Nicht nur NIS2 fordert IT-Sicherheit nach „Stand der Technik“

Die Umsetzung der EU-NIS2-Richtlinie in deutsches Recht ist mit der Verabschiedung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) als Artikel-Gesetz mit Änderungen von 27 Gesetzen und Verordnungen am 13.11.2025 durch den Deutschen Bundestag einen großen Schritt vorangekommen.

Ein silbernes Vorhängeschloss mit der Aufschrift ‚NIS2‘ steht im Zentrum einer stilisierten digitalen Netzwerkdarstellung. Um das Schloss herum verlaufen leuchtende Linien und Knotenpunkte, die Cybersicherheit und Vernetzung symbolisieren.

Das Gesetz nimmt u.a. durch Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) die Betreiber von IT in die Pflicht, eine der heutigen Zeit angemessene Cyberresilienz sicherzustellen. Besonders wichtige und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOMs) umzusetzen. Diese sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen (§30 Zif. (1) & (2) BSIG-E).

Stand der Technik als Orientierung

Bereits das 2015 in Kraft getretene ITSIG und die seit 2018 geltende DSGVO fordern die Orientierung der IT-Sicherheit am sogenannten „Stand der Technik“ (SdT). Die im August 2024 in Kraft getretene KI-Verordnung fordert für Hochrisiko-KI-Systeme die Einhaltung des allgemein anerkannten Stands der Technik in Bezug auf KI und KI-bezogene Technologien (Art. 8 Abs. 1 KI-VO).

Der juristische Begriff „Stand der Technik“ wurde mit dem Kalkar-Beschluss des BVerfG, 08.08.1978 (Az. 2 BvL 8/77) eingeführt und 2025 durch die Handreichung von TeleTrusT (Bundesverband IT-Sicherheit e.V.) präzisiert und aktualisiert. Diese nicht normative Handreichung wird bei Konformitätsnachweisen, Vergabeverfahren, Auditierungen, Zertifizierungen und auch gerichtlichen Bewertungen als Referenzdokument bzw. faktischer Branchenstandard herangezogen.

Multi-Faktor-Authentifizierung

Die Kontrolle 8.5 der ISO27002:2022 Norm führt die Multi-Faktor-Authentifizierung (MFA) ohne konkrete Technologievorgabe als eine empfohlene Maßnahme für sichere Authentifizierung auf. Das NIS2UmsuCG fordert nun die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (§30 Zif. (2) Nr.10 BSIG-E). Mittels Verweises auf SdT (§30 Zif. (1) BSIG-E) werden konkrete technische Empfehlungen gegeben. Wegen sogenannter SS7-Schwachstellen wird neben dem Passwort eine SMS als zweiter Faktor zur Authentifizierung als unsicher eingestuft und entspricht nicht dem Stand der Technik.

Einführung bewährter Verfahren

Die durch NIS2 betroffenen besonders wichtigen und wichtigen Einrichtungen müssen somit Verfahren, Einrichtungen und Betriebsweisen einführen, die in der Fachwelt anerkannt sind, sich in der Praxis bewährt haben und zur Risikolage passen (z.B. adäquate Verschlüsselung). Die Technologien müssen am Markt verfügbar sein. Mit dem Ende des erweiterten Supports für Windows 10 ab 14.10.2025 gibt es vom Hersteller keine Sicherheitsupdates mehr. Die Verwendung von Windows 10 entspricht mit der veralteten Sicherheitsarchitektur und fehlenden Updates des Herstellers grundsätzlich nicht mehr dem aktuellen „Stand der Technik“.

Hinweis: IT- und Cybersicherheit nach dem „SdT“ erhöht nicht nur den Schutz vor Cyberangriffen, sondern ist auch ein rechtlicher Schutzschild: Wer nachweislich Maßnahmen nach dem Stand der Technik umgesetzt hat, kann im Schadensfall besser argumentieren, dass der Sorgfaltspflicht nachgekommen wurde. Dies ist nicht nur zukünftig bei NIS2- sondern auch schon jetzt bei DSGVO-, IT-SIG- und KI-VO-Konformität zu beachten. Unser Team aus dem Bereich Cyber-Advisory unterstützt sie gerne bei einer effizienten Umsetzung.