[ NIS2-Cluster, IT-Dienstleister ]

NIS2 für IT-Dienstleister: direkt-betroffen.

IT-Dienstleister, MSPs, Cloud-Anbieter, Rechenzentren-Betreiber und IKT-Dienstmanagement-Anbieter sind direkt in NIS2 erfasst. Anders als bei Branchen wie Steuerberatern gilt hier: keine Diskussion über Betroffenheit, sondern volle Umsetzungspflicht.

NIS2-Audit für MSP Allgemeine NIS2-Beratung
[ 01 / Betroffenheits-Check ]

Sind Sie direkt betroffen?

Managed Service Provider (MSP)

Direkt betroffen. Sie verwalten kritische IT-Infrastruktur Ihrer Kunden, fallen unter IKT-Dienstmanagement.

Managed Security Service Provider (MSSP)

Direkt betroffen. SOC-as-a-Service, SIEM-Betrieb, EDR-Management, Vulnerability-Management.

Cloud-Computing-Anbieter

Direkt und in der höheren Kategorie (wesentliche Einrichtung). IaaS, PaaS, SaaS ab Schwellenwerten.

Datenzentren / Co-Location

Wesentliche Einrichtungen, unabhängig von der Größe wenn kritisch. Sonst ab Schwellenwerten.

CDN-Anbieter

Direkt betroffen als Bereitsteller digitaler Infrastruktur.

Telekommunikations-Anbieter

Direkt betroffen. ISP, VoIP-Anbieter, Carrier-Services.

[ 02 / MSP-spezifische Pflichten ]

Was MSPs zusätzlich zur Art-21-Liste umsetzen müssen

MSPs haben Sonder-Pflichten, weil sie Zugriff auf Kunden-Infrastruktur haben. Hier die kritischsten Punkte.

  • >_Multi-Tenant-Trennung: Kunden-Daten und Kunden-Zugriffe müssen streng separiert sein
  • >_Privileged Access Management (PAM): wer in Ihrer Firma hat Admin-Zugriff zu welchem Kunden, mit Audit-Trail
  • >_Just-in-Time-Access für Admin-Operationen statt Standing-Admin-Rechte
  • >_Audit-Logs aller Admin-Operationen mit 12-Monaten-Retention
  • >_Kunden-Compromise-Detection: Sie müssen erkennen, wenn ein Kunde gehackt wurde, nicht nur Sie selbst
  • >_Lieferketten-Bewertung: welche Tools nutzen Sie (Monitoring, RMM, PSA), sind die NIS2-konform
  • >_Sichere Software-Update-Pipeline für Kunden-Endpoints (RMM-Tools sind Hochrisiko)
  • >_Incident-Response-Kommunikation an Kunden in 24h bei Vorfällen, die sie betreffen
  • >_Vertragliche Klauseln mit Kunden zur NIS2-konformen Zusammenarbeit
  • >_Penetration-Tests des eigenen Service-Layers mindestens jährlich
[ 03 / Hochrisiko-Bereiche ]

Wo MSPs scheitern.

RMM-Tool-Compromise

Kaseya-Vorfall 2021 hat gezeigt: wenn der RMM gehackt wird, sind alle Kunden gleichzeitig kompromittiert. Stärkster MFA-Schutz, IP-Whitelisting, Egress-Filtering Pflicht.

Standing Admin Rights

Techniker haben Dauer-Admin-Zugang auf Kunden-Systeme. Bei kompromittiertem Tech-Konto: Multi-Kunden-Risiko. PAM mit JIT-Zugang ist Standard.

Geteilte Tools, geteilte Risiken

Wenn Sie für 30 Kunden den gleichen N-Central, Datto oder ConnectWise-Tenant nutzen, ist das ein Single Point of Failure.

Phishing-Anfälligkeit von Technikern

Techniker sind hochinteressante Phishing-Ziele, weil sie Admin-Zugriff haben. Awareness-Training muss tiefer gehen als beim üblichen Mitarbeiter.

Backup-Compromise

Wenn der Backup-Server vom MSP betreut wird und das MSP-Konto kompromittiert ist, sind Backups ebenfalls verloren. Air-Gapped Backups sind Pflicht.

Kunden-Vertrag nicht NIS2-tauglich

Alte Verträge ohne Sicherheits-Klauseln, ohne Vorfall-Meldepflicht, ohne Audit-Rechte sind ab 2026 nicht mehr tragfähig.

[ Häufige Fragen ]

Was Mandanten typischerweise vorher wissen wollen.

Welche IT-Dienstleister sind direkt von NIS2 betroffen?

Anbieter von IKT-Dienstmanagement (Managed Service Provider, Managed Security Service Provider), Cloud-Computing-Dienste, Datenzentren-Dienste, Inhaltsbereitstellungs-Netzwerke (CDNs), Online-Marktplätze, Online-Suchmaschinen, soziale Netze. Alle ab 50 Mitarbeitern und 10 Mio. EUR Umsatz, dazu KMU in kritischen Funktionen.

Was unterscheidet „wesentlich" und „wichtig" für IT-Dienstleister?

Wesentliche Einrichtungen (Cloud-Computing-Anbieter, Datenzentren): proaktive Aufsicht, Bußgelder bis 10 Mio. EUR. Wichtige Einrichtungen (MSPs, andere IT-Dienste): reaktive Aufsicht, Bußgelder bis 7 Mio. EUR. Beide müssen die gleichen Sicherheits-Maßnahmen umsetzen.

Was kostet die NIS2-Umsetzung für einen 50-MA MSP?

Drei Festpreis-Stufen: Readiness-Audit 7.900 bis 11.900 EUR (einmalig, 5 bis 10 Werktage), Vollimplementierung ab 47.900 bis 79.900 EUR als Festpreis-Projekt über 6 bis 9 Monate, Retainer ab 3.590 EUR pro Monat. Cybersecurity-Versicherung separat, branchen-üblich 8.000 bis 25.000 EUR pro Jahr.

Müssen wir alle unsere Kunden über Vorfälle informieren?

Ja, bei wesentlichen Auswirkungen auf Empfänger der eigenen Dienste. Innerhalb 24h Frühwarnung, innerhalb 72h detaillierte Meldung, plus Information der eigenen Kunden über Vorfall und Maßnahmen. Vertrags-Anpassungen für Kunden-Kommunikation sind sinnvoll.

Was ist mit ISO 27001 als Vorstufe?

ISO 27001 deckt etwa 75 Prozent der NIS2-Maßnahmen ab. Für MSPs und Cloud-Anbieter besonders empfehlenswert, als Vorstufe oder parallel. Plus SOC2 Type II für US-Markt-Anschluss.

[ Erstgespräch ]

30 Minuten Erstberatung, kostenfrei.

Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.

admin@dc-infosec.de