Wie ein NIS2-tauglicher Pentest für ein Unternehmen mit 50 bis 500 Mitarbeitenden aussieht

NIS2 hat tausende mittelständische Unternehmen in ein Compliance-Regime gezogen, über das sie nie nachdenken mussten. Wenn du die IT in einem Unternehmen mit 50 bis 500 Mitarbeitenden in der DACH-Region verantwortest, hat man dir wahrscheinlich gesagt, du müsstest “etwas wegen NIS2 tun”, und ein Penetrationstest gehöre dazu. Dieser Artikel erklärt schlicht, wie ein NIS2-tauglicher Pentest tatsächlich aussieht und was Auditoren sehen wollen.

Verlangt NIS2 einen Penetrationstest?

NIS2 führt “Penetrationstest” nicht als verpflichtenden Punkt auf, verlangt ihn in der Praxis aber faktisch. Artikel 21 verpflichtet wesentliche und wichtige Einrichtungen, risikobasierte technische und organisatorische Maßnahmen umzusetzen und, entscheidend, Verfahren zur Bewertung der Wirksamkeit dieser Maßnahmen vorzuhalten. Ein Penetrationstest ist die übliche, gut verstandene Art zu zeigen, dass du aktiv prüfst, ob deine Sicherheitskontrollen funktionieren, statt es einfach anzunehmen.

Die ehrliche Antwort lautet also: NIS2 verlangt, dass du die Wirksamkeit deiner Sicherheitsmaßnahmen testest, und ein Penetrationstest ist die häufigste und belastbarste Art, das zu tun. Behandle ihn als erwartet, nicht als optional.

Was sollte bei einem NIS2-tauglichen Pentest im Scope sein?

Der Scope sollte deiner Risikoanalyse folgen, nicht einer generischen Checkliste. Für ein typisches Unternehmen mit 50 bis 500 Mitarbeitenden deckt ein NIS2-tauglicher Scope vier Bereiche ab: den internetzugewandten Perimeter (alles, was ein externer Angreifer erreichen kann), das interne Netzwerk inklusive Active Directory oder Entra ID (wo ein Phishing-Opfer oder Insider agieren würde), die geschäftskritischen Anwendungen und alle Systeme, die den wesentlichen oder wichtigen Dienst stützen, für den du reguliert bist.

Die Logik ist direkt. NIS2 verlangt, dass du die Kontinuität deines Dienstes und die dahinterliegenden Daten schützt, also testest du die Assets, deren Kompromittierung diesem Dienst am meisten schaden würde. Ein Test, der auf eine Marketing-Website beschränkt ist, während deine Domain Controller ungetestet bleiben, ist kein NIS2-tauglicher Test, egal was auf dem Zertifikat steht.

Wie oft muss ein NIS2-pflichtiges Unternehmen testen?

Mindestens einmal im Jahr und erneut nach jeder wesentlichen Änderung an Infrastruktur oder Anwendungen. NIS2 versteht Cybersicherheit als laufenden Risikomanagement-Prozess, nicht als einmalige Hürde, sodass ein einzelner, in der Schublade abgelegter Pentest weder dem Geist noch der Praxis der Richtlinie genügt. Netzwerke ändern sich, neue Anwendungen gehen live, und die Angriffsfläche verschiebt sich mit ihnen.

Die belastbare Grundlinie für ein mittelständisches Unternehmen ist jährliches Testing plus Retests nach größeren Änderungen (ein neuer ERP-Rollout, eine Cloud-Migration, eine Fusion). Wenn deine Risikoanalyse ein bestimmtes System als besonders kritisch markiert, teste es häufiger.

Was muss ein NIS2-tauglicher Pentest-Bericht enthalten?

Ein NIS2-tauglicher Bericht muss als Audit-Nachweis funktionieren, das heißt, er muss datiert, zuordenbar und vollständig sein. Mindestens enthält er eine Executive Summary für das Management, eine klare Beschreibung von Methodik und Scope, einen technischen Abschnitt pro Schwachstelle mit Beschreibung, Nachweis, Risikobewertung und Reproduktionsschritten sowie konkrete Empfehlungen zur Behebung jedes Punkts.

Das ist mehr als Höflichkeit. Wenn eine Aufsichtsbehörde oder ein ISO-27001-Auditor fragt, wie du die Wirksamkeit deiner Kontrollen bewertest, übergibst du einen datierten Bericht, der genau zeigt, was getestet wurde, was gefunden wurde und wie schwer jedes Problem war. Ein Scanner-Export mit tausend ungeprüften Einträgen erfüllt diesen Zweck nicht: Er zeigt, dass du ein Tool laufen lassen hast, nicht, dass du deine Verteidigung getestet hast.

Reicht der Bericht, oder musst du auch beheben und nachtesten?

Der Bericht ist nur die halbe Evidenz. NIS2 kommt es darauf an, dass du die Wirksamkeit der Kontrollen bewertest und dann auf die Ergebnisse reagierst, also musst du auch zeigen, dass Schwachstellen behoben und idealerweise durch einen Retest bestätigt wurden. Ein Bericht voller nicht behobener kritischer Schwachstellen ist ein Jahr später schlimmer als gar kein Bericht: Er dokumentiert, dass du Bescheid wusstest und nichts getan hast.

Der saubere Kreislauf, den ein Auditor sehen will, ist: testen, berichten, beheben, nachtesten, dokumentieren. Dieser Zyklus belegt einen aktiven, funktionierenden Risikomanagement-Prozess, also genau das, was NIS2 verlangt.

Wie hängt ein NIS2-Pentest mit ISO 27001, TISAX und DORA zusammen?

Ein einzelner gut gescopter Penetrationstest kann zugleich als Nachweis technischer Sicherheitstests über mehrere Rahmenwerke dienen. Derselbe Test, der NIS2 stützt, liefert auch dokumentierte Evidenz für ISO 27001 (Maßnahme A.8.8 / technisches Schwachstellenmanagement und Testing), TISAX und DORA Artikel 25 für Finanzunternehmen. Die Rahmenwerke unterscheiden sich in ihrer Dokumentation und ihren formalen Zertifizierungsstellen, teilen aber die zugrunde liegende Anforderung: regelmäßiges, dokumentiertes, unabhängiges technisches Testing.

Ein wichtiger Hinweis: DORA Artikel 26 TLPT (Threat-Led Penetration Testing für bedeutende Finanzunternehmen) ist ein separat regulierter, aufwendigerer Prozess und nicht dasselbe wie ein standardmäßiger, NIS2-orientierter Pentest.

Wie sieht ein NIS2-taugliches Projekt in der Praxis aus?

In der Praxis läuft ein NIS2-taugliches Projekt für ein mittelständisches Unternehmen so ab: Ein Scoping-Gespräch ordnet deine wesentlichen Systeme einem Testscope zu, der von deiner Risikoanalyse getrieben ist, das aktive Testing läuft über mehrere Tage (typischerweise ein interner und externer Greybox-Test, da das realistische Angreiferpositionen abbildet), und du erhältst einen datierten Bericht, der als Audit-Nachweis strukturiert ist. Schwachstellen werden manuell verifiziert, risikobewertet und mit Behebungsschritten versehen. Ein optionaler Retest nach der Behebung schließt den Kreis und liefert die Dokumentation, nach der ein Auditor fragen wird.

Für ein Unternehmen mit 50 bis 500 Mitarbeitenden ist das meist ein mehrtägiges Projekt statt eines schnellen Scans, durchgeführt von einem erfahrenen Tester, der sowohl die technischen Angriffspfade als auch die tatsächlichen Anforderungen des Rahmenwerks versteht.

Wo VidraSec passt

VidraSec führt genau diese Art von Projekt für mittelständische DACH-Unternehmen durch. Tests werden auf deine wesentlichen Systeme gescopt, persönlich von Martin Grottenthaler durchgeführt und als datierte, audit-taugliche Berichte geliefert, die als Nachweis für NIS2, ISO 27001, TISAX und DORA Artikel 25 standhalten. VidraSec stellt keine Compliance-Zertifikate aus (das ist die Rolle deiner Zertifizierungs- oder Auditstelle), liefert aber das dokumentierte technische Testing, das diese Stellen verlangen. Die FAQ behandeln, wie das auf konkrete Rahmenwerke abbildet, und der Penetrationstest-Käuferratgeber behandelt Scoping im Detail.

Brauchst du einen NIS2-tauglichen Pentest, gescopt auf deine wesentlichen Systeme? Meld dich gerne.

Verwandte Dienstleistungen

• Externer IT-Infrastruktur-Penetrationstest
• Interner IT-Infrastruktur-Penetrationstest
• Active-Directory-Audit
• Cloud-Infrastruktur-Audit

Zugehörige Dienstleistungen

• Active Directory Sicherheitsaudit
• Interner IT-Infrastruktur Penetrationstest
• Cloud Infrastruktur Audit
• Entra ID Sicherheitsaudit
• Externer IT-Infrastruktur Penetrationstest
• Penetrationstest für Webanwendungen