Zum Inhalt springen
Start Advisories Ransomware Podcasts Bücher Creators Speaker Firmen Karriere Events Cyberwald-Netzwerk Matrix-Server FAQ Besucherstatistik Suche
Analyse

NIS2 & Pentests: Pflicht oder nicht?

Marco Eberl ·
NIS2 & Pentests: Pflicht oder nicht?

NIS2 fordert unterschiedliche Sicherheitsmaßnahmen, die betroffene Unternehmen umsetzen müssen. Im Zusammenhang mit NIS2 kursieren aktuell viele pauschale Aussagen, zum Beispiel:

  • „NIS2 fordert mindestens 10 Pentests pro Jahr"
  • „Wir bieten einen NIS2 konformen Pentest an"

Solche Aussagen klingen griffig, sind rechtlich aber nicht korrekt.

NIS2 schreibt keine festen Testzahlen vor – und es gibt auch keinen „NIS2 Pentest". Wer NIS2 ernsthaft umsetzen möchte, sollte deshalb Abstand von solchen Marketingversprechen nehmen. Mit dem Artikel bringen wir Klarheit in die Thematik.

Was fordert NIS2 grundsätzlich?

In Deutschland wurde NIS2 durch das NIS2 Umsetzungsgesetz (NIS2UmsuCG) umgesetzt und in eine Neufassung zum BSIG geführt. Dort sind insbesondere in § 30 und § 31 die erforderlichen Maßnahmen zum Risikomanagement definiert. Relevante Punkte sind unter anderem:

  • § 30 Abs. 2 Nr. 2: Bewältigung von Sicherheitsvorfällen
  • § 30 Abs. 2 Nr. 5: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen und Prozessen, einschließlich Schwachstellenmanagement und -offenlegung
  • § 30 Abs. 2 Nr. 6: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik

Zusammengefasst müssen Unternehmen demnach nachweisen können, dass sie

  1. geeignete Sicherheitsmaßnahmen etabliert haben,
  2. die Wirksamkeit dieser Maßnahmen regelmäßig überprüfen und
  3. Sicherheitsvorfälle erkennen und bewältigen können

Pentests und Angriffssimulationen sind sicherlich eines der besten Mittel, um den Bedarf für Schutzmaßnahmen zu identifizieren und gleichzeitig die Wirksamkeit der Schutzmaßnahmen zu prüfen. Red Team Assessments können zudem zusätzlich den Reifegrad der frühzeitigen Angriffserkennung evaluieren und so die Bewältigung von Sicherheitsvorfällen optimieren und evaluieren. Im NIS2-Umsetzungsgesetz selbst finden sich jedoch keine expliziten Anforderungen zu Pentests oder Red Team Assessments. Das ist auch nicht ungewöhnlich: Das Gesetz definiert bewusst Schutzziele, nicht deren konkrete technische Umsetzung.

Wo werden konkrete Maßnahmen zu NIS2 beschrieben?

Die Konkretisierung von Maßnahmen erfolgt über ergänzende Dokumente und Standards, zum Beispiel:

  • den NIS2 Implementing Act
  • branchenspezifische Vorgaben
  • bekannte Standards wie ISO 27001 oder BSI

Eine hilfreiche Übersicht bietet das OPENKRITIS-Mapping, das NIS2-Anforderungen mit BSI-, ISO- und Implementing-Act-Maßnahmen verknüpft: openkritis.de

Wichtig: Die Anwendung der ergänzenden Standards, Gesetze und Dokumente ist stark vom Sektor des Unternehmens abhängig.

Gibt es eine NIS2-Anforderung zu Pentests?

Ja, beispielsweise im NIS2 Implementing Act, der aktuell offiziell für den Sektor Digitale Infrastruktur gilt. Weitere NIS2 Implementing Acts für andere Sektoren sind angekündigt, aber noch ausstehend.

Im NIS2 Implementing Act für Digitale Infrastruktur ist Security Testing im Anhang 6.5 spezifiziert. Demnach müssen für Komponenten, die im Rahmen der Risikoanalyse als relevant für den sicheren Betrieb des Unternehmens eingestuft werden, Sicherheitstests durchgeführt werden (6.5.2 b)). Zudem müssen Unternehmen ein Konzept nachweisen, welche Systeme in welchem Umfang, Häufigkeit und Testart getestet werden. Dieses muss regelmäßig aktualisiert werden (6.5.1 a) und 6.5.3).

Zusätzlich gilt:

  • Unternehmen, die Software entwickeln, müssen Sicherheitstestverfahren im Entwicklungszyklus umsetzen (6.2.2 d))
  • Unternehmen, die Software einkaufen, müssen Methoden zur Validierung von zuvor definierten Sicherheitsanforderungen durchführen und nachweisen (6.1.2 f))

Bedeutet „Sicherheitstest" automatisch „Pentest"?

Nein – aber Pentests sind ausdrücklich vorgesehen. Der Implementing Act nennt in der Einleitung (Punkt 15) verschiedene geeignete Testmethoden, die Unternehmen durchführen sollten, um zu prüfen, ob die Maßnahmen ordnungsgemäß funktionieren.

Dazu gehören unter anderem:

  • automatische oder manuelle Tests
  • Penetrationstests
  • Schwachstellensuche
  • statische und dynamische Prüfungen der Sicherheit von Anwendungen
  • Konfigurationstests oder
  • Sicherheitsaudits

NIS2 verfolgt hier bewusst einen risikobasierten Ansatz und lässt den Unternehmen Spielraum in der Entscheidung. Unternehmen müssen angemessene Testverfahren wählen – nicht zwangsläufig alle.

Gibt es eine NIS2-Anforderung zur Durchführung von Red Team Assessments?

Zur Bewältigung von Sicherheitsvorfällen müssen NIS2-Unternehmen nach Anhang 3.2 und 3.5 im NIS2 Implementing Act folgende Maßnahmen umsetzen:

  • Unternehmen müssen Verfahren implementieren, um Aktivitäten im Netzwerk zu überwachen und Sicherheitsvorfälle erkennen zu können (3.2.1).
  • Diese Verfahren müssen in geplanten Zeitabständen getestet werden (3.5.5).
  • Zudem müssen Unternehmen die protokollierten Anlagen und Werte regelmäßig überprüfen und aktualisieren, insbesondere nach einem Sicherheitsvorfall (3.2.7).

Wie diese Tests umgesetzt werden, bleibt offen. Red Team oder Purple Team Assessments erfüllen diese Anforderungen jedoch sehr gezielt.

Wie häufig müssen Pentests nach NIS2 durchgeführt werden?

Die Auswahl des Testumfangs und der Testhäufigkeit muss nach NIS2 grundsätzlich risikobasiert, angemessen und nachvollziehbar erfolgen. Es gibt jedoch keine feste Vorgabe, die für alle NIS2 betroffenen Unternehmen gilt.

Lediglich für NIS2-betroffene Unternehmen, die auch gleichzeitig unter KRITIS fallen, gelten weiterhin konkretisierte BSI-Vorgaben: Dazu gehört u. a. mindestens ein Penetrationstest pro Jahr (Maßnahme RB-18).

Fazit

NIS2 formuliert zwei klare Anforderungen an betroffene Unternehmen:

  1. Unternehmen müssen nachweisen können, dass sie angemessene und dem Risiko entsprechende Maßnahmen etabliert haben und dass diese funktionieren. Dazu sind explizite Sicherheitstests Pflicht, aber nicht zwingend eine bestimmte Testart oder -häufigkeit. Pentests sind ein von NIS2 anerkanntes und geeignetes Mittel, um diese NIS2-Anforderung zu erfüllen.
  2. Unternehmen müssen regelmäßig ihre Verfahren zur Angriffserkennung testen. Die Art und Weise lässt NIS2 offen. Red Team und Purple Team Assessments sind grundsätzlich eine sehr effektive Methode, um diese Anforderung zu erfüllen.

Für KRITIS-Betreiber gelten weitere Anforderungen.

Über den Author

Marco Eberl leitet das Enterprise Pentest Team bei der Axians Security Force und unterstützt Unternehmen seit über 10 Jahren im Bereich Pentesting und Red Teaming. Mit seiner Erfahrung unterstützt er Organisationen dabei, ihre Angriffsfläche realistisch zu bewerten, Schwachstellen gezielt zu identifizieren und Resilienz nachhaltig zu stärken. Die Axians Security Force ist ein Beratungsunternehmen in den Bereichen Offensive Security, ISMS- und Compliance-Beratung sowie Business Resilience.

Marco Eberl

Geschrieben von

Marco Eberl