Pentest NIS2 ist ein SecTepe-Produkt · SecTepe · IT-Dienstleister aus Wülfrath · seit 2023 hello@sectepe.de
SecTepe Pentest NIS2 Gespräch
NIS2 Art. 21 · NIS2UmsuCG · §38

Pentest, der die NIS2-Pflicht erfüllt.

NIS2 verlangt explizit regelmäßige Sicherheits-Tests. Wir liefern den Pentest plus die Dokumentation, die in Ihre NIS2-Maßnahmen-Mappe gehört — und in die persönliche Verantwortung der Geschäftsleitung einzahlt.

NIS2-Pentest planen Was NIS2 verlangt
  • Art. 21 NIS2
  • §38 NIS2UmsuCG
  • Audit-fähige Doku
  • 18 Sektoren

Auf einen Blick Stand · 27. Mai 2026 · Von SecTepe, Wülfrath (NRW)

Die NIS2-Richtlinie (EU 2022/2555, in DE als NIS2UmsuCG) verpflichtet betroffene Unternehmen zu Risikomanagement-Maßnahmen nach Art. 21 — darin explizit „Sicherheits-Tests und Audits". Pentest-NIS2 ist die Pentest-Linie, die genau das adressiert: methodisch korrekt, dokumentiert für die §38-Geschäftsführungsverantwortung.

Leistungen

Penetrationstest im Rahmen von NIS2

Pentest als Maßnahme nach NIS2-Risikomanagement.

01

NIS2-Scoping

Wir bestimmen, welche Systeme nach NIS2 relevant sind („zentral für die Erbringung Ihrer Dienstleistung") und testen genau diese.

02

Pentest IT

Klassischer IT-Pentest (Web, externes Netz, internes Netz) nach OWASP und BSI-Praxisleitfaden.

03

Lieferketten-Tests

NIS2 verlangt Lieferkettensicherheit. Wir testen ausgewählte Lieferanten-Schnittstellen und -Zugriffe mit deren Einwilligung.

04

Notfall-Übung

Mit dem Pentest verknüpfen wir auf Wunsch eine Tabletop-Übung — wichtig für die NIS2-Meldepflicht-Vorbereitung.

05

Geschäftsführungs-Briefing

Wir bereiten ein klares Briefing der Geschäftsführung vor — Voraussetzung für die persönliche Verantwortung nach §38 NIS2UmsuCG.

06

Mapping auf zehn Pflichten

Befunde werden auf alle zehn NIS2-Mindestanforderungen aus Art. 21 zugeordnet — keine Übersetzungsarbeit für Ihren ISB.

Über Pentest NIS2

NIS2 ist nicht „nur" eine neue Regulierung.

Pentest NIS2 ist ein Produkt von SecTepe — einem inhabergeführten IT-Dienstleister aus Wülfrath (NRW), gegründet 2023.

NIS2 erweitert den Kreis der Pflicht-Unternehmen drastisch und führt persönliche Haftung der Geschäftsleitung ein (§38 NIS2UmsuCG). Eine reine Compliance-Übung reicht hier nicht — die Maßnahmen müssen wirksam sein, und das müssen Sie belegen können.

Pentest ist eines der eindeutigsten Belege für „wirksame technische Maßnahmen". Wir liefern ihn so, dass er im NIS2-Kontext nicht nur als Pflicht-Erfüllung, sondern als Risiko-Lenker funktioniert.

Art. 21 (h)
NIS2-Sicherheitstests
§38
Geschäftsführungs-Pflicht
€10 Mio
mögliche Bußgelder
Häufige Fragen

Was Sie wahrscheinlich noch wissen wollen.

Antworten auf die Fragen, die in Erstgesprächen am häufigsten aufkommen. Steht Ihre Frage nicht dabei, schreiben Sie uns einfach.

Sind wir von NIS2 betroffen?

Wenn Ihr Unternehmen in einem der 18 NIS2-Sektoren liegt und mindestens 50 Mitarbeitende oder 10 Mio. € Jahresumsatz hat, dann sehr wahrscheinlich. Eine verbindliche Klärung erfolgt im Rahmen einer Betroffenheitsanalyse (siehe nis2-anforderungsbewertung.de).

Wann tritt NIS2 in Deutschland in Kraft?

Das NIS2UmsuCG befindet sich seit 2024 im Gesetzgebungsverfahren. In-Kraft-Treten wird im Verlauf 2026 erwartet. Wir empfehlen, mit Risikomanagement-Maßnahmen — inklusive Pentest — bereits jetzt zu starten.

Was unterscheidet einen NIS2-Pentest von einem normalen Pentest?

Inhaltlich nichts. Dokumentation, Berichtsstruktur und Risiko-Bewertung sind aber so gestaltet, dass sie direkt in NIS2-Maßnahmen-Dokumentation einfließen — und im Mapping auf alle zehn Art.-21-Pflichten ohne Übersetzung verwendbar sind.

Wie oft ist Pentest unter NIS2 nötig?

Art. 21 verlangt „regelmäßige" Tests, ohne feste Frequenz. In der Praxis akzeptieren Aufsichtsbehörden mindestens einen jährlichen Pentest pro relevantem System. Bei höherem Schutzbedarf häufiger.

Brauchen wir Lieferketten-Tests auch?

Art. 21 (d) verlangt Lieferketten-Sicherheit. Pentest aller Lieferanten ist unrealistisch — wir empfehlen einen risiko­priorisierten Ansatz und testen mit Einwilligung die kritischsten 3–5 Lieferanten-Schnittstellen.

Kombiniert mit anderen Frameworks?

Ja. Befunde lassen sich gleichzeitig auf ISO 27001 (Annex A), KRITIS (§8a BSIG), TISAX und DORA mappen — kein Doppel-Test nötig, ein Bericht für alle Welten.

Kerngedanken

Das Wichtigste in fünf Punkten.

  1. 01 NIS2 Art. 21 (h): „regelmäßige Sicherheits-Tests und Audits".
  2. 02 NIS2UmsuCG voraussichtlich in Kraft 2026 — Vorbereitung jetzt.
  3. 03 Bericht direkt für Geschäftsführungs-Pflicht (§38) verwendbar.
  4. 04 Mapping auf alle 10 NIS2-Pflichten inklusive.
  5. 05 Pentest-Frequenz risikobasiert — wir helfen bei der Definition.
Pentest NIS2 · ein Produkt von SecTepe

NIS2 zwingt zur Klarheit.

Wir besprechen, was an Pentest in Ihrem NIS2-Scope wirklich notwendig ist — und wo Sie sparen können.

Ihre Nachricht landet direkt bei SecTepe in Wülfrath — an hello@sectepe.de. Wir antworten in der Regel innerhalb eines Werktages.

Scope abstimmen
Anschrift
SecTepe · 42489 Wülfrath · NRW
Servicegebiet
Deutschland · Europäische Union