Schwachstellenmanagement NIS2: Was Unternehmen 2026 nachweisen müssen
Nur 38,5 Prozent der rund 29.500 von NIS2 betroffenen Unternehmen hatten sich bis März 2026 beim BSI registriert. Die übrigen 18.000 Betriebe befinden sich in einer rechtlichen Grauzone — betroffen, aber weder registriert noch compliant. Dabei ist strukturiertes Schwachstellenmanagement NIS2-seitig keine Empfehlung, sondern eine explizite Pflicht. Wer 2026 in eine BSI-Prüfung gerät und keinen dokumentierten Prozess vorweisen kann, riskiert Bußgelder von bis zu 10 Millionen Euro — zuzüglich persönlicher Haftung der Geschäftsführung.
Die schlechte Nachricht: Das BSI hat seine Prüfaktivitäten für mittelgroße Einrichtungen im Frühjahr 2026 aufgenommen. Die gute Nachricht: Wer jetzt handelt, kann in drei bis sechs Monaten einen nachweisfähigen Prozess etablieren.
Dieser Beitrag zeigt, was NIS2 beim Schwachstellenmanagement konkret fordert, wie Sie Schwachstellen nach aktuellem Stand der Technik priorisieren — und welche fünf Maßnahmen den Unterschied zwischen Bestehen und Beanstandung machen.
Was NIS2 beim Schwachstellenmanagement konkret fordert
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) schreibt in Artikel 21 technische und organisatorische Sicherheitsmaßnahmen vor. Schwachstellenmanagement NIS2 ist dabei kein Teilbereich, sondern eine eigenständige Anforderung — eine, die das BSI in seinen Prüfungen aktiv abfragt. Die konkrete Grundlage liefert das BSI-Informationspaket zu NIS2-Sicherheitsmaßnahmen.
Entscheidend ist dabei die Formulierung „Stand der Technik“: Der BSI legt das nicht als technisches Mindestmaß aus, sondern als Anforderung an einen reifen, kontinuierlichen Prozess. Ein jährlicher Pentest oder gelegentliche Schwachstellenscans erfüllen diese Anforderung nicht.
| NIS2-Anforderung | Was das konkret bedeutet |
|---|---|
| Kontinuierliches Monitoring | Kein jährlicher Einzel-Scan — regelmäßige automatisierte Prüfungen aller Assets |
| Risikobasierte Priorisierung | Schwachstellen müssen nach Business Impact bewertet werden, nicht nur nach CVSS-Score |
| Dokumentierter Prozess | Verantwortlichkeiten, SLAs und Behebungsschritte müssen schriftlich festgehalten sein |
| Patch-Management mit SLAs | Reaktionszeiten für kritische, hohe und mittlere Schwachstellen müssen definiert und eingehalten werden |
| Nachweisführung | Auditoren und BSI erwarten lückenlose Protokolle: Wann wurde was entdeckt, priorisiert, behoben? |
| Asset-Inventar | Alle Systeme müssen erfasst sein — Schatten-IT und unbekannte Assets sind ein Audit-Risiko |
Ein weiterer Punkt, der häufig unterschätzt wird: NIS2 fordert nicht nur die Behebung von Schwachstellen, sondern auch die Sicherstellung, dass Maßnahmen tatsächlich greifen. Re-Scans nach Patches sind kein optionaler Schritt, sondern Pflicht.
Schwachstellen priorisieren: CVSS, EPSS und der KEV-Catalog
Die häufigste Fehlannahme in mittelständischen IT-Abteilungen: Ein hoher CVSS-Score bedeutet hohes Risiko. Das stimmt so nicht — und kann im schlimmsten Fall dazu führen, dass Sie die falsche Schwachstelle zuerst behandeln.
Der CVSS-Score bewertet die theoretische Schwere einer Schwachstelle unabhängig davon, ob sie aktiv ausgenutzt wird. Eine CVSS-9.8-Lücke in einem vollständig isolierten Testsystem ist weniger dringend als eine CVSS-6.0-Lücke auf einem öffentlich erreichbaren Webserver mit Kundendaten.
Modernes Schwachstellenmanagement NIS2-konform kombiniert drei Quellen:
- CVSS — liefert den theoretischen Schweregrad
- EPSS (Exploit Prediction Scoring System) — prognostiziert die Wahrscheinlichkeit aktiver Ausnutzung innerhalb von 30 Tagen
- CISA KEV-Catalog — listet bekannte, aktiv ausgenutzte Schwachstellen; alles hier Gelistete muss sofort behandelt werden
| Priorität | Kriterium | SLA |
|---|---|---|
| Kritisch | Im CISA KEV-Catalog gelistet (unabhängig von CVSS/EPSS) | 24–48 Stunden |
| Hoch | CVSS ≥ 7 + EPSS > 0,1 | 7 Tage |
| Mittel | CVSS ≥ 4 oder EPSS auffällig | 30 Tage |
| Niedrig | CVSS < 4, kein Exploitability-Signal | Nächster Wartungszyklus |
Praxis-Tipp: EPSS kostenlos nutzen
Der EPSS-Score ist kostenlos über die FIRST-API abrufbar und lässt sich in die meisten gängigen Vulnerability-Management-Plattformen integrieren. Die zusätzliche Implementierungszeit liegt erfahrungsgemäß bei unter einem Tag — der Priorisierungsgewinn ist erheblich.
5 Kernmaßnahmen für NIS2-konformes Schwachstellenmanagement
Strukturiertes Schwachstellenmanagement NIS2-konform aufzustellen erfordert mehr als ein Scan-Tool. Diese fünf Maßnahmen bilden den Mindestrahmen, den BSI-Auditoren 2026 erwarten:
-
Vollständiges Asset-Inventar aufbauen
„Was ich nicht kenne, kann ich nicht schützen.“ Schätzungen zufolge fehlen in typischen deutschen Mittelständlern 30 bis 50 Prozent aller Assets im offiziellen Inventar — Schatten-IT, vergessene Subdomains, extern gehostete Dienste, IoT-Geräte im Netzwerk. Starten Sie mit einer automatisierten Asset-Discovery und gleichen Sie das Ergebnis mit Ihrem CMDB ab.
-
Kontinuierliche Scan-Zyklen etablieren
Einmalscans erfüllen die NIS2-Anforderung nicht. Definieren Sie feste Zyklen: wöchentliche Scans für kritische Systeme, monatliche Scans für alle übrigen Assets. Verknüpfen Sie Scan-Ergebnisse mit Ihrem Threat-Intelligence-Feed, damit neu bekannt gewordene Schwachstellen sofort auf den Radar kommen.
-
Priorisierungsmodell einführen und dokumentieren
Kein Audit-Team akzeptiert eine Excel-Liste mit 400 offenen Findings ohne Priorisierungssystematik. Legen Sie schriftlich fest, nach welchen Kriterien Sie priorisieren (CVSS + EPSS + KEV), wer die Entscheidung trifft und wie Eskalationspfade aussehen. Dieses Dokument ist der zentrale Nachweis gegenüber dem BSI.
-
SLAs definieren und ihre Einhaltung messen
Laut CISA-Auswertungen liegt der Median zwischen Patch-Verfügbarkeit und Rollout in deutschen Unternehmen bei 38 Tagen. Bei aktiv ausgenutzten Schwachstellen ist das 38 Tage zu lang. Definieren Sie verbindliche SLAs und messen Sie die Mean Time to Remediate (MTTR). Abweichungen werden dokumentiert und begründet.
-
Verantwortlichkeiten klar regeln und Owner benennen
Eine der häufigsten Ursachen für liegengebliebene Schwachstellen: Niemand fühlt sich zuständig. Legen Sie für jede Asset-Kategorie (Server, Netzwerkkomponenten, Cloud-Ressourcen, Applikationen) einen technischen Owner fest. Findings ohne Verantwortlichen sind im Audit nicht vertretbar.
Integration in Patch-Management und IT-Betrieb
Schwachstellenmanagement entfaltet seine Wirkung erst, wenn es nahtlos in bestehende Betriebsprozesse eingebettet ist. Ein Finding, das im Ticket-System nicht ankommt, wird nicht behoben — unabhängig davon, wie ausgereift das Scan-Tool ist.
- Scan-Ergebnisse fließen automatisiert in Ihr ITSM-Tool (z. B. als Incidents oder Change Requests mit definiertem SLA-Feld)
- Kritische Patches werden über definierte Notfall-Change-Prozesse außerhalb regulärer Wartungsfenster eingespielt
- Patch-Compliance wird im monatlichen Security-Reporting an die Geschäftsführung sichtbar gemacht — NIS2 fordert Governance, keine rein technischen Prozesse
Für NIS2-betroffene Unternehmen in der Metropolregion Rhein-Neckar bietet GEMAKOM diesen Prozessaufbau als Teil der NIS2-Beratung an — von der Gap-Analyse über den Prozessaufbau bis zur vollständigen Dokumentation gegenüber dem BSI.
Praxis-Tipp: Notfall-Patch-Prozess
Wenn Ihr Patch-Management-Prozess Wartungsfenster erfordert, die SLAs für kritische Schwachstellen reißen, brauchen Sie einen dedizierten Notfall-Patch-Prozess. Legen Sie schriftlich fest, wer ihn auslösen darf und wie Rollback-Szenarien aussehen — das ist ein typischer BSI-Prüfpunkt.
Typische Fehler — und wie Sie sie vermeiden
Selbst Unternehmen, die bereits ein Scan-Tool im Einsatz haben, scheitern im Audit an organisatorischen Lücken. Die häufigsten Fehler im Schwachstellenmanagement Mittelstand:
Achtung: Häufige BSI-Beanstandungen
Diese fünf Fehler sind laut BSI-Prüfpraxis die häufigsten Ursachen für NIS2-Beanstandungen beim Thema Schwachstellenmanagement NIS2.
Kein dokumentierter Prozess: Ein Scan ohne schriftlich festgehaltenen Priorisierungs- und Behebungsprozess gilt nicht als ausreichend. Der Nachweis zählt, nicht der Scan allein.
Tool-Silos ohne Integration: Vier verschiedene Security-Tools, deren Outputs nirgends zusammenlaufen, erzeugen blinde Flecken. Konsolidierung oder eine zentrale Reporting-Ebene ist NIS2-Pflicht.
CVSS als einzige Priorisierungsgröße: Wer 400 Findings nach CVSS sortiert und oben anfängt, behandelt möglicherweise die falsche Schwachstelle zuerst. EPSS und KEV müssen einfließen.
Fehlende Asset-Abdeckung: 30 bis 50 Prozent unbekannte Assets sind keine Ausnahme — sie sind die Regel. Ohne Asset Discovery bleiben Schwachstellen unsichtbar.
Keine gemessene MTTR: Wer nicht misst, kann nicht nachweisen. Das BSI erwartet KPI-Reporting, das zeigt, ob SLAs eingehalten werden und was bei Abweichungen unternommen wurde.
Fazit: Schwachstellenmanagement NIS2 ist kein Projekt — es ist Dauerbetrieb
Schwachstellenmanagement NIS2-konform umzusetzen bedeutet nicht, ein Scan-Tool anzuschaffen und einmal durchzulaufen. Es bedeutet, einen kontinuierlichen, dokumentierten und messbaren Prozess zu betreiben — mit klaren Verantwortlichkeiten, definierten SLAs und lückenloser Nachweisführung.
Unternehmen, die diesen Schritt jetzt gehen, schaffen nicht nur NIS2-Compliance, sondern eine fundierte Sicherheitsgrundlage, die auch über die nächste Regulierungswelle trägt. Denn am Ende gilt: Nicht die Anzahl der gefundenen Schwachstellen entscheidet — sondern ob ein sicherer, nachweisbarer Prozess dahintersteht.
Unsere IT-Security-Beratung begleitet Sie von der ersten Gap-Analyse bis zum fertigen BSI-Nachweis — persönlich, herstellerunabhängig und mit über 30 Jahren Erfahrung im Mittelstand.
Jetzt handeln
Schwachstellenmanagement NIS2-konform aufstellen?
Vereinbaren Sie ein kostenloses Erstgespräch. Wir analysieren Ihre aktuelle Sicherheitslage und zeigen, was für den BSI-Nachweis noch fehlt.
Jetzt Termin vereinbarensales@gemakom.de | +49 6202 9260-0