NIS2 und Cloud: Was Unternehmen über SaaS-Compliance wissen müssen

Die NIS2-Richtlinie betrifft nicht nur klassische IT-Infrastrukturen. Wer Cloud-Dienste nutzt oder anbietet, steht vor einer konkreten Frage: Wer trägt welche Verantwortung für die Sicherheit? Die Antwort ist komplexer, als viele Unternehmen annehmen. Denn der Umzug in die Cloud verschiebt Sicherheitspflichten, er löst sie nicht auf.

Dieser Artikel erklärt, wann Cloud-Provider selbst unter NIS2 fallen, wie sich die Verantwortung zwischen Anbieter und Kunde aufteilt und welche Nachweise Sie von Ihren SaaS-Dienstleistern einfordern sollten.

Cloud-Provider als NIS2-betroffene Einrichtungen

Cloud-Computing-Dienste gehören laut NIS2 zum Sektor "Digitale Infrastruktur". Anbieter, die IaaS-, PaaS- oder SaaS-Dienste in der EU erbringen, können als "besonders wichtige Einrichtungen" oder "wichtige Einrichtungen" eingestuft werden. Die Einstufung richtet sich nach der Unternehmensgröße: Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz gelten Cloud-Provider als besonders wichtig. Zwischen 50 und 249 Mitarbeitenden fallen sie in die Kategorie "wichtig".

In der Praxis bedeutet das: AWS, Microsoft Azure, Google Cloud und die großen europäischen Anbieter sind direkt betroffen. Aber auch mittelständische Managed-Service-Provider und SaaS-Anbieter mit mehr als 50 Mitarbeitenden fallen unter die Regulierung. Für eine detaillierte Betroffenheitsprüfung mit allen Sektoren und Schwellenwerten verweisen wir auf den Leitfaden zur NIS2-Betroffenheit.

Geteilte Verantwortung: Provider vs. Kunde

Das Shared-Responsibility-Modell ist der Schlüssel zum Verständnis Ihrer Cloud-Pflichten unter NIS2. Es legt fest, welche Sicherheitsaufgaben beim Provider liegen und welche bei Ihnen als Kunde verbleiben. Diese Aufteilung variiert je nach Service-Modell.

Der häufigste Irrtum: Viele Unternehmen gehen davon aus, dass bei SaaS die gesamte Sicherheitsverantwortung beim Anbieter liegt. Das stimmt nicht. Sie bleiben verantwortlich für die Konfiguration der Sicherheitsoptionen, die Verwaltung von Nutzerkonten und Berechtigungen sowie den Schutz Ihrer Daten innerhalb der Anwendung. Ein falsch konfigurierter S3-Bucket bei AWS oder ein SaaS-Account ohne Multi-Faktor-Authentifizierung ist nicht die Schuld des Providers.

Für NIS2 heißt das konkret: Sie können Infrastruktur auslagern, aber nicht die Verantwortung. §30 des NIS2UmsuCG verlangt von Ihnen Risikomanagement-Maßnahmen für alle Systeme, die Sie nutzen. Das schließt Cloud-Dienste ausdrücklich ein.

"Das Shared-Responsibility-Modell ist kein theoretisches Konzept. Es entscheidet in der Praxis darüber, wer bei einem Sicherheitsvorfall die Meldung ans BSI machen muss und wer haftet. Unternehmen, die ihre Cloud-Verträge nicht auf diese Frage hin geprüft haben, haben eine offene Flanke."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Anforderungen an Cloud-basierte Dienste unter NIS2

NIS2 fordert zehn Mindestmaßnahmen nach §30 NIS2UmsuCG. Nicht alle sind für Cloud-Umgebungen gleich relevant. Die folgenden vier Bereiche erfordern besondere Aufmerksamkeit, wenn Ihre IT in der Cloud läuft. Eine vollständige Übersicht aller technischen Anforderungen nach NIS2 finden Sie im separaten Leitfaden.

Notfallpläne für Cloud-Ausfälle

Cloud-Dienste sind nicht ausfallsicher. Regionale Störungen bei AWS, Azure oder Google Cloud kommen vor und können ganze Geschäftsprozesse lahmlegen. NIS2 fordert in §30 Abs. 2 Nr. 3 ein Krisenmanagement mit Backup-Konzepten und Wiederherstellungsplänen.

Für Cloud-Umgebungen heißt das: Verteilen Sie kritische Workloads auf mehrere Availability Zones oder Regionen. Richten Sie automatisierte Backups ein und testen Sie die Wiederherstellung regelmäßig. Ein Backup, das nie getestet wurde, ist kein Backup. Definieren Sie klare RPO- und RTO-Werte (Recovery Point Objective, Recovery Time Objective) pro Dienst und prüfen Sie, ob Ihr Provider diese in seinen SLAs zusichert.

Vermeiden Sie Abhängigkeit von einem einzigen Anbieter. Wenn Ihre gesamte Infrastruktur bei einem Provider liegt und dessen Region ausfällt, stehen Sie ohne Alternative da. Multi-Cloud-Strategien oder zumindest dokumentierte Migrationspläne gehören zum NIS2-konformen Krisenmanagement.

SaaS-Compliance: Zertifizierungen und Nachweise

Eine eigene NIS2-Zertifizierung gibt es nicht. Kein EU-weites Siegel bestätigt die NIS2-Konformität eines Unternehmens. Stattdessen verlangt die Richtlinie, dass Sie nachweisen können, angemessene Maßnahmen ergriffen zu haben. Genau hier werden Zertifizierungen Ihrer Cloud-Provider relevant.

Fordern Sie von Ihren SaaS-Anbietern mindestens eines dieser Nachweise ein:

• ISO 27001 Zertifizierung: Der etablierte Standard für Informationssicherheits-Managementsysteme. Eine ISO-27001-Zertifizierung deckt einen Großteil der NIS2-Anforderungen ab und zeigt, dass der Anbieter ein strukturiertes ISMS betreibt.
• BSI C5 Testat: Der Cloud-spezifische Kriterienkatalog des BSI. Besonders relevant für deutsche Unternehmen, weil er Cloud-spezifische Risiken gezielt adressiert.
• SOC 2 Type II Report: Weit verbreitet bei US-amerikanischen SaaS-Anbietern. Prüft Sicherheit, Verfügbarkeit und Vertraulichkeit über einen Zeitraum von mindestens sechs Monaten.

Dokumentieren Sie die Ergebnisse Ihrer Anbieterbewertung. NIS2 ist kein reines Umsetzungsprojekt, sondern ein Nachweisprojekt. Halten Sie fest, welche Anbieter Sie geprüft haben, welche Zertifizierungen vorliegen und welche vertraglichen Regelungen Sie getroffen haben. Plattformen wie SECJUR erleichtern diese Dokumentation, weil Lieferantenbewertungen, Nachweise und Audit-Ergebnisse zentral verwaltet werden können, statt in verteilten Ordnern und Tabellen zu verschwinden.

Häufig gestellte Fragen (FAQ)

Fällt mein Unternehmen unter NIS2, wenn ich Cloud-Dienste nutze?

Die Nutzung von Cloud-Diensten allein macht Sie nicht NIS2-pflichtig. Die Betroffenheit richtet sich nach Ihrem Sektor und Ihrer Unternehmensgröße. Wenn Sie jedoch unter NIS2 fallen, müssen Sie die Sicherheit Ihrer Cloud-Umgebung nachweislich gewährleisten.

Wer haftet bei einem Sicherheitsvorfall in der Cloud?

Die Haftung richtet sich nach dem Shared-Responsibility-Modell. Bei Fehlkonfigurationen auf Kundenseite (z.B. fehlende MFA, offene Speicher-Buckets) haftet das nutzende Unternehmen. Bei Infrastrukturproblemen auf Provider-Seite liegt die Verantwortung beim Anbieter. Vertraglich sollte diese Aufteilung klar geregelt sein.

Reicht eine ISO-27001-Zertifizierung meines Cloud-Providers für NIS2?

Sie ist eine solide Grundlage, reicht aber nicht allein. NIS2 hat zusätzliche Anforderungen, etwa bei den Meldefristen (24h/72h/1 Monat). Außerdem deckt die ISO-Zertifizierung des Providers nur dessen Verantwortungsbereich ab. Ihre eigenen Konfigurationen und Prozesse müssen Sie separat absichern.

Was ist der BSI C5 und warum ist er für Cloud-Compliance relevant?

Der BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist ein Prüfstandard des Bundesamts für Sicherheit in der Informationstechnik. Er definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und ist speziell auf Cloud-Risiken zugeschnitten. Ein C5-Testat gibt Ihnen als Kunde belastbare Sicherheit über die Maßnahmen Ihres Providers. SECJUR unterstützt Unternehmen dabei, die Cloud-spezifischen NIS2-Anforderungen im Rahmen eines ISMS strukturiert umzusetzen.

Wie dokumentiere ich die NIS2-Compliance meiner SaaS-Anbieter?

Erstellen Sie ein Lieferantenverzeichnis mit allen genutzten Cloud- und SaaS-Diensten. Dokumentieren Sie pro Anbieter: Zertifizierungen, vertragliche Sicherheitsregelungen, Ergebnisse Ihrer Risikobewertung und letzte Prüfungsdaten. Diese Dokumentation ist Ihre Nachweisgrundlage im Audit.