ConformScan
Kostenlos scannen
NIS2AWSComplianceChecklist

NIS2-Compliance-Checkliste für AWS: Der vollständige Leitfaden 2025

Was AWS-Unternehmen über NIS2 wissen müssen: Wer ist betroffen, was ist zu prüfen und wie automatisiert man die Compliance — bevor es der Prüfer tut.

10. März 2025·8 min Lesezeit·
ConformScan

Die EU-NIS2-Richtlinie ist seit dem 17. Oktober 2024 durchsetzbar. Wenn Ihr Unternehmen auf AWS betrieben wird und in ihren Anwendungsbereich fällt, benötigen Sie eine klare Checkliste der zu behebenden Punkte — und eine Möglichkeit, diese automatisch zu überprüfen. Dieser Leitfaden deckt beides ab.

Wer ist von NIS2 betroffen?

NIS2 gilt für jedes Unternehmen, das in der EU tätig ist und entweder:

  • 50+ Mitarbeiter oder €10 Mio.+ Jahresumsatz hat, UND
  • in einem betroffenen Sektor tätig ist: Energie, Transport, Gesundheitswesen, Wasser, digitale Infrastruktur, IKT-Dienste, Banken, Finanzmarktinfrastruktur oder Herstellung kritischer Produkte.

Im Gegensatz zu NIS1 erfasst NIS2 auch wichtige Einrichtungen (mittelgroße Unternehmen) — nicht nur Betreiber wesentlicher Dienste. Das bedeutet, dass Zehntausende europäischer Unternehmen neu in den Anwendungsbereich fallen.

Was NIS2 verlangt (Artikel 21)

Artikel 21 schreibt einen risikobasierten Ansatz zur Sicherheit vor. Für Cloud-Infrastrukturen übersetzt sich dies in 8 konkrete Kategorien:

1. IAM & Zugriffskontrolle

  • MFA für alle IAM-Benutzer erzwungen (insbesondere Root)
  • Kein Root-Konto für den täglichen Betrieb
  • Least-Privilege-IAM-Richtlinien — keine Wildcard-*-Berechtigungen
  • Zugriffsschlüssel innerhalb von 90 Tagen rotiert
  • Keine hartcodierten Anmeldedaten in Lambda oder EC2-Benutzerdaten

2. Verschlüsselung im Ruhezustand

  • S3-Buckets: serverseitige Verschlüsselung aktiviert (SSE-S3 oder SSE-KMS)
  • RDS-Instanzen: Speicherverschlüsselung aktiviert
  • EBS-Volumes: bei der Erstellung verschlüsselt
  • DynamoDB: Verschlüsselung im Ruhezustand aktiviert
  • Secrets in AWS Secrets Manager oder SSM Parameter Store gespeichert (nicht in Umgebungsvariablen)

3. Verschlüsselung während der Übertragung

  • S3-Bucket-Richtlinien erzwingen nur HTTPS (HTTP ablehnen)
  • RDS: Parameter rds.force_ssl aktiviert
  • Load Balancer verwenden ausschließlich TLS 1.2+ Listener
  • CloudFront-Distributionen erzwingen HTTPS-Weiterleitung

4. Netzwerksicherheit

  • Keine Sicherheitsgruppen offen für 0.0.0.0/0 auf Port 22 (SSH) oder 3389 (RDP)
  • VPC Flow Logs in allen Regionen aktiviert
  • Öffentliche Subnetze nur für Ressourcen, die explizit Internetzugang benötigen
  • RDS nicht öffentlich zugänglich

5. Protokollierung & Überwachung

  • CloudTrail in allen Regionen aktiviert, Protokolldateivalidierung eingeschaltet
  • CloudTrail-Protokolle mit KMS verschlüsselt
  • GuardDuty aktiviert
  • Config-Regeln für kontinuierliche Compliance-Überwachung aktiviert
  • Protokollaufbewahrung ≥ 12 Monate (NIS2-Empfehlung)

6. Incident Response (Artikel 23)

NIS2 verlangt die Meldung erheblicher Vorfälle an nationale Behörden innerhalb von 24 Stunden (erste Warnung) und 72 Stunden (vollständige Benachrichtigung). Infrastrukturseitig bedeutet das:

  • CloudWatch-Alarme für kritische Ereignisse (Root-Login, Richtlinienänderungen, fehlgeschlagene Authentifizierung)
  • SNS-Benachrichtigungen für GuardDuty-Findings konfiguriert
  • Automatisierte Abhilferegeln wo möglich (Config + SSM)

7. Lieferkettensicherheit

  • Kontoübergreifende Rollen überprüft und eingeschränkt
  • Drittanbieterzugang über IAM Access Analyzer geprüft
  • ECR-Images auf Schwachstellen gescannt
  • Lambda-Layer und Abhängigkeiten nur aus vertrauenswürdigen Quellen

8. Betriebskontinuität

  • Automatische RDS-Backups mit ≥7 Tagen Aufbewahrung aktiviert
  • Multi-AZ-Deployments für Produktionsdatenbanken
  • S3-Versionierung für kritische Buckets aktiviert
  • Disaster-Recovery-Verfahren dokumentiert und getestet

NIS2-Bußgelder bei Nichteinhaltung

Gemäß Artikel 34 sieht NIS2 folgende Höchststrafen vor:

  • Wesentliche Einrichtungen: bis zu €10 Mio. oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis zu €7 Mio. oder 1,4 % des weltweiten Jahresumsatzes

Leitungsorgane können auch persönlich haftbar gemacht werden, und bei wiederholten Verstößen sind vorübergehende Verbote von Führungsfunktionen möglich.

So automatisieren Sie NIS2-Compliance-Prüfungen

Manuelle Audits anhand dieser Checkliste dauern Wochen — und sind veraltet, sobald jemand eine neue Ressource erstellt. Automatisiertes Scanning löst beide Probleme.

ConformScan führt alle 193+ NIS2-zugeordneten Prüfungen gegen Ihre live AWS-Infrastruktur in unter 2 Minuten durch. Sie erhalten:

  • Eine priorisierte Liste von Findings mit SLA-Countdowns (3 → 14 → 30 Tage)
  • Terraform- und CLI-Abhilfecode für jeden Fund
  • Einen PDF-Bericht, bereit für Ihren Prüfer oder Datenschutzbeauftragten
  • Geplante tägliche Scans, sodass Sie sofort wissen, wenn Drift auftritt

Zusammenfassung

NIS2-Compliance auf AWS ist kein einmaliges Projekt — es ist ein kontinuierlicher Prozess. Die 8 oben genannten Kategorien decken die wesentlichen technischen Anforderungen ab. Automatisieren Sie die Überprüfung, beheben Sie die Lücken und bewahren Sie Nachweise für Ihren Prüfer auf. Die Kosten eines Scans sind weit geringer als die Kosten eines Bußgeldes.

Bereit, Ihre Infrastruktur zu prüfen?

1 kostenloser Scan/Monat · Keine Kreditkarte · Ergebnisse in unter 2 Minuten · Gehostet in Deutschland

Kostenlos scannen →

Weitere Compliance-Leitfäden

GDPRDSGVO

DSGVO Cloud-Sicherheit: Was AWS- und Azure-Nutzer 2025 beheben müssen

7 min Lesezeit

BSI C5Audit

BSI C5 Audit-Vorbereitung: Eine Schritt-für-Schritt-Anleitung für Cloud-Teams

9 min Lesezeit

NIS2-Compliance-Checkliste für AWS: Der vollständige Leitfaden 2025 | ConformScan Blog