Inhaltsverzeichnis
NIS2-Richtlinie
Umsetzung der EU-Richtlinie 2022/2555 (NIS2) für Netz- und Informationssicherheit mit Post-Quantum-Kryptographie.
Übersicht
Die NIS2-Richtlinie1) ist die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer Infrastrukturen. Sie trat am 16. Januar 2023 in Kraft und muss bis 17. Oktober 2024 in nationales Recht umgesetzt werden.
flowchart TB
subgraph NIS2["NIS2-Richtlinie (EU) 2022/2555"]
A21["Artikel 21
Risikomanagement"] A23["Artikel 23
Meldepflichten"] A32["Artikel 32
Aufsicht"] end subgraph A21D["Art. 21(2) - Mindestmaßnahmen"] A21a["(a) Risikoanalyse"] A21d["(d) Lieferkette"] A21e["(e) Beschaffung"] A21h["(h) Kryptographie"] A21j["(j) MFA/Zugang"] end subgraph WVDS["WvdS-Umsetzung"] RISK["Risiko-Doku"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Client-Certs"] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff
Risikomanagement"] A23["Artikel 23
Meldepflichten"] A32["Artikel 32
Aufsicht"] end subgraph A21D["Art. 21(2) - Mindestmaßnahmen"] A21a["(a) Risikoanalyse"] A21d["(d) Lieferkette"] A21e["(e) Beschaffung"] A21h["(h) Kryptographie"] A21j["(j) MFA/Zugang"] end subgraph WVDS["WvdS-Umsetzung"] RISK["Risiko-Doku"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Client-Certs"] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff
Betroffene Sektoren
NIS2 erweitert den Anwendungsbereich auf mehr Sektoren:
Wesentliche Einrichtungen (Essential Entities)
| Sektor | Beispiele | WvdS-Relevanz |
|---|---|---|
| Energie | Stromnetze, Windparks, Öl/Gas | Energie-Szenarien |
| Verkehr | Bahn, Luftfahrt, Schifffahrt | Transport-Zertifikate |
| Bankwesen | Kreditinstitute | Transaktionssicherheit |
| Gesundheit | Krankenhäuser, Labore | Healthcare-Szenarien |
| Trinkwasser | Wasserversorgung | SCADA-Kommunikation |
| Digitale Infrastruktur | DNS, TLD, Cloud | PKI, TLS |
Wichtige Einrichtungen (Important Entities)
| Sektor | Beispiele | WvdS-Relevanz |
|---|---|---|
| Post/Kurier | Logistik | Authentifizierung |
| Abfallwirtschaft | Entsorgung | OT-Sicherheit |
| Chemie | Produktion | Industrie-Szenarien |
| Lebensmittel | Produktion, Handel | Supply-Chain |
| Fertigung | Maschinen, Fahrzeuge | Automotive-Szenarien |
| Digitale Dienste | Marktplätze, Suchmaschinen | API-Sicherheit |
Artikel 21(2) - Risikomanagementmaßnahmen
Die Richtlinie fordert in Artikel 21(2)2) konkrete Mindestmaßnahmen:
(a) Risikoanalyse und Sicherheit der Informationssysteme
| Anforderung | WvdS-Nachweis |
|---|---|
| Identifizierung von Risiken | Risiko-Dokumentation |
| Quantenbedrohung analysiert | Harvest-Now-Decrypt-Later Szenario |
| Schutzbedarf bestimmt | Datenklassifizierung nach Lebensdauer |
(d) Sicherheit der Lieferkette
| Anforderung | WvdS-Nachweis |
|---|---|
| Lieferanten bewerten | OpenSSL 3.6 = Open Source, auditierbar |
| Abhängigkeiten minimieren | Nur OpenSSL + .NET Runtime |
| Updates gewährleisten | NuGet-Paket, automatische Updates |
(e) Sicherheit bei Erwerb, Entwicklung und Wartung
| Anforderung | WvdS-Nachweis |
|---|---|
| Sichere Entwicklung | Code-Review, Tests |
| Schwachstellenmanagement | GitHub Security Advisories |
| Patch-Management | Semantic Versioning |
(h) Konzepte für Kryptographie
Kernforderung für WvdS:
| Anforderung | WvdS-Umsetzung | Status |
|---|---|---|
| Angemessene Kryptographie | NIST FIPS 203/204 Algorithmen | ✅ |
| Stand der Technik | Post-Quantum seit NIST 2024 | ✅ |
| Verschlüsselung ggf. erforderlich | Hybride Kryptographie | ✅ |
| Schlüsselmanagement | HKDF, PBKDF2, Argon2id | ✅ |
// NIS2-konforme Kryptographie-Konfiguration CryptoConfig.DefaultMode = CryptoMode.Hybrid; // Hybride Zertifikate: klassisch + Post-Quantum var cert = request.CreateSelfSigned( notBefore, notAfter, CryptoMode.Hybrid // ECDSA + ML-DSA );
(j) Multi-Faktor-Authentifizierung
| Anforderung | WvdS-Umsetzung | Status |
|---|---|---|
| MFA oder kontinuierliche Auth | mTLS mit Client-Zertifikaten | ✅ |
| Sichere Kommunikation | TLS 1.3 mit PQ-Algorithmen | ✅ |
| Identitätsmanagement | X.509-Zertifikate | ✅ |
Artikel 23 - Meldepflichten
Bei Sicherheitsvorfällen gelten strenge Meldepflichten3):
| Frist | Meldung | WvdS-Unterstützung |
|---|---|---|
| 24 Stunden | Frühwarnung | Audit-Logging für Forensik |
| 72 Stunden | Vorfallmeldung | Detaillierte Logs verfügbar |
| 1 Monat | Abschlussbericht | Vollständige Dokumentation |
Empfehlung: Aktivieren Sie Audit-Logging für alle kryptographischen Operationen, um Vorfälle nachvollziehbar zu dokumentieren.
Umsetzungsfristen
timeline
title NIS2-Umsetzung
section 2023
16. Jan : NIS2 in Kraft
Inventarisierung : Betroffenheit prüfen
section 2024
17. Okt : Umsetzungsfrist
Gap-Analyse : Maßnahmen identifizieren
section 2025
Meldepflichten : Vollständig aktiv
Aufsicht : Kontrollen beginnen
section 2026+
Sanktionen : Bußgelder möglich
Audits : Regelmäßige Prüfungen
Sanktionen bei Verstößen:4)
- Wesentliche Einrichtungen: bis 10 Mio. EUR oder 2% Jahresumsatz (Art. 34(4))
- Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4% Jahresumsatz (Art. 34(5))
Checkliste für NIS2-Konformität
| # | Prüfpunkt | WvdS-Nachweis | ✓ |
| — | ———– | ————— | — |
| 1 | Risikoanalyse dokumentiert | Risiko | ☐ |
| 2 | Kryptographie „Stand der Technik“ | NIST FIPS 203/204 (2024) | ☐ |
| 3 | Hybride Kryptographie aktiv | CryptoMode.Hybrid | ☐ |
| 4 | Schlüsselmanagement dokumentiert | KeyDerivation | ☐ |
| 5 | Lieferkette transparent | OpenSSL 3.6 Open Source | ☐ |
| 6 | MFA implementiert | mTLS mit Client-Zertifikaten | ☐ |
| 7 | Audit-Logging aktiv | Krypto-Events protokolliert | ☐ |
| 8 | Meldeprozess definiert | Incident-Response-Plan | ☐ |
Deutsche Umsetzung: NIS2UmsuCG
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)5) setzt NIS2 in deutsches Recht um:
| NIS2 | Deutsches Recht | Zuständige Behörde |
|---|---|---|
| Wesentliche Einrichtungen | §§ 28-29 BSIG-neu | BSI |
| Wichtige Einrichtungen | §§ 30-31 BSIG-neu | BSI |
| Meldepflichten | § 32 BSIG-neu | BSI |
| Sanktionen | § 60 BSIG-neu | BNetzA, BSI |
Weiterführend
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
2)
NIS2-Richtlinie Art. 21 Abs. 2: „Risikomanagementmaßnahmen im Bereich der Cybersicherheit“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3507-80-1
3)
NIS2-Richtlinie Art. 23: „Berichtspflichten“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e3835-80-1
4)
NIS2-Richtlinie Art. 34: „Verwaltungssanktionen“, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555#d1e4802-80-1
Zuletzt geändert: den 29.01.2026 um 15:12
