Penetrationstest zur NIS2-Konformität

Die neue NIS2-Richtlinie verlangt von Unternehmen, dass sie ihre IT-Sicherheit auf ein hohes Niveau bringen.

Ihr Unternehmen muss die NIS2-Richtlinie einhalten? Effektives Schwachstellenmanagement, das Schwachstellenscans und Penetrationstests umfasst, ist ein wichtiger Bestandteil. Wir helfen Ihnen dabei, die Anforderungen zu erfüllen.

Damian Strobel

Damian Strobel

Gründer und CEO

"NIS2 stellt viele Unternehmen vor große Herausforderungen - wir helfen Ihnen dabei, diese zu meistern."

Was ist NIS2?

NIS2 steht für "Netz- und Informationssystemsicherheitsrichtlinie 2" und ist eine EU-Richtlinie, die die Sicherheit von Netz- und Informationssystemen in der EU verbessern soll. Mit der zweiten Iteration schlägt die Richtlinie große Wellen, da sie viele Unternehmen betrifft. Die Richtlinie zwingt Unternehmen dazu, Ihre IT-Sicherheit zu bewerten und gegebenenfalls zu verbessern. Risikomanagement und Schwachstellenmanagement sind hierbei zentrale Themen. Cybersicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Außerdem ist neu, dass die Geschäftsführung persönlich für fahrlassige Verstöße haftbar gemacht werden kann. Allgemein können Unternehmen auf Basis dieser Richtlinie zu Strafzahlungen in Millionenhöhe gezwungen werden.

Für alle, die an den Hintergründen und Details zu NIS2 interessiert sind, lohnt ein Blick in unser Glossar:
Was ist NIS2?

Sind Penetrationstests im Rahmen von NIS2 verpflichtend?

Interessant ist hierbei Artikel 21 der NIS2-Richtlinie (siehe hier). Dieser besagt, dass Unternehmen "Risikomanagementmaßnahmen im Bereich der Cybersicherheit" umsetzen müssen. Genauer gesagt werden "technische, operative und organisatorische Maßnahmen" gefordert, die die "Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste" möglichst klein halten. Hier wird auch explizit das Schwachstellenmanagement erwähnt zu dem in der Regel Penetrationstests zählen. "Penetrationstest" als Wort wird in der Richtlinie allerdings nicht erwähnt, daher ist davon auszugehen, dass viele Unternehmen eher Schwachstellenscans durchführen werden. Rechtlich sollte das in Ordnung sein, was die Effektivität angeht, ist das allerdings fraglich. Ein Penetrationstest ist in der Regel deutlich effektiver als ein Schwachstellenscan, findet mehr Sicherheitslücken und kann diese auch besser bewerten.

Wer ist von NIS2 betroffen?

Hier gibt es mehrere Kriterien. Zum einen sind Sektoren genannt, die die Richtlinie umsetzen müssen: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Wasserwirtschaft, digitale Infrastrukturen, öffentliche Verwaltung, Weltraum, Post, Abfall, Chemie, Lebensmittel, allgemein das verarbeitende Gewerbe, Digitale Dienste, Forschung.

Ein weiteres Kriterium ist die Größe des Unternehmens. Allgemein ist hier die Rede von großen Unternehmen mit mehr als 250 Mitarbeitern und einem Umsatz ab 50.000.000 Euro sowie mittleren Unternehmen mit mehr als 50 Mitarbeitern und einem Umsatz von mehr als 10.000.000 Euro. Hier gibt es noch weitere Angaben bzgl. der Jahresbilanz. Als grobe Orientierung sollte dieser Text aber reichen.

Lassen Sie es nicht darauf ankommen und schützen Sie Ihre Systeme vor Cyberangriffen.

Wie kann DSecured Ihnen bei der Umsetzung von NIS2 helfen?

Schwachstellenscans

Zwar sind Schwachstellenscans nicht mit Penetrationstests zu vergleichen, was Effektivität und Tiefe angeht, aber sie sind ein guter Anfang, um erste Schwachstellen zu finden.

Penetrationstests

Wir können Ihre kritischen Systeme und Anwendungen auf Schwachstellen prüfen und Ihnen helfen, diese zu schließen.

Dokumentation

Wir liefern Ihnen einen umfassenden Bericht, der alle gefundenen Schwachstellen und mögliche Lösungen enthält.

Mitarbeitersenibilisierung

Unser Phishing-Angebot hilft dabei, Ihre Mitarbeiter für die Gefahren von Phishing zu sensibilisieren - dem Einfallstor Nummer 1.

Ist/Soll-Analyse

Artikel 21 der NIS2 regelt, was die Mindestanforderungen sind - wir helfen Ihnen dabei, diese zu erfüllen.

Risikoanalysen

Wir helfen Ihnen dabei, die Risiken für Ihr Unternehmen zu identifizieren und zu bewerten.

Wie viel kostet ein NIS2 Penetrationstest?

Bei einem Pentest im Rahmen von NIS2 handelt es sich in der Regel um einen umfangreichen manuellen Penetrationstest gegen eine bestimmte Anwendung oder eine Komposition diverser Anwendungen und digitaler Systeme. Entsprechend richten sich die Kosten eines NIS2 Pentest nach der Größe des Scopes, der Prüftiefe und der Komplexität der zu prüfenden Anwendungen und Systeme.

Allgemein ist ein NIS2 Pentest ein "ganz normaler" Penetrationstest, der beispielsweise als Webapp Pentest oder Pentest von externer Infrastruktur durchgeführt wird. Die Kosten für einen NIS2 Pentest sind daher vergleichbar mit den Kosten für einen "normalen" Penetrationstest. Wir empfehlen hierzu unseren Artikel "Pentest Kosten".

NIS2 Pentest
Damian Strobel
Schützen Sie die Daten Ihres Unternehmens und Ihrer Kunden!

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton

Weitere Fragen samt Antworten zum Thema
"NIS2 Penetrationstest"

Wann tritt die NIS2 Richtlinie in Kraft?

Auf EU-Ebene ist die NIS2 Richtlinie bereits seit 16. Januar 2023 in Kraft. Mitgliedsstaaten der EU haben allerdings bis 18. Oktober 2024 Zeit die Richtlinie in nationales Recht gießen. Das ist der Zeitpunkt ab dem in Deutschland Unternehmen konform zur NIS2 Richtlinie handeln müssen.

Welche Sektoren müssen laut neuer NIS2-Verordnung jetzt handeln?

Die Verordnung listet diverse kritische Sektoren als relevant auf. Dazu zählen u.a. Versorger, Abfallwirtschaft, Lebensmittelproduzenten, Banken, Digitalwirtschaft, Gesundheitswesen, Energieunternehmen und Transportunternehmen. Dazu kommen Unternehmen, die unabhängig von ihrer Größe oder Branche als "wesentlich" für die Aufrechterhaltung der öffentlichen Sicherheit gelten.

Haftet der Geschäftsführer bei Nichteinhaltung der NIS2 Richtlinie?

Ja, mit der Neuerung der NIS zu NIS2 wird explizit die Haftung des Geschäftsführers bei Nichteinhaltung der Richtlinie geregelt. Diese haften sogar persönlich.

Welche Strafen drohen bei Nichtbeachtung der NIS2 Richtlinie?

Die Strafen richten sich nach der Größe des Unternehmens. Allgemein kann die Strafe bis zu 2% des weltweiten Jahresumsatzes betragen oder bis zu 10 Millionen Euro betragen.

Gilt NIS2 auch für kleine Unternehmen?

Nein. Sie richtet sich primär an Unternehmen mit einer Mitarbeiteranzahl ab 50 Personen. Ausnahme können kleine Unternehmen in sehr kritischen Sektoren sein. So etwas sollte aber im Einzelfall geprüft werden.

Wie bereitet man sich am besten auf NIS2 vor?

Prüfen Sie, ob Sie betroffen sind. Lassen Sie eine Risikoanalyse durchführen und erarbeiten Sie ein Sicherheitskonzept. Dies sollte Schwachstellenmanagement beinhalten - dazu zählen regelmäßige Sicherheitstests in Form von Scans und Penetrationstests. Ihr Mitarbeiter sollten geschult werden und Sie sollten einen Notfallplan parat haben. Es lohnt sich allgemein als Verantwortlicher in Artikel 21 der Richtlinie zu schauen und zu prüfen, wo man noch nacharbeiten muss.

Welches Dienstleistung bietet DSecured im Kontext von NIS2 an?

Schwachstellenscans, Penetrationstests sowie Red Teaming - um Problemzonen zu identifizieren. Phishing, um Mitarbeiter zu sensibilisieren. Allgemein Risikoanalysen und Beratung bezüglich der Mindeststandards aus Artikel 2 NIS2.

Kontaktieren Sie DSecured

Angebot anfordern