NIS2 Tool: Buyer's Guide für Compliance-Software
Welche NIS2-Tools brauchen Sie wirklich, was kostet das, worauf achten — und welche Funktionen sind Pflicht.
Ein NIS2 Tool ist Software, die Unternehmen bei der Umsetzung der EU-NIS2-Richtlinie (2022/2555) und ihrer nationalen Transposition (in Deutschland: BSIG / NIS2UmsuCG) unterstützt. Es muss die 10 Cybersicherheitsmaßnahmen aus Artikel 21 NIS2 sowie die Meldepflichten und die BSI-Registrierung abbilden.
- NIS2 erfordert dauerhafte Audit-Belege — Word-Dokumente reichen nicht.
- Das BSI prüft Reaktionszeiten (24h/72h/1 Monat) — manuell kaum nachweisbar.
- Geschäftsführerhaftung nach §38 BSIG: Sie brauchen den Nachweis, dass Maßnahmen getroffen wurden.
- Die 10 Maßnahmen aus Artikel 21 betreffen mehrere Abteilungen — koordinierte Tools sparen Zeit.
| Tool | Purpose | NIS2 |
|---|---|---|
| GRC-Plattform | Governance, Risk & Compliance. Bildet alle Maßnahmen, Risiken, Audits ab. | Pflicht für die Dokumentation |
| Asset-Management | Inventarisierung von IT-Assets als Basis für Risikoanalysen. | Pflicht (RSK 2.2) |
| SIEM / Logging | Erkennung von Sicherheitsereignissen, Forensik. | Sehr empfohlen — meldepflichtige Vorfälle erkennen |
| Patch-Management | Tracking von Updates für Betriebssysteme und Anwendungen. | Pflicht (Artikel 21(2)(e) NIS2) |
| MFA / IAM | Multi-Faktor-Authentifizierung, Berechtigungsverwaltung. | Pflicht (Artikel 21(2)(j) NIS2) |
| Backup / DR | Datensicherung und Wiederherstellungsfähigkeit. | Pflicht (Artikel 21(2)(c) NIS2) |
| Lieferantenmanagement | Bewertung der Cybersicherheit Ihrer Zulieferer. | Pflicht (Artikel 21(2)(d) NIS2) |
| Schulungs-Plattform | Awareness-Training für alle Mitarbeitenden + Geschäftsführung (§38 BSIG). | Pflicht (Artikel 21(2)(g) NIS2) |
- Alle 10 Maßnahmen aus Artikel 21 NIS2 / §30 BSIG
- Drei-Stufen-Meldekaskade (24h/72h/1 Monat) nach §32 BSIG
- BSI-Registrierungsdaten (§33 BSIG) versionsfest
- Audit-Trail: jede Änderung mit Zeitstempel und Verantwortlichem
- Sign-Off der Geschäftsführung mit eIDAS-konformer Signatur
- Lieferanten-Erfassung mit eigenem Compliance-Status
- Mehrere EU-Länder bei grenzüberschreitender Tätigkeit
- Vendor Lock-in: Daten-Export muss vollständig möglich sein
- „Forever Free“ als Marketing — Achtung: oft nur Lockmittel
- Alle 49 BSIG-Anforderungen abgebildet
- Drei-Stufen-Meldekaskade integriert
- Audit-Trail dauerhaft nicht löschbar
- Geschäftsführerhaftung-Schutz: Sign-Off, Schulungen, Nachweis
- Lieferantenportal: Self-Service-Fragebögen
- Kostenlos für die Plattform, optional kostenpflichtige Implementierungsbegleitung
Was kostet ein NIS2 Tool?
Kommerzielle GRC-Tools (Vanta, Drata, OneTrust) liegen bei 10.000–60.000 EUR pro Jahr für ein Mittelstand-Unternehmen. nisd2.eu ist kostenlos. Implementierungsbegleitung kostet bei uns ab 500 EUR pro Monat.
Brauche ich ein Tool, oder reicht Excel?
Excel reicht nicht aus. Das BSI verlangt einen versionsfesten Audit-Trail. Bei Vorfällen müssen Sie nachweisen können, wer wann was geändert hat. Excel-Dateien werden überschrieben — ein BSI-Auditor wird das beanstanden.
Reicht ein einziges Tool oder brauche ich mehrere?
Ein GRC-Tool deckt die Dokumentation und Nachweise ab. Für SIEM, Patch-Management, MFA, Backups brauchen Sie weiterhin separate technische Tools. Ein gutes NIS2-Tool integriert Belege aus diesen Systemen.
Kann eine kostenlose Plattform NIS2-konform sein?
Ja. NIS2 verlangt keinen bestimmten Hersteller. Entscheidend ist, ob die Anforderungen erfüllt und revisionssicher dokumentiert werden. Open-Source- und kostenlose Tools können das genauso gut wie teure SaaS-Lösungen.