NIS2-Umsetzungsgesetz · Penetrationstest

NIS2-Compliance durch
gezielten Penetrationstest

Die NIS2-Richtlinie verpflichtet über 29.000 Unternehmen in Deutschland zu nachweisbaren Sicherheitsmaßnahmen. Ein Penetrationstest ist das anerkannte Instrument, um diese Anforderungen zu erfüllen – und gleichzeitig echte Schwachstellen zu finden, bevor Angreifer es tun.

Jetzt NIS2-Pentest anfragen Anforderungen ansehen
NIS2-Nachweis inklusive Bericht für Aufsichtsbehörden Kostenloses Erstgespräch
Was ihr bekommt
Nachweis für Aufsichtsbehörden
Jedes Finding wird Art. 21 NIS2 zugeordnet – der Bericht ist direkt für BSI-Audits nutzbar.
Alle relevanten Angriffsvektoren
Physical, Social Engineering, Infrastruktur, AD – wir testen was NIS2 fordert.
Management-Summary inklusive
Verständlich für Geschäftsführung und Aufsichtsrat, nicht nur für Techniker.
Maßnahmenplan nach Priorität
Klare Handlungsempfehlungen, priorisiert nach Risiko und Umsetzbarkeit.
Unser Abschlussbericht ist für interne Audits, BSI-Meldungen und Geschäftsführungs-Reporting geeignet.
NIS2-Anforderungen

Diese Artikel deckt unser Pentest ab

Artikel 21 NIS2 definiert konkrete technische und organisatorische Maßnahmen. Ein Penetrationstest liefert den messbaren Nachweis für die wichtigsten davon.

ART. 21 ABS. 2 (a)

Risikoanalyse & Sicherheitskonzept

NIS2 fordert eine systematische Identifikation und Bewertung von Risiken. Unser Pentest liefert ein realistisches Risikobild auf Basis tatsächlicher Angriffsvektoren.

Physical, Infra, AD Pentest
ART. 21 ABS. 2 (b)

Vorfallsmanagement

Um Vorfälle melden zu können, muss bekannt sein wo Schwachstellen liegen. Der Pentest deckt potenzielle Eintrittspunkte auf, bevor es zu einem echten Vorfall kommt.

Alle Pentest-Module
ART. 21 ABS. 2 (c)

Business Continuity & Backup

Wir testen ob kritische Systeme und Backups gegen reale Angriffe geschützt sind – inklusive Ransomware-Szenarien und Netzwerksegmentierung.

Infrastruktur-Pentest
ART. 21 ABS. 2 (i)

Sicherheit der Lieferkette

NIS2 fordert Risikobewertung von Dienstleistern und Zulieferern. Social Engineering und OSINT zeigen, wie Angreifer über Dritte in euer Unternehmen eindringen können.

Social Engineering, OSINT
ART. 21 ABS. 2 (e)

Netzwerksicherheit & Zugangskontrolle

Segmentierung, Firewall-Regeln, privilegierte Zugänge: Wir prüfen ob euer Netzwerk eine echte Angriffsbarriere darstellt oder nur auf dem Papier sicher ist.

Infrastruktur, AD Pentest
ART. 21 ABS. 2 (h)

MFA & Verschlüsselung

Schwache Authentifizierung und fehlende Verschlüsselung sind die häufigsten Einfallstore. Wir testen systematisch alle exponierten Zugänge auf Schwachstellen.

Web-App, AD Pentest

Was droht bei Nichteinhaltung?

Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen
Persönliche Haftung der Geschäftsführung bei nachgewiesener Pflichtverletzung
Anordnung zur sofortigen Umsetzung von Maßnahmen durch die zuständige Behörde (BSI)
Öffentliche Bekanntmachung von Verstößen bei schwerwiegenden Sicherheitsvorfällen
Betroffene Sektoren

Ist euer Unternehmen NIS2-pflichtig?

NIS2 erfasst wesentliche und wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in kritischen Sektoren – deutlich mehr als die alte NIS1.

Energie
🏥Gesundheit
💧Wasser & Abwasser
🏢Finanz & Versicherung
🚂Verkehr & Logistik
🏭Produktion & Industrie
📬Post & Kurier
💻IKT & Digitale Infrastruktur
🌐DNS & TLD-Anbieter
🔬Forschung
🗑Abfallwirtschaft
🛰Raumfahrt
Unser Vorgehen

NIS2-Pentest in 5 Schritten

Von der Scoping-Absprache bis zum NIS2-konformen Abschlussbericht – strukturiert, dokumentiert und auf Nachweisbarkeit ausgelegt.

SCHRITT 01

Scoping & NIS2-Mapping

Wir definieren gemeinsam den Testumfang und ordnen ihn den relevanten NIS2-Anforderungsartikeln zu. So ist von Anfang an klar, welche Compliance-Nachweise der Bericht liefern soll.

SCHRITT 02

Reconnaissance & Angriffsvorbereitung

Informationssammlung über öffentlich zugängliche Quellen (OSINT), Netzwerk-Scans und Angriffsplanung nach dem Stand der Technik.

SCHRITT 03

Testdurchführung

Manuelle Exploitation nach vereinbartem Scope – Physical, Digital oder beides. Kritische Findings kommunizieren wir sofort, damit ihr handeln könnt.

SCHRITT 04

Analyse & Risikobewertung

Jedes Finding wird nach Schweregrad, Ausnutzbarkeit und Business Impact bewertet – mit direktem Bezug auf den NIS2-Anforderungskatalog.

SCHRITT 05

NIS2-Abschlussbericht & Präsentation

Vollständige Dokumentation aller Findings mit Handlungsempfehlungen, Management-Summary und NIS2-Compliance-Mapping. Nutzbar für BSI-Audits und interne Nachweise.

NIS2-Pentest Report · Acme Corp GmbHNIS2-konform ✓
Serverraum: kein Zugangsschutz (Physical)
Art. 21(2)(a) ✓
AD: Kerberoasting – 4 Accounts kompromittiert
Art. 21(2)(h) ✓
Phishing: 38% Click-Through-Rate
Art. 21(2)(b) ✓
Keine Netzwerksegmentierung vorhanden
Art. 21(2)(e) ✓
VPN: veraltetes Protokoll (IKEv1)
Art. 21(2)(h) ✓
Backup: keine Verschlüsselung
Art. 21(2)(c) ✓
6 Findings · Maßnahmenplan inklusiveNIS2-Mapping Art. 21 Abs. 2 (a–j)
29.000+
Betroffene Unternehmen in DE
10 Mio. €
Max. Bußgeld wesentl. Einrichtungen
24 h
Meldefrist bei Sicherheitsvorfällen
100%
Unserer Berichte NIS2-tauglich
Unsere NIS2-Pentest Module

Welche Tests braucht ihr für NIS2?

NIS2 verlangt keine spezifische Testmethode – aber folgende Module decken die relevantesten Anforderungen ab und liefern die stärksten Nachweise.

Physical Pentest

Simulierter Einbruchsversuch in eure Unternehmensräumlichkeiten. Deckt Art. 21(2)(a) Risikoanalyse und physische Sicherheitsmaßnahmen ab – oft der unterschätzte Angriffsvektor.

Mehr erfahren

Infrastruktur & Active Directory

Netzwerksegmentierung, Firewall-Regeln, privilegierte Zugänge, AD-Härtung. Direkt relevant für Art. 21(2)(e) Netzwerksicherheit und (h) Kryptografie & Zugangskontrolle.

Mehr erfahren

Social Engineering

Phishing, Vishing, Pretexting. Zeigt wie anfällig eure Organisation für den menschlichen Faktor ist – NIS2 Art. 21(2)(b) Sicherheit in der Lieferkette und Mitarbeitersensibilisierung.

Mehr erfahren
Häufige Fragen

NIS2 & Penetrationstest – eure Fragen

NIS2 schreibt keine spezifische Testmethode vor, verlangt aber nachweisbare technische Sicherheitsmaßnahmen (Art. 21). Ein Penetrationstest ist das von Aufsichtsbehörden und BSI anerkannte Instrument, um diese Anforderungen zu erfüllen und zu dokumentieren. Unternehmen ohne regelmäßige Sicherheitstests riskieren bei einem Vorfall den Nachweis zu schulden, ausreichende Maßnahmen ergriffen zu haben.
NIS2 verlangt kontinuierliche Risikobewertung. Als Faustregel empfiehlt das BSI mindestens einen vollständigen Penetrationstest pro Jahr sowie nach wesentlichen IT-Änderungen (neue Systeme, Umstrukturierungen, Vorfälle). Wir bieten auf Wunsch auch kontinuierliche Begleitung und Re-Tests nach Behebung der Findings.
Ja. Unser Abschlussbericht enthält ein explizites NIS2-Compliance-Mapping, das jedes Finding den relevanten Artikeln von Art. 21 Abs. 2 NIS2 zuordnet. Damit ist der Bericht direkt für BSI-Audits, interne Nachweise und die Geschäftsführung nutzbar. Management-Summary inklusive.
Der Preis hängt vom Scope ab – welche Systeme, wie viele Standorte, welche Module. Ein fokussierter NIS2-Pentest (Infrastruktur + AD) startet typischerweise ab 4.500 €. Ein kombiniertes Assessment mit Physical und Social Engineering ab ca. 7.500 €. Nach einem kostenlosen Erstgespräch erhaltet ihr ein transparentes Festpreisangebot.
Der technische Ablauf ist identisch – der Unterschied liegt im Reporting. Unser NIS2-Pentest enthält ein strukturiertes Compliance-Mapping auf Art. 21 NIS2, eine risikoprioritisierte Maßnahmenplanung und eine Management-Summary die für Aufsichtsbehörden geeignet ist. Ein Standard-Pentest liefert technische Findings ohne diesen Compliance-Rahmen.
Ja. Die NIS2-Richtlinie gilt EU-weit. Wir führen Remote-Pentests (Infrastruktur, Web-App, AD) ortsunabhängig durch. Für Physical Assessments und Social Engineering reisen wir zu eurem Standort – auch außerhalb Deutschlands. Sprecht uns auf euren Standort an.

Bereit für euren NIS2-Pentest?

In 30 Minuten besprechen wir euren Scope, klären welche NIS2-Artikel relevant sind und ihr erhaltet ein unverbindliches Angebot – kostenlos.

Jetzt kostenloses Erstgespräch buchen hello@access-granted.de

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH