NIS2 & Application Security: machen Sie Ihre Software gesetzeskonform

Die NIS2-Richtlinie verschärft die Anforderungen an Cybersicherheit in Europa deutlich. Für viele Unternehmen ist dabei unklar, was das konkret für Softwareentwicklung bedeutet und wie regulatorische Anforderungen sinnvoll in den Entwicklungsalltag übersetzt werden können.

Diese Seite ordnet NIS2 aus Sicht der Application Security ein.

Warum NIS2 für Softwareentwicklung relevant ist

NIS2 sieht bei Verstössen empfindliche Sanktionen vor:

  • Bussgelder bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
  • Persönliche Verantwortung der Geschäftsleitung
  • Verpflichtende Nachweise über Sicherheitsmassnahmen

Doch NIS2 ist kein reines IT- oder Compliance-Thema. Viele Anforderungen betreffen direkt die Art und Weise, wie Software entwickelt wird.

Bin ich von NIS2 betroffen?

NIS2 betrifft nicht nur «kritische Infrastruktur».

Sie sind direkt betroffen, wenn:

  • Ihr Unternehmen in der EU tätig ist oder
  • Sie wesentliche oder wichtige Dienste erbringen oder
  • Sie bestimmte Grössenkriterien erfüllen (z.B. >50 Mitarbeitende oder >10 Mio. € Umsatz)

Sie sind indirekt betroffen, wenn:

  • Sie Software für NIS2-regulierte Unternehmen entwickeln
  • Sie Teil einer kritischen Lieferkette sind
  • Ihre Kunden Sicherheitsnachweise verlangen

In der Praxis bedeutet das, dass auch kleinere Softwareanbieter zunehmend unter NIS2-Druck geraten.

Was bedeutet «Stand der Technik» für Softwareentwickler?

NIS2 verlangt Sicherheitsmassnahmen nach dem Stand der Technik. Das ist bewusst offen formuliert, was zu Unsicherheit führt.

In verteilten Architekturen, Cloud-Umgebungen und API-basierten Systemen wirken sich Risiken anders aus als in klassischen Monolithen.

Für Softwareentwicklung bedeutet das nicht:

  • einzelne Security-Tools einzuführen
  • Checklisten abzuhaken
  • einmalige Audits zu bestehen

Sondern:

  • systematische Sicherheitsprozesse
  • nachvollziehbare Entscheidungen
  • nachweisbare Massnahmen entlang des gesamten SDLC

Typische Erwartungen sind u.a.:

  • Secure Software Development Lifecycle (SSDLC)
  • Bedrohungsanalysen (Threat Modeling)
  • sichere Architekturentscheidungen
  • regelmässige Überprüfung und Verbesserung

NIS2 Artikel 21: Risikomanagement-Massnahmen

Artikel 21 fordert explizit Risikomanagement-Massnahmen im Bereich Cybersicherheit.

Aus AppSec-Sicht gehören dazu insbesondere:

Application Security Assessments

Einordnung des aktuellen Reifegrads

Secure SDLC & DevSecOps

Sicherheit als Bestandteil des Entwicklungsprozesses

Supply-Chain Security

Umgang mit Abhängigkeiten, Libraries und Drittanbietern

Diese Massnahmen sind nicht optional. Sie müssen angemessen, dokumentiert und überprüfbar sein.

Mein Lösungsweg: In 3 Schritten zur NIS2-Readiness

1. Gap-Analyse

Strukturierte Einordnung:

  • Wo stehen Sie heute?
  • Welche NIS2-relevanten Anforderungen sind bereits erfüllt?
  • Wo bestehen konkrete Lücken?

2. Roadmap

Ableitung einer realistischen Roadmap:

  • priorisierte Massnahmen
  • klarer Fokus auf Wirkung und Nachweisbarkeit
  • kein Tool-Aktionismus

3. Umsetzung im Team

Begleitete Umsetzung:

  • Übersetzung der Anforderungen in Entwicklungsrealität
  • Enablement der Teams
  • nachhaltige Verankerung im Alltag

Mein Angebot: Von der Richtlinie zu Jira-Tickets

Ich übersetze NIS2-Anforderungen nicht in PowerPoint, sondern in konkrete Arbeitspakete:

  • klare Massnahmen statt abstrakter Compliance-Ziele
  • umsetzbar für Entwicklungsteams
  • priorisiert und nachvollziehbar
  • geeignet für Jira, Azure DevOps oder ähnliche Tools

Weiterführende Schritte

NIS2 ist kein isoliertes Compliance-Thema, sondern betrifft Architektur, Entwicklungsprozesse und Lieferketten gleichermassen.

Je nach Ausgangslage sind folgende Einstiege sinnvoll:

  • AppSec Assessments: zur strukturierten Einordnung Ihres aktuellen Reifegrads im Kontext regulatorischer Anforderungen
  • SSDLC & DevSecOps Consulting: zur Etablierung nachvollziehbarer Sicherheitsprozesse entlang des Entwicklungszyklus
  • Supply-Chain Security: für den Umgang mit Abhängigkeiten, Drittanbietern und regulatorischen Anforderungen in der Lieferkette
  • Threat-Modeling: zur systematischen Identifikation und Bewertung relevanter Risiken

Wenn Sie NIS2 nicht nur «irgendwie erfüllen», sondern sinnvoll in Ihre Softwareentwicklung integrieren möchten, lassen Sie uns sprechen.

Erstgespräch buchen

FAQ

NIS2 fordert keine spezifischen Technologien, sondern nachweisbare Sicherheitsprozesse.
Für Softwareentwicklung bedeutet das u.a. sichere Architektur, Risikobewertung, kontrollierte Abhängigkeiten und kontinuierliche Verbesserung.

Direkt gilt NIS2 für EU-Unternehmen.
Indirekt sind jedoch viele Schweizer SaaS-Anbieter betroffen, wenn:

  • sie Kunden in der EU bedienen
  • sie Teil einer NIS2-relevanten Lieferkette sind
  • ihre Kunden Sicherheitsnachweise verlangen

In der Praxis entstehen dadurch vergleichbare Anforderungen.