NIS2-Richtlinie: Welche E-Mail-Sicherheitspflichten gelten jetzt für Unternehmen

NIS2-Richtlinie: Welche E-Mail-Sicherheitspflichten gelten jetzt für Unternehmen?

TL;DR: Die NIS2-Umsetzung durch das BSIG verpflichtet tausende deutsche Unternehmen zu konkreten E-Mail-Sicherheitsmaßnahmen: Verschlüsselung nach §30 Abs. 2 Nr. 8, Vorfallmeldung innerhalb von 24 Stunden und dokumentierte Zugangskontrolle. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro. Conbool SecureMail und MailGuard decken die wesentlichen Anforderungen ab – automatisiert und nachweisbar.

Die europäische NIS2-Richtlinie (EU 2022/2555) ist die umfassendste Cybersicherheits-Regulierung, die die EU je verabschiedet hat. Mit der nationalen Umsetzung durch das novellierte BSI-Gesetz (BSIG) gelten für deutsche Unternehmen erstmals verbindliche Mindeststandards für IT-Sicherheit – und E-Mail-Kommunikation steht dabei im Zentrum der Anforderungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass rund 30.000 Unternehmen in Deutschland von der Regulierung betroffen sind. Viele davon haben die Tragweite der neuen Pflichten noch nicht vollständig erfasst. Dieser Artikel erklärt, welche E-Mail-Sicherheitspflichten konkret gelten, welche Strafen drohen und wie Unternehmen die Anforderungen effizient umsetzen.

Was ist die NIS2-Richtlinie und wer ist betroffen?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv. Die nationale Umsetzung erfolgt durch das novellierte BSIG, insbesondere durch die §§28-30.

Welche Sektoren fallen unter §28 BSIG?

§28 BSIG definiert zwei Kategorien betroffener Einrichtungen:

Besonders wichtige Einrichtungen (Sektoren mit hoher Kritikalität):

• Energie (Strom, Gas, Öl, Fernwärme)
• Transport und Verkehr
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastruktur und IT-Dienste
• Öffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (weitere kritische Sektoren):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -vertrieb
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
• Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen

Ab welcher Unternehmensgröße gilt NIS2?

Die Schwellenwerte sind bewusst niedrig angesetzt: Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro in einem der genannten Sektoren fallen unter die Regulierung. Für bestimmte digitale Infrastrukturen (DNS-Dienste, TLD-Registrare, Vertrauensdiensteanbieter) gelten die Pflichten sogar größenunabhängig.

Das bedeutet: Nicht nur Großkonzerne, sondern auch zahlreiche mittelständische Unternehmen müssen die neuen Anforderungen umsetzen. Wer unsicher ist, ob sein Unternehmen betroffen ist, kann die BSI-Betroffenheitsprüfung als ersten Orientierungspunkt nutzen.

Welche E-Mail-Sicherheitsanforderungen definiert §30 BSIG?

§30 BSIG ist das Herzstück der technischen Anforderungen. Er verpflichtet betroffene Unternehmen zu „geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen" zur Beherrschung von Risiken für die Sicherheit der Netz- und Informationssysteme. Da E-Mail nach wie vor der primäre Angriffsvektor für Cyberattacken ist – laut BSI Lagebericht beginnen über 90% aller erfolgreichen Angriffe mit einer E-Mail – gelten die Anforderungen in besonderem Maße für die E-Mail-Infrastruktur.

Die relevanten Maßnahmen im Überblick

§30 Abs. 2 Nr. 1 – Risikoanalyse und Sicherheitskonzepte: Unternehmen müssen eine dokumentierte Risikoanalyse ihrer E-Mail-Infrastruktur durchführen. Welche Bedrohungen bestehen? Welche Daten werden per E-Mail übertragen? Welche Schutzmaßnahmen sind verhältnismäßig?

§30 Abs. 2 Nr. 3 – Sicherheit der Lieferkette: Die E-Mail-Kommunikation mit Lieferanten und Dienstleistern muss abgesichert werden. Das umfasst verschlüsselte Kommunikation und die Verifikation von Absenderidentitäten.

§30 Abs. 2 Nr. 5 – Sicherheit bei Erwerb, Entwicklung und Wartung: E-Mail-Systeme müssen regelmäßig aktualisiert und gepatcht werden. Schwachstellenmanagement ist Pflicht.

§30 Abs. 2 Nr. 6 – Bewertung der Wirksamkeit: Die getroffenen Maßnahmen müssen regelmäßig überprüft und ihre Wirksamkeit dokumentiert werden.

§30 Abs. 2 Nr. 8 – Kryptografie und Verschlüsselung: Dies ist die zentrale Vorschrift für E-Mail-Sicherheit. Unternehmen müssen „Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung" implementieren. Für E-Mail bedeutet das konkret: Transportverschlüsselung (TLS) als Minimum, Ende-zu-Ende-Verschlüsselung (S/MIME oder PGP) als Stand der Technik für vertrauliche Kommunikation.

§30 Abs. 2 Nr. 9 – Zugangskontrollen und Anlagenmanagement: Der Zugang zu E-Mail-Systemen muss durch Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrolle und sichere Authentifizierungsverfahren geschützt werden.

§30 Abs. 2 Nr. 10 – Gesicherte Kommunikation: Unternehmen müssen „gesicherte Sprach-, Video- und Textkommunikation" verwenden. E-Mail fällt ausdrücklich unter diese Anforderung.

Wie wirken sich Verschlüsselungspflicht, Vorfallmeldung und Zugangskontrollen auf die E-Mail-Praxis aus?

Verschlüsselung nach §30 Abs. 2 Nr. 8

Die Verschlüsselungspflicht hat für die E-Mail-Praxis weitreichende Konsequenzen:

1. Transportverschlüsselung (TLS): Jeder E-Mail-Server muss TLS 1.2 oder höher unterstützen. Opportunistisches TLS reicht nicht – Unternehmen müssen sicherstellen, dass E-Mails nicht unverschlüsselt übertragen werden.

2. Ende-zu-Ende-Verschlüsselung: Für vertrauliche und personenbezogene Daten fordert das BSI den Einsatz von S/MIME oder PGP. Das bedeutet: Die Verschlüsselung muss vom Absender bis zum Empfänger bestehen bleiben – auch wenn die E-Mail über mehrere Server geleitet wird.

3. Schlüsselmanagement: Zertifikate und Schlüssel müssen zentral verwaltet, regelmäßig erneuert und bei Kompromittierung sofort zurückgezogen werden können.

In der Praxis scheitern viele Unternehmen an der Komplexität manueller Verschlüsselung. Genau hier setzt eine automatisierte Gateway-Lösung an, wie sie Conbool SecureMail bietet. Das Gateway übernimmt die gesamte Kryptografie transparent und ohne Zutun der Endnutzer. Wie automatisierte E-Mail-Verschlüsselung konkret funktioniert, erläutern wir ausführlich in unserem Artikel zur digitalen Souveränität durch automatisierte E-Mail-Verschlüsselung.

Vorfallmeldung (Incident Reporting)

Die NIS2-Richtlinie führt ein gestuftes Meldesystem ein, das auch für E-Mail-bezogene Sicherheitsvorfälle gilt:

• Erstmeldung innerhalb von 24 Stunden: Bei einem erheblichen Sicherheitsvorfall muss das BSI innerhalb von 24 Stunden informiert werden. Dazu zählen auch erfolgreiche Phishing-Angriffe, kompromittierte E-Mail-Konten oder Datenlecks über E-Mail.
• Detaillierte Meldung innerhalb von 72 Stunden: Eine ausführliche Bewertung des Vorfalls mit Schweregrad, Auswirkungen und ersten Gegenmaßnahmen.
• Abschlussbericht innerhalb eines Monats: Vollständige Analyse mit Ursachenforschung und Maßnahmen zur Verhinderung ähnlicher Vorfälle.

Für die E-Mail-Infrastruktur bedeutet das: Sie benötigen eine lückenlose Protokollierung aller E-Mail-Sicherheitsereignisse, um Vorfälle überhaupt erkennen und fristgerecht melden zu können. Ein E-Mail Security Gateway wie Conbool MailGuard protokolliert automatisch alle blockierten Bedrohungen, Quarantäne-Entscheidungen und Anomalien – und liefert damit die Datengrundlage für die Vorfallmeldung.

Zugangskontrollen für E-Mail-Systeme

§30 Abs. 2 Nr. 9 BSIG fordert „Sicherheitsmaßnahmen bei Personalsicherheit, Konzepte für die Zugriffskontrolle und für das Anlagenmanagement". Für E-Mail-Systeme bedeutet das:

• Multi-Faktor-Authentifizierung (MFA): Der Zugang zu E-Mail-Konten muss durch mindestens zwei unabhängige Faktoren geschützt werden.
• Rollenbasierte Zugriffskontrolle (RBAC): Nicht jeder Mitarbeiter benötigt die gleichen E-Mail-Berechtigungen. Administrative Funktionen müssen strikt vom Standardzugang getrennt sein.
• Protokollierung von Zugriffen: Wer hat wann auf welches Postfach zugegriffen? Diese Frage muss jederzeit beantwortbar sein.
• Sichere Authentifizierungsverfahren: Passwortrichtlinien, regelmäßige Rotation und der Schutz vor Credential-Stuffing-Angriffen.

Welche Strafen drohen bei Nichteinhaltung der NIS2-Anforderungen?

Die EU-Richtlinie 2022/2555 sieht empfindliche Sanktionen vor, die durch das BSIG in nationales Recht umgesetzt werden:

Für besonders wichtige Einrichtungen:

• Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Für wichtige Einrichtungen:

• Bußgelder von bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsleitung: Besonders brisant ist die persönliche Verantwortung der Geschäftsführung. §38 BSIG legt fest, dass Leitungsorgane die Umsetzung der Sicherheitsmaßnahmen überwachen müssen und bei Pflichtverletzung persönlich haften. Die Geschäftsführung kann diese Verantwortung nicht an den CISO oder die IT-Abteilung delegieren.

Das BSI erhält zudem erweiterte Aufsichtsbefugnisse: Anlasslose Prüfungen, verbindliche Anweisungen und im Extremfall die Untersagung der Geschäftstätigkeit sind vorgesehen. Die Zeiten der Selbstregulierung in der Cybersicherheit sind damit vorbei.

Wie helfen Conbool-Produkte bei der NIS2-Umsetzung?

Conbool bietet mit SecureMail und MailGuard zwei Produkte, die gemeinsam die wesentlichen E-Mail-Sicherheitsanforderungen der NIS2-Richtlinie abdecken.

Vergleichstabelle: NIS2-Anforderungen und Conbool-Lösungen

SecureMail: NIS2-konforme Verschlüsselung

Conbool SecureMail erfüllt die Kryptografie-Anforderungen nach §30 Abs. 2 Nr. 8 BSIG durch:

• Automatische S/MIME- und PGP-Verschlüsselung ohne manuellen Aufwand für Endnutzer
• Zentrale Zertifikatsverwaltung mit automatischer Beantragung, Verlängerung und Revozierung
• TLS-Enforcement zur Sicherstellung der Transportverschlüsselung
• Lückenlose Protokollierung aller Verschlüsselungsvorgänge für den Compliance-Nachweis
• Sicheres Webportal für die Kommunikation mit externen Partnern ohne eigene Verschlüsselungsinfrastruktur

Mehr zur NIS2-konformen Verschlüsselung erfahren Sie auf unserer Lösungsseite zur NIS2 E-Mail-Verschlüsselung.

MailGuard: Bedrohungserkennung und Vorfallprotokollierung

Conbool MailGuard deckt die Anforderungen an Bedrohungserkennung und Incident-Dokumentation ab:

• KI-basierte Phishing-Erkennung für Spear-Phishing, BEC und CEO-Fraud – lesen Sie dazu auch unseren ausführlichen Artikel zum Phishing-Schutz für Unternehmen
• Deep-Link-Analyse und Sandbox für verdächtige Anhänge
• SPF/DKIM/DMARC-Verifikation zur Absenderauthentifizierung
• Automatische Quarantäne mit detaillierter Begründung für jede Entscheidung
• Exportierbare Incident-Reports für die BSI-Vorfallmeldung
• Nahtlose Integration in Microsoft 365 und Exchange Online

Warum der standardmäßige Microsoft 365 Spamfilter allein nicht ausreicht, erklären wir im Detail in unserem Artikel zum MailGuard Spam-Filter für Microsoft 365.

Was sollten Unternehmen jetzt konkret tun?

Die NIS2-Umsetzung ist kein Projekt, das sich in einer Woche abschließen lässt. Aber E-Mail-Sicherheit ist einer der Bereiche, in denen Unternehmen schnell messbare Fortschritte erzielen können:

1. Betroffenheitsprüfung durchführen: Prüfen Sie anhand der §28 BSIG-Kriterien, ob Ihr Unternehmen unter die Regulierung fällt.
2. E-Mail-Risikoanalyse erstellen: Dokumentieren Sie die aktuelle Bedrohungslage und bestehende Schutzmaßnahmen.
3. Verschlüsselung implementieren: Setzen Sie mindestens Transportverschlüsselung (TLS) und idealerweise Ende-zu-Ende-Verschlüsselung (S/MIME/PGP) um.
4. E-Mail Security Gateway einrichten: Ergänzen Sie Ihren E-Mail-Schutz um ein vorgelagertes Gateway für Phishing-Erkennung und Bedrohungsabwehr.
5. Vorfallmeldeprocess definieren: Stellen Sie sicher, dass E-Mail-Sicherheitsvorfälle erkannt, dokumentiert und innerhalb der Fristen gemeldet werden können.
6. Wirksamkeit nachweisen: Implementieren Sie Monitoring und Reporting, um die Wirksamkeit Ihrer Maßnahmen belegen zu können.

Für eine individuelle Beratung zur NIS2-konformen E-Mail-Sicherheit kontaktieren Sie unser Team. Wir analysieren Ihre bestehende Infrastruktur und zeigen Ihnen, wie Sie die Anforderungen mit minimalem Aufwand erfüllen. Einen umfassenden Überblick über die Lösungen bietet unsere Seite zur NIS2 E-Mail-Sicherheit.

Häufige Fragen

Gilt die NIS2-Richtlinie auch für Unternehmen mit weniger als 50 Mitarbeitern?
Grundsätzlich richtet sich die NIS2-Regulierung an Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Es gibt jedoch Ausnahmen: Anbieter von DNS-Diensten, TLD-Registrare, Vertrauensdiensteanbieter und Anbieter öffentlicher Kommunikationsnetze fallen unabhängig von ihrer Größe unter die Regulierung. Zudem können auch kleinere Unternehmen indirekt betroffen sein, wenn sie als Zulieferer für NIS2-regulierte Unternehmen tätig sind und deren Lieferkettensicherheitsanforderungen erfüllen müssen.

Reicht eine Transportverschlüsselung (TLS) aus, um die NIS2-Anforderungen zu erfüllen?
TLS ist das Minimum, aber nicht ausreichend für alle Anwendungsfälle. §30 Abs. 2 Nr. 8 BSIG fordert „Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung". Das BSI stuft Ende-zu-Ende-Verschlüsselung (S/MIME oder PGP) als Stand der Technik ein, wenn vertrauliche oder personenbezogene Daten per E-Mail übertragen werden. Conbool SecureMail kombiniert beides: TLS-Enforcement für alle E-Mails und automatisierte S/MIME-/PGP-Verschlüsselung für vertrauliche Kommunikation.

Wie schnell muss ein E-Mail-Sicherheitsvorfall gemeldet werden?
Die NIS2-Richtlinie sieht ein gestuftes Meldesystem vor: Eine Erstmeldung an das BSI muss innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls erfolgen. Innerhalb von 72 Stunden ist eine detaillierte Bewertung nachzureichen, und innerhalb eines Monats ein Abschlussbericht. Als erheblicher Sicherheitsvorfall gelten unter anderem kompromittierte E-Mail-Konten, erfolgreiche Phishing-Angriffe mit Datenabfluss oder die Verbreitung von Schadsoftware über die eigene E-Mail-Infrastruktur.

Kann die Geschäftsführung die NIS2-Verantwortung an den CISO delegieren?
Nein. §38 BSIG legt explizit fest, dass die Geschäftsleitung die Umsetzung der Sicherheitsmaßnahmen überwachen muss. Die operative Durchführung kann delegiert werden, die Überwachungspflicht und damit die persönliche Haftung verbleiben jedoch bei der Geschäftsführung. Bei Pflichtverletzung haften Geschäftsführer persönlich mit ihrem Privatvermögen. Das macht NIS2-Compliance zur Chefsache – nicht zum IT-Thema.

Fazit: E-Mail-Sicherheit ist keine Kür mehr, sondern Pflicht

Die NIS2-Richtlinie verändert die Spielregeln für E-Mail-Sicherheit in deutschen Unternehmen grundlegend. Was bisher als Best Practice galt – Verschlüsselung, Phishing-Schutz, Zugangskontrolle – wird zur gesetzlichen Pflicht mit empfindlichen Sanktionen bei Nichteinhaltung.

Die gute Nachricht: Die technische Umsetzung muss nicht kompliziert sein. Mit einem integrierten Ansatz aus SecureMail für Verschlüsselung und MailGuard für Bedrohungserkennung können Unternehmen die wesentlichen NIS2-Anforderungen an die E-Mail-Sicherheit effizient und nachweisbar erfüllen.

Kontaktieren Sie uns für eine unverbindliche Beratung zur NIS2-konformen E-Mail-Sicherheit.