NIS2 & Fernwartung: Was das BSIG jetzt fordert (BSI-Frist 31.07.2026)

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Fernwartung NIS2-konform aufstellen? Wir prüfen Ihren Fernzugriff im Security-Audit und bauen souveräne Remote-Management-Plattformen, die RBAC, MFA und lückenlose Audit-Trails von Haus aus mitbringen. Erstgespräch vereinbaren.
NIS2 ist keine Ankündigung mehr, sondern geltendes Recht: Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, das BSI-Registrierungsportal seit dem 6. Januar 2026 freigeschaltet. Rund 29.500 Einrichtungen in Deutschland fallen darunter, und das BSI hat sie aufgerufen, ihre Registrierung spätestens bis zum 31. Juli 2026 nachzuholen (Stand Juni 2026). Damit ist die entscheidende Frage nicht mehr "ob", sondern "wie nachweisbar".
Eine der konkretesten Stellen, an der NIS2 weh tut, ist die Fernwartung. Genau dort treffen externer Dienstleister-Zugriff, OT-Anlagen und Internet-Erreichbarkeit aufeinander - also die Punkte, die das BSI-Gesetz (BSIG) explizit adressiert. Dieser Beitrag übersetzt die Pflichten aus Paragraf 30 BSIG in konkrete Anforderungen an Ihren Fernzugriff und zeigt, wie eine souveräne Remote-Access-Plattform sie abbildet. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.
Inhaltsverzeichnis
- NIS2 ist scharfgeschaltet: der Stand im Juni 2026
- Warum die Fernwartung zum Prüfstein wird
- Was NIS2 konkret für den Fernzugriff verlangt
- Sieben Anforderungen an einen NIS2-tauglichen Fernzugriff
- Wie eine souveräne Fernzugriffs-Plattform das abbildet
- Unser Vorgehen bei WZ-IT
- Weiterführende Guides
NIS2 ist scharfgeschaltet: der Stand im Juni 2026
Die Eckdaten, gegen Primärquellen geprüft (Stand Juni 2026):
- In Kraft seit 6. Dezember 2025. Mit der Verkündung des NIS2UmsuCG gelten die neuen Paragrafen des BSIG unmittelbar - inklusive der Risikomanagement- und Meldepflichten (BSI-Pressemitteilung).
- Registrierung beim BSI. Das Portal ist seit dem 6. Januar 2026 verfügbar. Die dreimonatige Registrierungsfrist endete am 6. März 2026; das BSI drängt die noch fehlenden Einrichtungen, die Registrierung bis spätestens 31. Juli 2026 nachzuholen.
- Wer betroffen ist. Grundregel: ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren. Das Gesetz unterscheidet besonders wichtige und wichtige Einrichtungen mit unterschiedlichen Schwellen und Pflichtentiefen.
- Meldepflichten. Erhebliche Sicherheitsvorfälle sind nach Paragraf 32 BSIG gestaffelt zu melden: Erstmeldung innerhalb von 24 Stunden, Bestätigung/Aktualisierung innerhalb von 72 Stunden, Abschlussmeldung nach einem Monat.
- Haftung und Bußgelder. Die Geschäftsleitung haftet persönlich (Paragraf 38 BSIG). Bußgelder reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige bzw. 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen (Paragraf 65 BSIG).
Wichtig: Eine formale "Schonfrist" für die inhaltlichen Pflichten gibt es nicht. Die Frist zum 31. Juli betrifft die Registrierung; die Sicherheitsmaßnahmen nach Paragraf 30 BSIG gelten seit dem 6. Dezember 2025.
Warum die Fernwartung zum Prüfstein wird
Fernwartung verbindet drei Risiken, die NIS2 gezielt adressiert:
- Externer Zugriff = Lieferkette. Wenn ein Maschinenbauer, OEM oder IT-Dienstleister auf Ihre Systeme zugreift, ist das Lieferkettensicherheit im Sinne von Paragraf 30 Absatz 2 Nummer 4 BSIG. Die Verantwortung für diesen Zugang bleibt bei Ihnen.
- OT trifft IT. In Produktion und Gebäudetechnik führt Fernwartung tief in die Operational Technology. Ein kompromittierter Wartungszugang ist dort nicht nur ein Datenleck, sondern ein Anlagen- und Sicherheitsrisiko.
- Internet-Erreichbarkeit. Klassische Fernwartung hängt oft an exponierten Diensten - genau der Angriffsfläche, für die NIS2 starke Authentisierung und Segmentierung verlangt.
Die Praxis sieht oft anders aus: ein Sammel-VPN-Zugang, geteilte Passwörter, ein Tool aus einer fremden Cloud, kein Protokoll darüber, wer wann was getan hat. Genau das ist unter NIS2 nicht mehr haltbar.
Was NIS2 konkret für den Fernzugriff verlangt
Paragraf 30 Absatz 2 BSIG listet zehn Mindestmaßnahmen (Gesetzestext). Vier davon schlagen direkt auf die Fernwartung durch:
- Nr. 9 - Zugriffskontrolle, Personalsicherheit, Verwaltung von IKT-Systemen. Das ist die Grundlage für rollenbasierte Rechte (RBAC) und das Least-Privilege-Prinzip: Jeder Zugang nur so weit, wie die Aufgabe es verlangt.
- Nr. 10 - Multi-Faktor- oder kontinuierliche Authentifizierung und gesicherte Kommunikation. MFA wird ausdrücklich genannt. Die ENISA Technical Implementation Guidance vom 26. Juni 2025 liest das Kriterium "wo angemessen" so eng, dass MFA für extern erreichbare Systeme wie Remote-Desktop und VPN praktisch der Standard ist; für privilegierte und Fernzugriffe empfiehlt sie phishing-resistente Verfahren (FIDO2, Passkeys).
- Nr. 4 - Lieferkettensicherheit. Der Zugriff Dritter muss vertraglich und technisch eingehegt sein: definierte Rollen, begrenzte Reichweite, jederzeit entziehbar.
- Nr. 5 - Sichere Wartung und Schwachstellenmanagement. Wartungszugänge selbst sind Software, die gepatcht und überwacht werden muss - inklusive der eingesetzten Remote-Tools und Gateways.
Hinzu kommt die Meldepflicht aus Paragraf 32 BSIG: Eine 24-Stunden-Erstmeldung lässt sich nur einhalten, wenn man rekonstruieren kann, was passiert ist. Ohne vollständige Audit-Trails über jeden Fernzugriff ist das nicht möglich.
Sieben Anforderungen an einen NIS2-tauglichen Fernzugriff
Aus den Pflichten lässt sich eine prüfbare Checkliste ableiten:
- RBAC / Least Privilege. Rollenbasierte Policies statt Sammelzugänge. Wer welche Anlage erreicht, ist explizit definiert - nicht durch Netzwerk-Topologie zufällig vorgegeben. Tiefer dazu: RBAC und Audit für Fernzugriff.
- MFA für jeden Zugang. Mehr-Faktor-Authentisierung an Identity-Provider/SSO gekoppelt, phishing-resistent für privilegierte Sitzungen.
- Vollständige Audit-Trails. Wer, wann, von wo, auf welches System - protokolliert und idealerweise sitzungsbezogen aufgezeichnet, mit ausreichender Aufbewahrung.
- Just-in-Time und zeitlich begrenzt. Zugang wird für ein Wartungsfenster gewährt und läuft automatisch ab. Keine dauerhaften Standzeit-Konten für Externe.
- OT/IT-Trennung und Segmentierung. Der Fernzugriff endet an genau der Maschine, nicht im gesamten Produktionsnetz. Mikrosegmentierung statt flachem VPN.
- Kontrollierter Lieferantenzugang. Externe erhalten eigene, eng geschnittene und jederzeit entziehbare Zugänge - kein geteiltes Passwort, kein gemeinsamer Tunnel.
- Souveränität und Patchbarkeit. Die Plattform läuft self-hosted oder in der EU, ohne Datenabfluss in fremde Clouds, und wird wie jede andere Software gepatcht - flankiert von kontinuierlichem CVE-Monitoring.
Wie diese Punkte rechtlich zusammenhängen, vertieft unser Knowledge-Beitrag NIS2-konformer Fernzugriff.
Wie eine souveräne Fernzugriffs-Plattform das abbildet
Ein moderner Zero-Trust-Ansatz (ZTNA) erfüllt diese Anforderungen struktureller als ein klassisches VPN. Self-hosted Plattformen wie NetBird, Headscale oder ein sauber aufgesetzter WireGuard-Stack liefern:
- Identitätsbasierte Policies statt IP-Reichweite: Zugriff hängt an Nutzer und Rolle, MFA/SSO sitzen am Eingang - das deckt RBAC und Authentisierung ab.
- Granulare Mikrosegmentierung: Peer-to-peer-Verbindungen exakt zu den freigegebenen Hosts, nicht ins ganze Subnetz - die geforderte OT/IT-Trennung.
- Ablaufende Zugänge und Setup-Keys mit Gültigkeitsdauer: technische Grundlage für Just-in-Time- und Lieferantenzugriffe.
- Zentrale Logs und Sitzungsnachweise: die Audit-Trail-Basis für Paragraf 32.
- Datensouveränität: Die Steuerebene läuft auf Ihrer Infrastruktur, ohne Abhängigkeit von einem US-SaaS-Fernwartungstool.
Dass das in der Realität trägt, zeigen unsere Referenzen: die sichere Anlagen-Fernwartung bei ABCO Water Systems in Australien und die Plattform für nextGYM in Deutschland. Beide setzen auf souveräne, protokollierte Fernzugriffe statt offener Tunnel.
Unser Vorgehen bei WZ-IT
Wir behandeln NIS2-konforme Fernwartung als Bauprojekt mit Nachweis, nicht als Tool-Kauf:
- Bestandsaufnahme im Security-Audit. Wir kartieren jeden bestehenden Fernzugriff, die externen Zugänge und die OT-Berührpunkte und gleichen sie gegen die Pflichten aus Paragraf 30 BSIG ab - siehe Security-Audit.
- Plattform statt Flickwerk. Wir bauen die Remote-Management-Plattform mit RBAC, MFA, Segmentierung und Audit-Trails als Standard - self-hosted und entziehbar.
- Betrieb mit SLA. Patches, CVE-Monitoring und Zugriffsreviews laufen kontinuierlich, damit die Nachweisbarkeit nicht nach dem Go-live verfällt.
So wird aus einer abstrakten Rechtspflicht eine prüfbare, dokumentierte Architektur - genau das, was Aufsicht und Geschäftsleitung sehen wollen.
Weiterführende Guides
- NIS2-konformer Fernzugriff - die rechtlichen Anforderungen an den Fernzugriff im Detail.
- RBAC und Audit für Fernzugriff - wie rollenbasierte Rechte und lückenlose Protokollierung zusammenspielen.
- Cisco ASA, ArcaneDoor & CVE-2025-20362: WireGuard und NetBird als moderner VPN-Stack - warum alte VPN-Appliances zum Risiko werden.
- Was ist neu in NetBird: neues Dashboard, identitätsbasiertes SSH und Self-Hosting - der aktuelle Stand einer souveränen ZTNA-Plattform.
- Vaultwarden 1.36.0 & NIS2: Self-Hosted Passwort-Management für KMU - NIS2-Bausteine jenseits des Fernzugriffs.
NIS2-Frist im Nacken? Wir bringen Ihre Fernwartung in wenigen Wochen auf einen prüfbaren, souveränen Stand - RBAC, MFA, Audit-Trails inklusive. Jetzt Erstgespräch vereinbaren.
Quellen
- BSI-Pressemitteilung: NIS-2-Umsetzungsgesetz in Kraft (Dezember 2025)
- BSI-Pressemitteilung: NIS-2-Registrierungsportal freigeschaltet
- Paragraf 30 BSIG - Risikomanagementmaßnahmen (gesetze-im-internet.de)
- Paragraf 32 BSIG - Meldepflichten
- Paragraf 38 BSIG - Pflichten der Geschäftsleitung
- Paragraf 65 BSIG - Bußgeldvorschriften
- ENISA Technical Implementation Guidance on NIS2 (26. Juni 2025)
- heise: BSI setzt NIS2-Registrierungsfrist bis Ende Juli 2026
Häufig gestellte Fragen
Antworten auf wichtige Fragen zu diesem Thema
Ja. Externe Wartung ist ein Lieferketten-Risiko im Sinne von Paragraf 30 Absatz 2 Nummer 4 BSIG. Der Zugriff von Maschinenbauern, OEMs oder IT-Dienstleistern auf Ihre Systeme muss kontrolliert, zeitlich begrenzt und protokolliert sein. Sie bleiben für die Sicherheit dieser Zugänge verantwortlich, auch wenn ein Dritter sie nutzt.
Relevant sind vor allem vier der zehn Mindestmaßnahmen: Zugriffskontrolle und Personalsicherheit (Nr. 9), Multi-Faktor- oder kontinuierliche Authentifizierung und gesicherte Kommunikation (Nr. 10), Lieferkettensicherheit (Nr. 4) sowie sichere Wartung und Schwachstellenmanagement (Nr. 5). Für den Fernzugriff bedeutet das RBAC, MFA, Segmentierung und vollständige Audit-Trails.
Praktisch ja. Paragraf 30 BSIG nennt MFA ausdrücklich. Die ENISA-Guidance vom 26. Juni 2025 legt das Kriterium 'wo angemessen' so eng aus, dass MFA für extern erreichbare Systeme wie Remote-Desktop und VPN der Standard ist. Ohne MFA müssen Sie pro Zugangsklasse dokumentiert begründen, warum sie nicht angemessen ist. Für privilegierte und Fernzugriffe empfiehlt ENISA phishing-resistente Verfahren.
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, das BSI-Portal seit dem 6. Januar 2026 freigeschaltet. Die gesetzliche Registrierungsfrist lief am 6. März 2026 ab. Das BSI hat die rund 29.500 betroffenen Einrichtungen aufgerufen, die Registrierung spätestens bis zum 31. Juli 2026 nachzuholen (Stand Juni 2026).
Selten. Ein flaches Site-to-Site-VPN gibt dem Verbundenen meist Zugriff auf ein ganzes Netzsegment, ohne rollenbasierte Beschränkung, ohne Just-in-Time-Logik und ohne Sitzungsprotokoll. NIS2 verlangt Least Privilege, Zugriffskontrolle und Nachweisbarkeit. Ein Zero-Trust-Ansatz (ZTNA) mit identitätsbasierten, granularen Policies erfüllt das deutlich besser.
Ja. Nach Paragraf 38 BSIG muss die Geschäftsleitung die Risikomanagementmaßnahmen umsetzen und überwachen, regelmäßig an Schulungen teilnehmen und haftet bei Pflichtverletzung persönlich. Bußgelder reichen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen (Paragraf 65 BSIG).

Geschrieben von
Timo Wevelsiep
Co-Founder & CEO
Co-Founder von WZ-IT. Spezialisiert auf Cloud-Infrastruktur, Open-Source-Plattformen und Managed Services für KMUs und Enterprise-Kunden weltweit.
LinkedInLassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.


Timo Wevelsiep & Robin Zins
Geschäftsführer





