NIS2 nennt keinen „Penetrationstest" beim Namen. Aber § 30 BSIG verlangt Schwachstellen-Management (Nr. 5) und eine Bewertung der Wirksamkeit der Sicherheitsmaßnahmen (Nr. 6) — und beides erfüllst du in der Praxis am verlässlichsten mit wiederkehrenden, belegenden Tests. Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft, ohne Übergangsfrist, und betrifft rund 30.000 Unternehmen in 18 Sektoren. Ein fokussierter DeepMantis-Pentest beginnt bei 890 € — mit Proof of Concept für jedes Finding.
Schreibt NIS2 einen Penetrationstest vor?
Nein — nicht wörtlich. Weder die NIS2-Richtlinie noch das deutsche Umsetzungsgesetz nennen das Wort „Penetrationstest" als Pflicht. Wer dir etwas anderes erzählt, überdehnt den Gesetzestext. Die ehrliche Antwort ist präziser: Zwei der zehn Mindestmaßnahmen in § 30 BSIG lassen sich ohne belegende Tests kaum sauber erfüllen.
§ 30 Abs. 2 Nr. 5 verlangt:
„Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen"
— § 30 Abs. 2 Nr. 5 BSIG
§ 30 Abs. 2 Nr. 6 verlangt:
„Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik"
— § 30 Abs. 2 Nr. 6 BSIG
„Management von Schwachstellen" (Nr. 5) setzt voraus, dass du deine Schwachstellen kennst — du musst sie also aktiv suchen. „Bewertung der Wirksamkeit" (Nr. 6) setzt voraus, dass du belegst, ob deine Maßnahmen tatsächlich greifen. Genau das leistet ein Penetrationstest: Er findet Schwachstellen und prüft, ob die vorhandenen Schutzmaßnahmen einem realen Angriff standhalten. Deshalb ist der Pentest der praktische Weg, Nr. 5 und Nr. 6 zu erfüllen — nicht weil das Gesetz ihn vorschreibt, sondern weil keine günstigere Methode denselben Nachweis liefert.
Wen betrifft NIS2 in Deutschland?
NIS2 betrifft rund 30.000 Unternehmen in 18 Sektoren — von Energie und Gesundheit über digitale Infrastruktur bis zu Lebensmitteln und verarbeitendem Gewerbe. Ob dein Unternehmen darunterfällt, entscheidet sich an Größe und Sektor. Das BSI führt die regulierten Sektoren und Schwellenwerte öffentlich.
Die Größenschwellen folgen einem Und-Kriterium:
| Einrichtungstyp | Mitarbeitende | Umsatz / Bilanz |
|---|---|---|
| Wichtige Einrichtung (mittel) | ≥ 50 | ≥ 10 Mio. € Umsatz |
| Besonders wichtige Einrichtung (groß) | ≥ 250 | ≥ 50 Mio. € Umsatz |
Beide Kriterien müssen erfüllt sein — ein mittleres Unternehmen mit 60 Mitarbeitenden, aber 8 Mio. € Umsatz fällt nicht automatisch unter die Standardschwelle. In einigen Sektoren (etwa qualifizierte Vertrauensdiensteanbieter oder bestimmte digitale Infrastruktur) gilt die Pflicht unabhängig von der Größe. Prüfe deinen Sektor einzeln; die Einordnung als „wichtige" oder „besonders wichtige" Einrichtung entscheidet später über die Höhe möglicher Bußgelder.
Wichtig: Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Wer unter die Pflicht fällt, muss die Maßnahmen aus § 30 BSIG bereits umsetzen. Es gibt kein Schonjahr.
Was zählt als Wirksamkeitsnachweis nach Nr. 6?
Nicht jeder Test belegt Wirksamkeit. § 30 Abs. 2 Nr. 6 verlangt eine Bewertung der Wirksamkeit — und ein automatisierter Schwachstellenscan bewertet keine Wirksamkeit, er listet potenzielle Schwachstellen auf. Der Unterschied ist für NIS2 entscheidend: Ein Scanner meldet „Port offen, Version veraltet, möglicherweise verwundbar". Er prüft aber nicht, ob ein Angreifer diese Schwachstelle tatsächlich ausnutzen kann.
Der belastbare Wirksamkeitsnachweis ist der Proof of Concept pro Finding. Ein Penetrationstest geht den Schritt weiter, den das BSI in seinem Praxis-Leitfaden beschreibt: Er versucht aktiv, „die eingesetzten Sicherheitsmaßnahmen zu umgehen" und weist Schwachstellen nach, statt sie nur zu vermuten (siehe die BSI-Zitate im Pentest-Kosten-Artikel). Erst die nachgewiesene Ausnutzbarkeit macht aus einem Alert ein Finding — und aus einer Vermutung einen Wirksamkeitsnachweis, der vor einer Aufsichtsbehörde Bestand hat.
DeepMantis liefert genau dieses Beweisniveau: Jedes Finding wird mit einem reproduzierbaren Proof of Concept belegt, die Verifikation läuft in isolierten Browser-Instanzen pro Finding. Der audit-taugliche PDF-Report dokumentiert pro Schwachstelle den Angriffspfad, die Reproduktionsschritte und die belegte Auswirkung — also genau das, was du für Nr. 6 vorzeigen musst. Ein Scan-Report ohne Verifikation erfüllt diese Anforderung nicht; er erfüllt bestenfalls den Teil von Nr. 5, der das Erkennen von Schwachstellen betrifft.
Wie oft musst du testen?
Ein einzelner Pentest ist ein Snapshot. § 30 BSIG verlangt aber keine einmalige Prüfung, sondern „Konzepte und Verfahren" — also einen wiederkehrenden Prozess. Wer einmal jährlich testet und dazwischen wöchentlich deployt, hat zwischen zwei Tests bis zu 50 ungetestete Releases im Produktivbetrieb. Jeder davon kann eine neue Schwachstelle einführen, und keiner davon ist durch den letztjährigen Snapshot abgedeckt.
Das BSI weist im Praxis-Leitfaden darauf hin, dass nach jeder relevanten Änderung eines IT-Systems erneut geprüft werden sollte, ob die erforderliche Qualität und Sicherheit erreicht ist (BSI-Leitfaden, vgl. Pentest-Kosten-Artikel). Für eine sinnvolle Frequenz heißt das:
- Quartalsweise als Untergrenze für Anwendungen mit moderater Änderungsrate.
- Monatlich für Produkte mit sensiblen oder regulierten Daten und aktiver Entwicklung.
- Pro Release für Teams, die wöchentlich shippen — kontinuierliches Testen statt Jahres-Snapshot.
Das Personentage-Modell macht hohe Frequenzen wirtschaftlich unattraktiv: Vier manuelle Tests pro Jahr zu je 10.000 € summieren sich auf 40.000 € pro Anwendung. Autonome Plattformen entkoppeln den Preis von der menschlichen Arbeitszeit — deshalb sind monatliche Pentests bei DeepMantis ab 99 € pro Monat möglich (jährliche Abrechnung). Für die wiederkehrende Wirksamkeitsbewertung nach Nr. 6 ist das der ökonomisch tragfähige Weg.
Was kostet ein NIS2-Pentest gegen das Bußgeldrisiko?
Die Ökonomie ist eindeutig: Die Kosten eines belegenden Tests sind ein Bruchteil des Bußgeldrahmens, den NIS2 vorsieht. Besonders wichtige Einrichtungen drohen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt); wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 %.
Die öffentliche DeepMantis-Preisliste nennt drei Stufen: 890 € für eine Single-Surface-Anwendung, 3.800 € für ein verbundenes Produkt mit sensiblen Daten und 7.500 € für ein verteiltes System mit regulierten Daten. Selbst der teuerste On-Demand-Test liegt damit um drei Größenordnungen unter dem Bußgeldrahmen einer wichtigen Einrichtung — und liefert den dokumentierten Wirksamkeitsnachweis, den § 30 Nr. 6 verlangt. Das Bußgeld ist dabei nur die direkte Folge; hinzu kommen Haftungsrisiken für die Geschäftsleitung, die nach NIS2 persönlich für die Umsetzung der Maßnahmen verantwortlich ist.
Häufig gestellte Fragen
Ist ein Penetrationstest bei NIS2 Pflicht?
Nicht wörtlich. NIS2 und § 30 BSIG nennen keinen Penetrationstest namentlich. § 30 Abs. 2 Nr. 5 (Schwachstellen-Management) und Nr. 6 (Wirksamkeitsbewertung) machen belegende, wiederkehrende Tests aber zum praktischen Weg, die geforderten Maßnahmen nachzuweisen. Wer Wirksamkeit ohne Test belegen will, trägt die Beweislast — und hat dafür kein günstigeres Mittel.
Reicht ein Schwachstellenscan für NIS2?
Für den Erkennungsteil von Nr. 5 hilft ein Scan, für die Wirksamkeitsbewertung nach Nr. 6 reicht er nicht. Ein Scanner identifiziert potenzielle Schwachstellen, verifiziert aber nicht, ob sie ausnutzbar sind. Die Wirksamkeit deiner Schutzmaßnahmen belegst du nur, indem du sie gegen einen realen Angriff testest — mit Proof of Concept pro Finding.
Gibt es eine Übergangsfrist für NIS2?
Nein. Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist. Unternehmen, die unter die Pflicht fallen, müssen die Maßnahmen aus § 30 BSIG bereits umsetzen. Ein verspäteter Start verkürzt nicht die Pflicht, sondern erhöht das Risiko.
Wie oft muss ich für NIS2 testen?
§ 30 BSIG verlangt „Konzepte und Verfahren" — also einen wiederkehrenden Prozess, keinen einmaligen Test. Die sinnvolle Frequenz hängt von deiner Änderungsrate ab: quartalsweise als Untergrenze, monatlich bei sensiblen Daten, pro Release für wöchentlich shippende Teams.
Stand Juni 2026. Die zitierten Gesetzesstellen stammen aus § 30 BSIG (gesetze-im-internet.de). Diese Seite ist keine Rechtsberatung — die konkrete Einordnung deines Unternehmens prüfst du mit fachkundiger Beratung. Methodik und Scope-Grenzen von DeepMantis sind auf der Security-Seite dokumentiert.
