NIS-2 und Kryptographie: Heißt das jetzt alles verschlüsseln?

Wenn Unternehmen sich zum ersten Mal mit NIS-2 beschäftigen, taucht beim Thema Kryptographie schnell dieselbe Frage auf: Müssen wir jetzt einfach alles verschlüsseln?

Die ehrliche Antwort lautet: Nein, so platt ist es nicht.

Aber NIS-2 meint das Thema trotzdem ernst. Das BSI hat dazu ein eigenes #nis2know-Infopaket veröffentlicht und formuliert dort sehr klar: Wichtige und besonders wichtige Einrichtungen müssen Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren entwickeln und umsetzen. Kryptographie ist dabei laut BSI eine zentrale Grundlage der IT-Sicherheit.

Die kurze Antwort

NIS-2 verlangt nicht, blind "alles zu verschlüsseln". NIS-2 verlangt, dass betroffene Unternehmen geeignete, verhältnismäßige und wirksame Maßnahmen umsetzen und dokumentieren. Für Kryptographie bedeutet das praktisch: Sie müssen wissen, wo kryptographische Verfahren nötig sind, welche Verfahren Sie einsetzen, wie Schlüssel und Zertifikate verwaltet werden und wo Verschlüsselung für Ihr Risiko tatsächlich angemessen ist. Das BSI ordnet Kryptographie ausdrücklich in diese Logik ein und betont gleichzeitig, dass die Maßnahmen insgesamt risikobasiert, geeignet und dokumentiert sein müssen.

Kryptographie ist mehr als "Daten verschlüsseln"

Viele reduzieren das Thema auf Verschlüsselung. Das ist zu eng. Das BSI betont, dass Kryptographie Vertraulichkeit, Integrität (Unverfälschbarkeit) und Authentizität (Echtheit) digitaler Information und Kommunikation sichert. Genau darin steckt der entscheidende Punkt: Es geht nicht nur darum, dass Dritte etwas nicht lesen können, sondern auch darum, dass Informationen nicht unbemerkt verändert werden und Kommunikationspartner verlässlich identifizierbar sind. Deshalb gehören unter Kryptographie nicht nur verschlüsselte Festplatten oder verschlüsselte Dateien, sondern auch Protokolle, Schlüssel, Zertifikate, Signaturen und sichere Kommunikationsverfahren.

„Alles verschlüsseln“ ist als Strategie zu grob

Der Satz klingt modern, hilft aber wenig. Denn die eigentliche Frage ist nicht, ob irgendwo möglichst viel Verschlüsselung eingeschaltet ist. Die eigentliche Frage ist: Wo schützt Kryptographie in Ihrem Unternehmen tatsächlich relevante Werte, Risiken und Prozesse? Das BSI sagt ausdrücklich, dass zunächst erfasst werden muss, welche Daten und Systeme geschützt werden müssen und welche Schutzziele verfolgt werden. Erst daraus ergibt sich sinnvoll, welche kryptographischen Verfahren, Protokolle, Schlüssel und Zertifikate überhaupt gebraucht werden. Genau deshalb ist Kryptographie unter NIS-2 ein Thema für Konzepte und Prozesse - nicht nur für Schalter in einer Software.

Erst die Schutzziele, dann die Technik

Das ist der wichtigste Denkwechsel. Wer mit "wir brauchen jetzt AES-256" anfängt, springt zu früh in die Lösung. Das BSI stellt die Reihenfolge anders herum auf: erst Bestandsaufnahme, dann Risikosicht.

Das heißt praktisch: Erst wenn klar ist, welche Informationen oder Systeme geschützt werden müssen und gegen welche Risiken, kann man sinnvoll entscheiden, ob etwa Festplattenverschlüsselung, Transportverschlüsselung, Signaturen, VPN, Schlüsselmanagement oder Zertifikatsmanagement gebraucht werden.

Ohne Schlüsselmanagement ist Kryptographie oft nur Kulisse

Viele Unternehmen denken bei Kryptographie zuerst an Algorithmen. In der Praxis scheitert das Thema viel öfter am Umgang mit Schlüsseln und Zertifikaten. Genau deshalb nennt das BSI nicht nur kryptographische Verfahren, sondern ausdrücklich auch Schlüssel und Zertifikate, die katalogisiert werden müssen. Das ist mehr als Verwaltungsfleiß. Wenn niemand weiß, welche Schlüssel wo liegen, welche Zertifikate auslaufen, welche Verfahren veraltet sind und welche Systeme voneinander abhängen, dann ist das kein belastbarer Krypto-Einsatz, sondern oft nur Gewohnheit mit technischen Resten.

Wo Kryptographie unter NIS-2 typischerweise eine Rolle spielt

In der Praxis taucht das Thema an mehreren Stellen auf. Typische Beispiele sind:

• Verschlüsselung ruhender Daten, etwa auf Notebooks, Servern oder Datenträgern;
• Transportverschlüsselung, etwa für Webanwendungen, Schnittstellen oder E-Mail-Verkehr;
• Authentisierung und Vertrauensaufbau, etwa über Zertifikate;
• Integritätsschutz und Signaturen, wenn Änderungen nachweisbar erkannt werden sollen;
• sichere Kommunikation mit Dienstleistern oder Cloud-Diensten

Das sind Beispiele, keine starre NIS-2-Checkliste. Aber genau in diese Richtung zeigt das BSI, wenn es Kryptographie als Grundlage sicherer Geschäftsprozesse, digitaler Identitäten, elektronischer Signaturen und vertrauenswürdiger Online-Dienste beschreibt.

Nicht jede Umgebung braucht dieselbe Tiefe

NIS-2 verlangt risikobasierte Maßnahmen. Das BSI formuliert das für NIS-2 insgesamt als Pflicht zu geeigneten, verhältnismäßigen und wirksamen Maßnahmen. Genau deshalb ist die richtige Antwort nicht in jedem Unternehmen dieselbe. Ein Cloud-Dienstleister, ein Hersteller medizinischer Software, ein Logistikunternehmen und ein Maschinenbauer haben unterschiedliche Daten und basierend darauf: unterschiedliche Risiken. Kryptographie muss also zur Umgebung passen. Sie ist kein Dogma, sondern ein Sicherheitsbaustein, der begründet eingesetzt werden muss.

Für manche Sektoren wird es noch konkreter

Für bestimmte digitale und IT-nahe Sektoren gibt es auf EU-Ebene zusätzliche Präzisierungen. Die Durchführungsverordnung (EU) 2024/2690 formuliert und präzisiert Mindestanforderungen für Risikomanagementmaßnahmen aus Artikel 21 NIS-2 für bestimmte IT- und TK-nahe Bereiche. ENISA hat dazu 2025 eine technische Umsetzungsleitlinie veröffentlicht. Das ist wichtig, weil dort die allgemeine NIS-2-Logik für bestimmte Sektoren technischer und methodischer ausformuliert wird. Für Unternehmen in diesen Sektoren ist Kryptographie damit nicht nur ein allgemeiner Sicherheitsgedanke, sondern Teil eines konkreter beschriebenen Maßnahmenrahmens.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: „Wenn wir an ein paar Stellen Verschlüsselung aktivieren, sind wir beim Thema Kryptographie durch.“

Das ist zu kurz gedacht. NIS-2 will hier keine zufällige Produktauswahl, sondern einen nachvollziehbaren Umgang mit Verfahren, Schlüsseln, Zertifikaten, Schutzbedarfen und Migrationsfragen. Genau deshalb spricht das BSI von Konzepten und Prozessen und nicht bloß von Verschlüsselung als Funktion.

Ein pragmatischer Start für Unternehmen

Wenn Sie das Thema sinnvoll und ohne Kryptographie-Theater angehen wollen, dann meist in dieser Reihenfolge:

1. Informationen inventarisieren

Welche Daten besitzt das Unternehmen, die schützenswert sind? Eigene sowie die von Dritten (bspw. Kunden)? Wo werden diese gespeichert ("data at rest") und bei welchen Anlässen werden sie versendet ("data in transit")?

2. Risiken identifizieren und bewerten

Wo bestehen akut Risiken wegen fehlender Verschlüsselung? Konkret:

• Wo könnten schützenswerte Daten durch unbefugte Dritte abgegriffen werden - an welchen Speicherorten und bei welchen Datenübertragungen?
• Wo könnten sie unbefugt verfälscht werden - ebenfalls: an welchen Speicherorten und bei welchen Datenübertragungen?
• Wo laufen veraltete kryptografische Verfahren?
• Wo ist Schlüsselmanagement schwach?

3. Bestehende Kryptographie inventarisieren

Welche Verfahren, Protokolle, Schlüssel und Zertifikate gibt es bereits? Genau diese Inventarisierung nennt das BSI als Grundlage.

4. Risikobasiert Krypto-Konzepte und Prozesse festlegen

Nicht nur Technik, sondern auch Regeln: Wer verwaltet Schlüssel? Wie laufen Zertifikatswechsel? Wie wird dokumentiert? Das ist der eigentliche NIS-2-Kern.

5. Dokumentation von Anfang an mitführen

Wenn später nachgefragt wird, ist es zu spät, das Thema erst dann sauber aufzuschreiben. NIS-2 verlangt dokumentierte Maßnahmen.

Was will ein Prüfer sehen?

Ein Auditor oder Prüfer will bei diesem Thema in der Regel nicht hören: „Wir haben halt TLS und BitLocker.“ Er will erkennen, dass klar ist, welche kryptographischen Verfahren eingesetzt werden, warum, für welche Schutzziele, wie Schlüssel und Zertifikate verwaltet werden und wie das Ganze dokumentiert und gepflegt wird. Genau deshalb passt das BSI-Wording so gut: NIS-2 verlangt hier nicht nur Technik, sondern Konzepte und Prozesse.

Interesse geweckt?

Wenn Sie klären wollen, wie Kryptographie und Verschlüsselung in Ihrem Unternehmen unter NIS-2 wirklich sinnvoll aufgesetzt werden sollten, lassen Sie uns sprechen.