine bestimmte Algorithmus oder Produkt vorschreibt. Gefordert wird, dass Sie nachweisen können, Kryptografie angemessen und risikogerecht einzusetzen.

Umsetzung in Schweden: Von EU-Text zur Aufsicht

In Schweden wird NIS2 durch das Cybersicherheitsgesetz (2025:1506) und die Cybersicherheitsverordnung (2025:1507) umgesetzt, die am 15. Januar 2026 in Kraft getreten sind. Damit wird die Kryptografiefrage zu einem praktischen Bestandteil der Anforderungen für die betroffenen Unternehmen. Es ist kein zukünftiges "Wir sollten", sondern etwas, das im Arbeitsalltag nachweisbar sein muss.

Eine Klarstellung: Kryptografie, Verschlüsselung und Signatur sind nicht dasselbe

Oft werden diese Begriffe verwechselt, daher hier eine einfache Erklärung.

Kryptografie ist der Oberbegriff: Methoden zum mathematischen Schutz von Informationen.
Verschlüsselung ist ein Teil der Kryptografie: Sie macht Inhalte ohne den richtigen Schlüssel unlesbar.
Digitale Signatur ist ein anderer Teil: Sie hilft zu erkennen, wer etwas erstellt hat und ob es unterwegs verändert wurde.

In der Praxis hängen diese oft zusammen, sind aber verschiedene Werkzeuge im Schlüsselschrank.

Warum Punkt h geschäftsnah ist

Kryptografie wird schnell zu einer Vertrauensfrage. Wenn Daten zwischen Partnern ausgetauscht werden, Lieferanten eingebunden sind und Fernzugriffe genutzt werden, geht es nicht darum, ob jemand "Daten stehlen will". Die Frage ist, ob Sie es ausreichend erschwert haben und das auch belegen können.

Das steht in direktem Zusammenhang mit mehreren anderen Punkten in Artikel 21.2: Zugriffskontrolle und Zugriffsmanagement (i), starke Authentifizierung (j), Lieferkette (d) und Kontinuität (c). Kryptografie ist selten ein isoliertes Technikthema. Sie ist Teil des Aufbaus von Vertrauen in der gesamten Kette.

Datenschutz und DSGVO: Was stimmt, und was wird oft übertrieben

Hier möchte ich klar und sachlich sein. Die Datenschutz-Grundverordnung (DSGVO) schreibt nicht vor, dass alle personenbezogenen Daten immer verschlüsselt ruhend und bei der Übertragung sein müssen. Sie verlangt jedoch geeignete technische und organisatorische Maßnahmen, wobei Verschlüsselung als Beispiel genannt wird, wenn es angemessen ist. Anders gesagt: Verschlüsselung ist oft sinnvoll, manchmal notwendig, aber letztlich bestimmen Risiko und Kontext den Einsatz.

Das passt gut zum NIS2-Prinzip: Verhältnismäßigkeit und Wirkung, nicht Reflexe.

Das häufigste Scheitern: Schlüsselmanagement

Ich habe Organisationen gesehen, die "auf dem Papier alles richtig machen" und trotzdem an den Schlüsseln scheitern. Schlüsselmanagement ist die unscheinbare Realität hinter jeder Kryptografie: Wer erzeugt Schlüssel, wo werden sie gespeichert, wer hat Zugriff, wie werden sie rotiert, was passiert bei Ausscheiden von Mitarbeitern, und wie erkennt man Fehler?

Wenn Schlüssel undiszipliniert verwaltet werden, ist Kryptografie meist nur ein Sicherheitsgefühl. Der Schlüsselschrank steht offen.

Drei Dinge, die Punkt h greifbar machen

Ich konzentriere mich auf drei Dinge, die einfach zu verstehen, schwer zu umgehen und mit Punkt h vereinbar sind.

· Daten und Datenflüsse klassifizieren.

· Schlüssel wie Zugriffsrechte steuern.

· Schlüssel überwachen und rotieren.

Daten und Datenflüsse klassifizieren bedeutet, dass Sie wissen, was sensibel ist und wo es sich bewegt. So können Sie das passende Schutzniveau wählen.

Schlüssel wie Zugriffsrechte steuern heißt, Kryptoschlüssel als höchst privilegierte Rechte zu behandeln. Minimale Zugriffe, klare Verantwortliche und Nachvollziehbarkeit.

Schlüssel überwachen und rotieren bedeutet, dass Sie eine Routine für Rotation, Widerruf und Kontrolle haben und testen, ob das funktioniert – genau wie man testet, ob sich der Schlüsselschrank wirklich abschließen lässt.

Fazit

Artikel 21.2 h verlangt keine kryptografische Perfektion. Es fordert Ordnung im Schlüsselschrank. Wenn Kryptografie Routine ist, keine Zauberei, passiert etwas Wichtiges: Vertrauen lässt sich leichter aufbauen und schwerer verlieren. Und in einer digitalen Welt ist Vertrauen oft gleichbedeutend mit Geschäftsfähigkeit.

Quellen

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

Europäische Union. (2016). Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), Artikel 32. Amtsblatt der Europäischen Union.

Schwedisches Parlament. (2025a). Cybersicherheitsgesetz (2025:1506). Schwedische Gesetzessammlung.

Schwedisches Parlament. (2025b). Cybersicherheitsverordnung (2025:1507). Schwedische Gesetzessammlung.

Regierung. (2026). Neues Gesetz stärkt die Cybersicherheit (Inkrafttreten 15. Januar 2026).

ENISA. (2025). Technische Leitlinien zur Umsetzung von Maßnahmen im Cybersicherheitsrisikomanagement (Version 1.0). Agentur der Europäischen Union für Cybersicherheit.