NIS2 für IT-Dienstleister & Managed Service Provider
1.000 bis 2.000 MSPs, MSSPs und IT-Dienstleister in Deutschland fallen unter NIS2 — als Sektor Digitale Infrastruktur (Anlage 1 BSIG) potenziell als besonders wichtige Einrichtungen (bwE). DNS-, TLD- und TSP-Anbieter sind sogar größenunabhängig betroffen.
Herausforderungen für IT-Dienstleister & MSPs
IT-Dienstleister gehören zum Sektor Digitale Infrastruktur (Anlage 1 BSIG) — ein Sektor hoher Kritikalität mit den strengsten Anforderungen und dem größten Multiplikatoreffekt über Lieferketten.
Doppelt reguliert
IT-Dienstleister haben eine eigene NIS2-Pflicht und sind gleichzeitig als Lieferant ihrer Kunden in deren Lieferketten-Compliance eingebunden. Art. 21 (d) macht MSPs zum Prüfgegenstand jedes betroffenen Unternehmens.
Konzern-IT als MSP
Viele interne IT-Abteilungen sind als GmbH ausgegliedert und erbringen Dienstleistungen für die Konzerngesellschaften. Laut BSI-FAQ fallen diese Konzern-IT-Töchter als Managed Service Provider unter NIS2.
Meldepflicht für Kundeninfrastruktur
MSPs müssen erhebliche Sicherheitsvorfälle melden — auch wenn die betroffene Infrastruktur beim Kunden liegt. Die Abgrenzung der Meldepflicht zwischen MSP und Kunde ist rechtlich komplex.
EU-Durchführungsverordnung 2024/2690
Für DNS-Dienste, TLD-Registrys, Cloud-Computing, Rechenzentrumsdienste und Managed Services gilt die EU-Durchführungsverordnung direkt — mit detaillierten technischen Anforderungen über Art. 21 hinaus.
Was IT-Dienstleistern & MSPs droht
IT-Dienstleister im Sektor Digitale Infrastruktur gelten als potenziell besonders wichtige Einrichtungen (bwE) — mit den höchsten Bußgeld-Kategorien und persönlicher Geschäftsführer-Haftung.
Art. 21 — Relevante Maßnahmen für IT-Dienstleister
Von den 10 Maßnahmenbereichen des Art. 21 sind diese besonders relevant für MSPs und IT-Dienstleister — 3 davon prüft Wolf-Agents automatisiert.
| Art. 21 | Maßnahme | IT-Dienstleister-Relevanz | Status |
|---|---|---|---|
| (d) | Lieferkettensicherheit | MSPs sind selbst das Lieferkettenrisiko ihrer Kunden — und müssen gleichzeitig ihre eigenen Zulieferer (Cloud, Software, Hardware) absichern | Fragebogen |
| (e) | Sichere Systeme | Kundenportale, Monitoring-Dashboards, Ticketsysteme, RMM-Webinterfaces — Security Headers, SSL/TLS und API-Härtung | Automatisiert |
| (f) | Wirksamkeitsbewertung | Regelmäßige Überprüfung der eigenen und der beim Kunden eingesetzten Sicherheitsmaßnahmen, automatisiertes Monitoring | Automatisiert |
| (h) | Kryptografie | Verschlüsselung von Kundendaten in Transit und at Rest, DANE für E-Mail, sichere Fernwartungstunnel | Automatisiert |
| (a) | Risikoanalyse | Risikobewertung für eigene Infrastruktur und Multi-Tenant-Umgebungen, ISMS nach ISO 27001 oder BSI-Grundschutz | Fragebogen |
| (b) | Incident Response | 24h-Erstmeldung für Vorfälle in eigener und Kundeninfrastruktur, klare Abgrenzung der Meldepflichten zwischen MSP und Kunde | Fragebogen |
Prüfen → Überwachen → Dokumentieren
NIS2-Compliance für MSPs und IT-Dienstleister: Automatische Prüfung Ihrer Kundenportale, Monitoring-Dashboards und E-Mail-Infrastruktur.
Prüfen
Web Security Scanner prüft Kundenportale, RMM-Webinterfaces und Ticketsysteme auf Security Headers, SSL/TLS und bekannte Schwachstellen.
Überwachen
Automatisches Monitoring alle 6 Stunden: Score-Verschlechterung, DNS-Änderungen, Blacklist-Listings und Zertifikatsablauf — sofortige Alerts.
Dokumentieren
Score-History, Maßnahmen-Log und NIS2-Compliance-Report — nachweisbar für BSI-Audits, Lieferketten-Nachweise und Ihre Kunden.
Ist Ihr IT-Unternehmen betroffen?
Prüfen Sie in 30 Sekunden, ob Ihr IT-Dienstleistungsunternehmen von der NIS2-Richtlinie betroffen ist. Kostenlos, ohne Registrierung.