Ein Standard für ganz Europa
NIS2-Richtlinie, CIR, BSIG, Grundschutz – vier Regelwerke, ein Ziel. Wir nehmen die strengste Anforderung aus jedem und machen sie zu Ihrem Standard. Das Ergebnis: echte EU-weite Compliance, nicht nur auf dem Papier.
Das Chaos der europäischen Cybersicherheit
NIS2 ist eine EU-Richtlinie, kein einheitliches Gesetz. Sie setzt Mindestanforderungen – und jedes Land darf strenger werden. Deutschland hat genau das getan. Frankreich wird es tun. Die Niederlande auch. Für Unternehmen mit grenzüberschreitenden Aktivitäten heisst das: Willkommen im Dschungel.
Dazu kommen die CIR 2024/2690, eine EU-Durchführungsverordnung, die für bestimmte Einrichtungen verbindliche technische Anforderungen definiert – deutlich konkreter als die Richtlinie selbst. Und in Deutschland schreibt das BSI mit den IT-Grundschutz-Standards vor, wie die Umsetzung konkret auszusehen hat.
Unternehmen stehen vor der Frage: Was gilt für mich? Die Richtlinie? Das nationale Gesetz? Die CIR? Grundschutz? Die ehrliche Antwort: alles davon, je nach Kontext. Und genau deshalb brauchen Sie einen Ansatz, der nicht rät, sondern den höchsten Standard als Baseline nimmt.
NIS2-Richtlinie (EU 2022/2555)
Das EU-Minimum. Definiert Pflichten für wesentliche und wichtige Einrichtungen – bewusst vage gehalten, damit jedes Land sie national umsetzen kann. Artikel 21 nennt zehn Risikomanagement-Massnahmen, ohne zu sagen, wie genau.
BSIG – Deutsches Umsetzungsgesetz
Deutschlands Antwort auf NIS2. Das BSIG geht weiter: §30 konkretisiert die Massnahmen, §38 schafft persönliche Haftung für Geschäftsführer, die Meldepflichten sind enger getaktet. Wer nur die EU-Richtlinie liest, ist in Deutschland nicht compliant.
CIR 2024/2690 – EU-Durchführungsverordnung
Gilt direkt – ohne nationale Umsetzung. Definiert technische und methodische Anforderungen für DNS-Dienste, TLD-Registries, Cloud-Anbieter und weitere kritische Einrichtungen. Deutlich spezifischer als die Richtlinie: konkrete Fristen, dokumentierte Prozesse, messbare Kriterien.
IT-Grundschutz (BSI-200-1/2/3)
Das deutsche "Wie". Die BSI-Standards beschreiben Schritt für Schritt, wie ein Informationssicherheits-Managementsystem aufzubauen ist. §44 Abs. 2 BSIG stellt klar: Wer Grundschutz implementiert, erfüllt automatisch die NIS2-Anforderungen in Deutschland.
Unser Ansatz: der strengste gemeinsame Nenner
Wir vergleichen jede einzelne Anforderung über alle vier Ebenen hinweg und nehmen die strengste Version als Massstab. Wo die Richtlinie vage bleibt, nutzen wir die CIR-Konkretisierung. Wo das BSIG strenger ist, gilt das BSIG. Wo Grundschutz die detaillierteste Umsetzungsmethodik liefert, folgen wir Grundschutz.
Das Ergebnis ist kein theoretisches Konstrukt – es ist das, was die EU eigentlich hätte liefern sollen: ein einheitlicher europäischer Standard für Cybersicherheit. Die EU hat 27 nationale Umsetzungen zugelassen. Wir normalisieren sie auf ein Niveau, das überall besteht.
Unsere 128 Anforderungen bilden die Schnittmenge aus allen vier Ebenen ab. Jede Anforderung referenziert ihre Quellen: Richtlinien-Artikel, BSIG-Paragraph, CIR-Abschnitt, Grundschutz-Baustein. Sie wissen immer, warum Sie etwas tun – nicht nur, dass Sie es tun müssen.
| Bereich | NIS2-Richtlinie | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Risikomanagement | "Geeignete Massnahmen" – keine Methodik vorgeschrieben | Dokumentierte Risikobewertung mit definierten Kriterien, jährliche Überprüfung | BSI-200-3: Vollständige Risikoanalyse mit Schutzbedarfsfeststellung, Gefährdungsmodellierung, Massnahmenableitung |
| Vorfallmeldung | Frühwarnung innerhalb 24h, vollständige Meldung innerhalb 72h | Zusätzlich: dokumentiertes Klassifizierungsschema, Eskalationsprozeduren | §32 BSIG: 24h-Erstmeldung an BSI, 72h-Folgemeldung, Abschlussbericht innerhalb eines Monats |
| Lieferkettensicherheit | "Sicherheit der Lieferkette" – keine Details | Verzeichnis direkter Lieferanten, Bewertungskriterien, vertragliche Sicherheitsklauseln | §30 Abs. 2 Nr. 4: Konkrete Anforderungen an Beschaffung, Entwicklung, Wartung inkl. Schwachstellenmanagement |
| Kryptografie | "Einsatz von Kryptografie" – keine Spezifikation | Kryptografie-Richtlinie erforderlich, Algorithmenauswahl dokumentiert | BSI TR-02102: Spezifische Algorithmen, Schlüssellängen, Protokollversionen. CON.1: Kryptokonzept mit Schlüsselmanagement |
| Zugriffskontrolle | "Konzepte für die Zugriffskontrolle" – Rahmen | Rollenbasiert, Least Privilege, regelmässige Überprüfung der Berechtigungen | ORP.4: Berechtigungskonzept, Need-to-Know, Dokumentation aller Berechtigungen, privilegierte Accounts separat verwaltet |
| Schulungen | "Grundlegende Cyberhygiene-Praktiken und Schulungen" | Schulungsprogramm, regelmässige Durchführung, Wirksamkeitsprüfung | ORP.3: Jährliche Awareness für alle Mitarbeiter, rollenspezifisch für IT, §38-Schulung für Geschäftsführer |
EU-weit compliant
Egal ob Sie in Deutschland, Österreich, Frankreich oder den Niederlanden geprüft werden – wer den strengsten Standard erfüllt, erfüllt automatisch alle schwächeren. Sie brauchen keine länderspezifische Anpassung.
Kein Interpretationsspielraum
Die NIS2-Richtlinie ist absichtlich vage. Das BSIG etwas konkreter. Grundschutz sagt Ihnen genau, was zu tun ist. Wir nehmen die konkreteste Formulierung und übersetzen sie in klare Anforderungen – kein Berater nötig, der Ihnen erklärt, was "geeignete Massnahmen" bedeuten.
Zukunftssicher
Wenn andere EU-Länder ihre nationalen Gesetze verschärfen, sind Sie bereits darüber. Wenn die EU die CIR erweitert, haben Sie die Grundlage. Sie implementieren heute den Standard von morgen.
Audit-ready ab Tag eins
Jede Anforderung ist mit Quellen belegt – Richtlinien-Artikel, BSIG-Paragraph, CIR-Abschnitt, Grundschutz-Baustein. Wenn der Prüfer fragt, warum Sie etwas so machen, zeigen Sie auf die Norm. Nicht auf eine Vermutung.
Der grösste Einwand, den wir hören: "Wenn ich den strengsten Standard nehme, habe ich doch viel mehr zu tun." Das klingt logisch, stimmt aber nicht. Der Unterschied zwischen der vagen EU-Richtlinie und dem konkreten Grundschutz-Ansatz liegt nicht im Umfang der Arbeit – er liegt im Verständnis dessen, was zu tun ist.
Die vage Richtlinie sagt: "Treffen Sie geeignete Massnahmen." Das klingt nach weniger Arbeit – bis Sie drei Monate und einen teuren Berater später immer noch nicht wissen, was "geeignet" bedeutet. Grundschutz sagt: "Erstellen Sie ein Berechtigungskonzept nach ORP.4 mit diesen Elementen." Das klingt nach mehr – ist aber in zwei Stunden erledigt, weil Sie genau wissen, was gemeint ist.
Unser Job ist es, dieses Verständnis zu liefern. Nicht als 300-seitiges PDF, sondern als geführten Prozess in der Plattform. Sie füllen keine Fragebögen aus – Sie bauen Ihr Sicherheitskonzept auf, Schritt für Schritt, mit klaren Anforderungen statt interpretierbaren Richtlinien.
Häufige Fragen
Ist das nicht übertrieben für ein mittelständisches Unternehmen?
Nein. Grundschutz und CIR klingen einschüchternd, aber sie machen die Arbeit einfacher, nicht schwerer. Statt zu raten, was die EU-Richtlinie meint, folgen Sie konkreten Vorgaben. Ein 50-Personen-Unternehmen braucht ca. 10-15 Asset-Gruppen, eine Handvoll Richtlinien und jährliche Reviews. Das ist machbar – besonders mit einer Plattform, die Sie Schritt für Schritt durchführt.
Was wenn mein Land andere Anforderungen hat als Deutschland?
Genau dafür existiert unser Ansatz. Die NIS2-Richtlinie ist das EU-Minimum – kein Land darf darunter gehen, viele gehen darüber. Deutschland (BSIG) und die CIR setzen die höchste Messlatte. Wenn Sie diese erfüllen, erfüllen Sie automatisch jede schwächere nationale Umsetzung. Sollte ein Land in einem spezifischen Bereich strenger als Deutschland sein, passen wir das an – bisher ist das nicht der Fall.
Kostet das mehr als nur die Mindestanforderungen zu erfüllen?
Nicht wirklich. Der Aufwand liegt im Aufbau des Systems – Risikomanagement, Richtlinien, Schulungen. Ob Sie dabei der vagen Richtlinie oder dem konkreten Grundschutz folgen, ändert wenig am Zeitaufwand. Was sich ändert: die Qualität des Ergebnisses und die Sicherheit, dass es einem Audit standhält.
Brauche ich dann noch ISO 27001?
ISO 27001 und NIS2 überlappen sich stark, sind aber nicht identisch. Wenn Sie unsere Plattform vollständig umsetzen, haben Sie ca. 80% der ISO-27001-Anforderungen bereits abgedeckt. Eine ISO-Zertifizierung kann sinnvoll sein – aber als strategische Entscheidung, nicht als Compliance-Notwendigkeit. NIS2-Compliance ist gesetzliche Pflicht, ISO 27001 ist freiwillig.
Wie verhält sich die CIR 2024/2690 zum BSIG?
Die CIR ist eine EU-Durchführungsverordnung – sie gilt direkt in allen Mitgliedstaaten, ohne nationale Umsetzung. Das BSIG ist Deutschlands nationales Gesetz. Beide können parallel gelten: Die CIR für grenzüberschreitende und besonders kritische Einrichtungen, das BSIG für alle NIS2-pflichtigen Unternehmen in Deutschland. Unsere Plattform berücksichtigt beide und nimmt jeweils die strengere Anforderung.