FRAMEWORK · NIS2

NIS2 — EU-Richtlinie 2022/2555.
Compliance in Wochen, nicht Monaten.

Verpflichtend seit Oktober 2024 für wesentliche und wichtige Einheiten. Bußgelder bis zu 10 Millionen € oder 2% des Jahresumsatzes. Itamite deckt die technischen Anforderungen von Art. 21 mit signierten Nachweisen für Ihre zuständige Behörde (BSI in Deutschland) ab.

Preise ansehen NIS2-Demo

Für wen gilt NIS2?

Wesentliche und wichtige Einheiten in kritischen EU-Sektoren: Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, B2B-IKT-Dienstleistungsverwaltung, Raumfahrt, digitale öffentliche Verwaltung, Postdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, kritische Fertigung, digitale Fertigung, Forschung.

Typische Schwellenwerte: 50+ Mitarbeiter oder > 10 Mio. € Jahresumsatz. In Deutschland veröffentlicht das BSI die offizielle Liste. Bei Unsicherheit bietet das BSI ein öffentliches Self-Assessment-Tool an.

Bußgelder: bis zu 10 Mio. € oder 2% des Jahresumsatzes (wesentliche Einheiten), bis zu 7 Mio. € oder 1,4% (wichtige Einheiten). Persönliche Verantwortung des Vorstands bei Nichteinhaltung.

ANFORDERUNGEN ART. 21 — TECHNISCHE MASSNAHMEN

Mapping NIS2 ↔ Itamite-Kontrollen

Was NIS2 fordert vs. was Itamite automatisch erfasst.

Art. 21.2.a — Risikoanalyse und Sicherheitsrichtlinien

Itamite deckt ab: Vollständiges Asset-Inventar als Input für die Risikoanalyse. Gemessene Sicherheitslage, die in die Risikomatrix einfließt. Außerhalb des Geltungsbereichs: Die formale Risikoanalyse und schriftliche Richtlinien sind organisatorische Arbeit.

Art. 21.2.b — Vorfallmanagement

Itamite deckt ab: Unveränderliches Hash-Chain-Audit mit vollständiger Nachverfolgbarkeit. Vorfallserkennung über Alerts (Konfigurationsänderungen, Abweichungen der Sicherheitslage). SIEM-Anbindung (Splunk, Sentinel, Elastic).

Art. 21.2.c — Geschäftskontinuität

Itamite deckt ab: Aktualisiertes Inventar für BCP/DRP verfügbar. Itamite Enterprise SLA mit RTO 1h, RPO 1h. Außerhalb des Geltungsbereichs: Der eigentliche BCP/DRP Ihrer Organisation.

Art. 21.2.d — Sicherheit der Lieferkette

Itamite deckt ab: Öffentliche SBOM SPDX 2.3 + CycloneDX. SLSA Level 2 mit Build Provenance. Öffentlich dokumentierte Unterauftragsverarbeiter. EOL-Software-Erkennung in Ihrer Flotte.

Art. 21.2.e — Beschaffung und Wartung von Systemen

Itamite deckt ab: Erkennung ausstehender Patches, EOL-Software, bekannte verwundbare Versionen (CVE). Zentralisierter Update-Rollout. Deklarative Richtlinien, die die korrekte Konfiguration kontinuierlich aufrechterhalten.

Art. 21.2.f — Wirksamkeit der Maßnahmen (messbar)

Itamite deckt ab: Posture-Score 0-100 objektiv gemessen, Monat für Monat vergleichbar. KPIs pro Kontrolle (welcher % der Assets besteht jede Kontrolle). Zeitliche Trends mit Nachweisen. Dies ist genau das, was NIS2 fordert: "wirksame und messbare Maßnahmen".

Art. 21.2.g — Grundhygiene + Schulung

Itamite deckt ab (Hygieneteil): Antivirus, Firewall, Patches, Festplattenverschlüsselung, Bildschirmsperre, Office-Makros-Konfiguration, USB-Kontrolle. Alle automatisch vom Agenten gemessen. Außerhalb des Geltungsbereichs: Personalschulung.

Art. 21.2.h — Verschlüsselung

Itamite deckt ab: Festplattenverschlüsselungs-Erkennung (BitLocker, FileVault, LUKS) auf jedem Asset. TPM-Version, Secure Boot. Eigene In-Transit- und At-Rest-Verschlüsselung der Plattform. Optionales BYOK.

Art. 21.2.i — Zugangskontrolle und MFA

Itamite deckt ab: Erkennung lokaler Administratorkonten, Guest-Konto, Auto-Login, Passwortrichtlinie. SSO/SAML für den Zugang zur Itamite-Konsole selbst. MFA verpflichtend für Administratoren. Zugangs-Audit.

Art. 21.2.j — Sichere Notfallkommunikation

Itamite deckt ab (in Vorbereitung): Integration mit Syphrax (E2E-verschlüsseltes Sprach-/Videomessaging) geplant für Q4 2026. In der Zwischenzeit: Benachrichtigungen über verschlüsselte E-Mail, Slack, Teams.

PRAKTISCHER PROZESS

Von null zu NIS2-ready in 4-6 Wochen

Woche 1: Agent-Rollout + Inventar

Rollout des Itamite-Agenten via GPO/Intune in Ihrem Bestand. Innerhalb von 24-48h verfügen Sie über ein vollständiges Inventar von Hardware, Software, Konfiguration, Patches.

Woche 2: NIS2-Aktivierung + Baseline-Messung

Sie aktivieren das NIS2-Framework unter Compliance → Frameworks. Itamite mappt automatisch die Agent-Kontrollen auf NIS2-Artikel. Sie haben den aktuellen Compliance-Baseline.

Wochen 3-4: Remediation

Sie wenden Massenkorrekturen über Remote-Befehle und deklarative Richtlinien an (BitLocker, Antivirus, Patches, SMB-Konfiguration). Itamite empfiehlt die Reihenfolge nach größtem Einfluss auf den Compliance-Prozentsatz.

Woche 5: Organisatorische Dokumentation

Während Itamite die technischen Maßnahmen aufrechterhält, erstellt Ihr Team schriftliche Richtlinien, Personalschulungen, Notfallplan, IKT-Lieferantenregister. Dies ist nicht automatisierbare organisatorische Arbeit.

Woche 6: Abschlussbericht + Kommunikation

Sie generieren den SHA-256-signierten NIS2-Bericht aus Itamite. Kombinieren Sie ihn mit der organisatorischen Dokumentation. Kommunizieren Sie Ihre Konformität an Ihre zuständige Behörde (BSI in Deutschland).

HÄUFIGE FRAGEN

Übliche Fragen zu NIS2

Unterliegt mein Unternehmen NIS2?

Wenn Sie in folgenden Sektoren tätig sind: Energie, Transport, Bankwesen, Gesundheitswesen, Wasser, digitale Infrastruktur, B2B-IKT-Verwaltung, digitale öffentliche Verwaltung, Lebensmittel, Chemie, kritische Fertigung, Raumfahrt, Post, Abfall, Forschung. Und 50+ Mitarbeiter oder 10 Mio. €+ Umsatz haben. Auch einige Kleinstunternehmen, wenn sie kritisch sind.

Verlangt NIS2 die Verwendung eines konkreten Tools wie Itamite?

Nein. NIS2 ist anbieterneutral. Sie fordert jedoch wirksame und messbare technische Maßnahmen, was in der Praxis eine Plattform für Asset- und Posture-Management erforderlich macht. Itamite ist eine europäische und souveräne Option, die speziell entwickelt wurde, um NIS2 mit signierten Nachweisen abzudecken.

Akzeptiert die zuständige Behörde den Itamite-Bericht?

Ja. Der von Itamite generierte NIS2-Bericht enthält technische Nachweise mit verifizierbarer SHA-256-Signatur, Format kompatibel mit BSI/INCIBE-CERT-Vorlagen. Akzeptiert in bisher durchgeführten Audits und Konformitätsprüfungen.

Was passiert bei einem NIS2-Vorfall?

NIS2 verlangt eine CSIRT-Meldung in 24h (Frühwarnung), 72h (vollständiger Bericht), und 1 Monat (Abschlussbericht). Itamite hilft Ihnen mit dem unveränderlichen Audit, das als technischer Nachweis des Vorfalls dient, aber die administrative Meldung müssen Sie selbst verwalten.

Ist Itrion Software ein IKT-Anbieter, der NIS2 unterliegt?

Ja. Itrion ist eine wichtige Einheit in der Kategorie "Anbieter von verwalteten IKT-Diensten". Wir halten NIS2 intern ein: externes Audit, Vorfallreaktionsplan, 24h-CSIRT-Kommunikation, halbjährliche Berichte an die Behörde. Dokumentation unter NDA für Enterprise-Kunden verfügbar.

Haben Sie dieses Jahr ein NIS2-Audit?

45-Min-Demo mit realem Fall. Wir zeigen Ihnen den signierten NIS2-Bericht und den Remediationsplan.