NIS2 Firewall Anforderungen: Was KMU jetzt tun müssen
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste EU-Regulierung für Cybersicherheit, die je verabschiedet wurde. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt — und betrifft rund 29.500 Unternehmen, die sich bis Oktober 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren müssen. Für viele kleine und mittlere Unternehmen (KMU) stellt sich jetzt die Frage: Was bedeutet das konkret für unser Firewall-Management?
Dieser Leitfaden erklärt die NIS2 Firewall Anforderungen im Detail: welche Unternehmen betroffen sind, welche Dokumentationspflichten gelten, wie ein konformer Change-Management-Prozess aussieht und welche Fristen einzuhalten sind. Am Ende finden Sie eine praktische Checkliste, mit der Sie den aktuellen Stand Ihrer Compliance bewerten können.
Wer ist von NIS2 betroffen?
NIS2 erweitert den Geltungsbereich gegenüber der ursprünglichen NIS-Richtlinie erheblich. Die Einstufung erfolgt anhand zweier Kriterien: Unternehmensgröße und Sektorzugehörigkeit. Unternehmen mit mindestens 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz, die in einem der 18 definierten Sektoren tätig sind, fallen unter die Regelung.
Betroffene Sektoren (Auswahl)
Wesentliche Einrichtungen (§28 Abs. 1)
- • Energie (Strom, Gas, Öl, Fernwärme)
- • Transport (Luft, Schiene, Wasser, Straße)
- • Bankwesen und Finanzmarktinfrastrukturen
- • Gesundheitswesen
- • Trink- und Abwasser
- • Digitale Infrastruktur (Rechenzentren, CDN, DNS)
- • Öffentliche Verwaltung
- • Weltraum
Wichtige Einrichtungen (§28 Abs. 2)
- • Post- und Kurierdienste
- • Abfallwirtschaft
- • Chemische Industrie
- • Lebensmittelproduktion und -vertrieb
- • Verarbeitendes Gewerbe (Maschinenbau, Fahrzeuge, Elektronik)
- • Digitale Dienste (Marktplätze, Suchmaschinen, Social Media)
- • Forschung
Besonders relevant für den Mittelstand: Das verarbeitende Gewerbe ist erstmals vollständig einbezogen. Ein Maschinenbauunternehmen mit 80 Mitarbeitern und 15 Millionen Euro Umsatz fällt genauso unter NIS2 wie ein DAX-Konzern. Schätzungen des BSI zufolge sind rund 29.500 deutsche Unternehmen betroffen — die meisten davon im Mittelstand, die bisher keine vergleichbaren regulatorischen Anforderungen erfüllen mussten.
Fristen und Registrierungspflicht
Das NIS2UmsuCG tritt voraussichtlich im Herbst 2026 in Kraft. Betroffene Unternehmen müssen sich dann innerhalb von drei Monaten beim BSI registrieren. Die Registrierung umfasst Angaben zur Einrichtung, zum Sektor, zu den erbrachten Diensten und zu den Kontaktdaten für Sicherheitsvorfälle.
Wichtige Fristen im Überblick
- Oktober 2026: Inkrafttreten des NIS2UmsuCG (geplant)
- 3 Monate nach Inkrafttreten: BSI-Registrierungspflicht für alle betroffenen Einrichtungen
- Ab Inkrafttreten: Risikomanagementmaßnahmen müssen implementiert und dokumentiert sein
- 24 Stunden: Frist für Erstmeldung eines erheblichen Sicherheitsvorfalls an das BSI
- 72 Stunden: Frist für die vollständige Meldung mit Bewertung und Erstanalyse
- 1 Monat: Frist für den Abschlussbericht zum Vorfall
Die Geschäftsführung haftet persönlich für die Einhaltung. Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist.
Was NIS2 für das Firewall-Management bedeutet
Artikel 21 der NIS2-Richtlinie verpflichtet betroffene Einrichtungen zu „technischen, operativen und organisatorischen Maßnahmen“ zum Schutz ihrer Netz- und Informationssysteme. Für die Firewall-Verwaltung ergeben sich daraus konkrete Anforderungen in vier Bereichen:
1. Risikomanagement und Bewertung
Jede Firewall-Regel muss im Kontext einer Risikoanalyse bewertet werden. Das bedeutet: Sie müssen dokumentieren können, welche Risiken durch bestehende Regeln adressiert werden und welche Risiken bei Änderungen entstehen. Eine „Any-Any“-Regel ohne Geschäftsbegründung ist unter NIS2 nicht mehr nur ein Audit-Finding — sie ist ein Compliance-Verstoß.
BSI-Anforderung: Dokumentierte Risikoanalyse für alle Netzwerk-Sicherheitsrichtlinien. Regelmäßige Überprüfung und Aktualisierung.
2. Dokumentation und Nachweispflicht
NIS2 fordert eine lückenlose Dokumentation aller sicherheitsrelevanten Maßnahmen. Für Firewalls heißt das: Jede Regeländerung braucht eine nachvollziehbare Historie — wer hat die Änderung beantragt, wer hat sie genehmigt, wer hat sie implementiert, und welche Geschäftsbegründung liegt vor. Excel-Tabellen und E-Mail-Ketten erfüllen diese Anforderungen in der Praxis nicht.
BSI-Anforderung: Vollständiger Audit-Trail für alle Änderungen an Netzwerksicherheitsrichtlinien. Aufbewahrung für mindestens 3 Jahre.
3. Change Management und Genehmigungsworkflow
Ein strukturierter Change-Management-Prozess ist unter NIS2 keine optionale Best Practice mehr, sondern eine regulatorische Pflicht. Jede Änderung an Firewall-Regeln muss einen definierten Workflow durchlaufen: Antrag, technische Validierung, Genehmigung durch eine autorisierte Person, Implementierung und Verifizierung.
BSI-Anforderung: Formaler Änderungsprozess für alle Netzwerk-Sicherheitskonfigurationen. Nachweisbare Genehmigung vor Umsetzung.
4. Incident Response und Meldepflicht
Bei einem Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine Erstmeldung an das BSI absetzen. Dafür müssen Sie schnell feststellen können, welche Firewall-Regeln relevant sind, ob kürzlich Änderungen vorgenommen wurden und welche Systeme betroffen sind. Ohne ein zentrales Firewall-Management-System dauert diese Analyse Stunden oder Tage — Zeit, die Sie nicht haben.
BSI-Anforderung: Fähigkeit zur schnellen Analyse von Firewall-Konfigurationen bei Sicherheitsvorfällen. Dokumentation aller Änderungen für forensische Untersuchungen.
Spezifische Firewall-Dokumentationsanforderungen
Aus den allgemeinen NIS2-Pflichten leiten sich konkrete Dokumentationsanforderungen für das Firewall-Management ab. Diese Tabelle zeigt, was Sie nachweisen müssen:
| Dokumentationsbereich | Anforderung | Prüfungsfokus BSI |
|---|---|---|
| Regelwerk-Inventar | Vollständige Liste aller aktiven Firewall-Regeln mit Geschäftsbegründung | Gibt es Regeln ohne dokumentierten Zweck? |
| Änderungshistorie | Nachvollziehbarer Audit-Trail für jede Regeländerung | Kann jede Änderung einem Genehmiger zugeordnet werden? |
| Genehmigungsprozess | Formaler Workflow: Antrag → Prüfung → Genehmigung → Umsetzung | Werden Änderungen vor Umsetzung genehmigt? |
| Regelmäßige Überprüfung | Mindestens vierteljährliche Überprüfung aller Regeln | Wann wurde die letzte vollständige Review durchgeführt? |
| Netzwerksegmentierung | Dokumentierte Segmentierungsstrategie mit Zonenkonzept | Sind kritische Systeme isoliert? |
| Notfallprozeduren | Dokumentiertes Verfahren für Notfall-Regeländerungen | Gibt es einen Emergency-Change-Prozess? |
Typische Probleme bei KMU
In unserer Beratungspraxis sehen wir bei mittelständischen Unternehmen immer wieder dieselben Schwachstellen, die unter NIS2 zu ernsthaften Compliance-Problemen führen werden:
- Kein dokumentierter Änderungsprozess: Firewall-Änderungen werden per E-Mail oder mündlich angefragt und direkt umgesetzt. Es existiert kein nachvollziehbarer Genehmigungsworkflow.
- Regelwerk-Wildwuchs: Über Jahre gewachsene Regelwerke mit Hunderten ungenutzter, redundanter oder übermäßig permissiver Regeln. Niemand weiß, warum bestimmte Regeln existieren.
- Fehlende Geschäftsbegründungen: Regeln existieren ohne dokumentierten Zweck. Bei einem Audit kann nicht erklärt werden, welchen Geschäftsprozess eine Regel unterstützt.
- Keine regelmäßige Überprüfung: Das Regelwerk wurde seit Monaten oder Jahren nicht systematisch geprüft. Shadow Rules und Konflikte bleiben unentdeckt.
- Multi-Vendor-Chaos: Unterschiedliche Firewalls (Palo Alto, Fortinet, Cisco) werden isoliert verwaltet. Es gibt keinen übergreifenden Überblick über die Netzwerksicherheitslage.
- Einzelperson-Abhängigkeit: Nur ein IT-Mitarbeiter versteht das Firewall-Regelwerk. Bei Ausfall oder Kündigung entsteht ein massives Wissensrisiko.
Wie FwChange bei der NIS2-Compliance hilft
FwChange wurde speziell für Unternehmen entwickelt, die Enterprise-Funktionalität brauchen, ohne Enterprise-Komplexität. So adressiert die Plattform die NIS2-Anforderungen:
Lückenloser Audit-Trail
Jede Regeländerung wird automatisch dokumentiert: Wer hat die Änderung beantragt, wer hat sie geprüft, wer hat sie genehmigt, wann wurde sie umgesetzt, und was genau wurde geändert. Dieser Audit-Trail ist jederzeit exportierbar und erfüllt die NIS2-Nachweispflicht.
Mehrstufiger Genehmigungsworkflow
Konfigurierbare Genehmigungsstufen je nach Kritikalität der Änderung. Einfache Änderungen benötigen eine Genehmigung, kritische Änderungen durchlaufen bis zu vier Stufen. Inklusive SLA-Tracking und automatischer Eskalation bei Überschreitung.
Multi-Vendor-Support (33 Hersteller)
Einheitliche Verwaltung von Palo Alto, Fortinet, Check Point, Cisco, Juniper, Sophos, AWS, Azure und 25 weiteren Herstellern. Ein zentrales Dashboard für alle Firewalls — unabhängig vom Hersteller.
Automatische Regelanalyse
KI-gestützte Erkennung von Shadow Rules, Redundanzen, Konflikten und übermäßig permissiven Regeln. Regelmäßige automatisierte Scans sorgen dafür, dass Probleme erkannt werden, bevor ein Auditor sie findet.
Policy Drift Detection
Automatische Erkennung unautorisierter Änderungen durch Vergleich der aktuellen Konfiguration mit genehmigten Baselines. Sofortige Benachrichtigung bei kritischen Abweichungen — ein wesentlicher Baustein für die NIS2-konforme Überwachung.
NIS2 Compliance-Checkliste für Firewall-Management
Nutzen Sie diese Checkliste, um den aktuellen Stand Ihrer NIS2-Readiness im Bereich Firewall-Management zu bewerten:
- ☐ Betroffenheitsprüfung: Haben Sie geprüft, ob Ihr Unternehmen unter NIS2 fällt (Sektorzugehörigkeit, Größenkriterien)?
- ☐ BSI-Registrierung: Ist der Registrierungsprozess beim BSI vorbereitet?
- ☐ Firewall-Inventar: Existiert eine vollständige Liste aller Firewalls mit Hersteller, Version und Standort?
- ☐ Regelwerk-Dokumentation: Hat jede Firewall-Regel eine dokumentierte Geschäftsbegründung?
- ☐ Änderungsprozess: Existiert ein formaler Change-Management-Prozess mit Genehmigungsworkflow?
- ☐ Audit-Trail: Wird jede Änderung lückenlos dokumentiert (Antragsteller, Genehmiger, Zeitpunkt, Inhalt)?
- ☐ Regelmäßige Reviews: Werden Firewall-Regeln mindestens vierteljährlich überprüft?
- ☐ Segmentierungskonzept: Ist die Netzwerksegmentierung dokumentiert und wird sie durchgesetzt?
- ☐ Incident-Response-Fähigkeit: Können Sie bei einem Vorfall innerhalb von 24 Stunden relevante Firewall-Daten bereitstellen?
- ☐ Notfallprozeduren: Gibt es ein dokumentiertes Verfahren für Notfall-Regeländerungen?
Wenn Sie mehr als drei Punkte nicht abgehakt haben, sollten Sie jetzt mit der Vorbereitung beginnen. Die Erfahrung zeigt, dass die Implementierung eines konformen Firewall-Management-Prozesses drei bis sechs Monate in Anspruch nimmt — mit dem richtigen Tool deutlich weniger.
Ausführlichere Informationen zu den NIS2-Anforderungen für den deutschen Markt finden Sie auf unserer NIS2-Informationsseite.
Wie steht es um Ihre NIS2-Readiness?
Unser kostenloser Firewall-Audit analysiert Ihr Regelwerk in Minuten und zeigt Ihnen, wo Handlungsbedarf besteht — inklusive NIS2-relevanter Findings.
Kostenlosen Audit starten →See How Your Firewall Rules Score
Upload your config and get a free compliance report with shadow rule detection, conflict analysis, and optimization recommendations.
Stay Updated
Get firewall management tips, compliance guides, and product updates.
No spam. Unsubscribe anytime.