Wer ein Informationssicherheitsmanagementsystem nach ISO 27001 aufbaut, kennt das Prinzip: Maßnahmen werden risikobasiert ausgewählt. Kryptografie steht zwar im Anhang A (Maßnahme 8.24), kann aber nach Abwägung auch ausgeklammert werden — wenn das Risiko als gering bewertet wird. NIS-2 lässt diesen Spielraum nicht.
Kryptografie: Von der Option zur Pflicht
Art. 21 Abs. 2 lit. h der NIS-2-Richtlinie schreibt explizit vor, dass betroffene Einrichtungen den „Einsatz von Kryptografie und gegebenenfalls Verschlüsselung” umsetzen müssen. Die deutsche Umsetzung im NIS2UmsuCG (§ 30 BSIG-neu) übernimmt diese Anforderung verbindlich.
Das bedeutet in der Praxis: Kryptografiekonzept, Schlüsselmanagement und die Absicherung von Daten in Übertragung und Speicherung sind für alle wesentlichen und wichtigen Einrichtungen keine optionalen Maßnahmen mehr — unabhängig davon, wie das individuelle Risikourteil ausfällt.
Der Unterschied zu ISO 27001 ist damit erheblich: Dort entscheiden Sie auf Basis Ihrer Risikoanalyse, ob und welche Kryptografiemaßnahmen Sie benötigen. Unter NIS-2 ist die Entscheidung bereits getroffen.
Was kommt als Nächstes: Der Q-Day
Gleichzeitig steht die gesamte klassische Public-Key-Kryptografie vor einer fundamentalen Herausforderung. Als Q-Day bezeichnet man den Zeitpunkt, an dem ein kryptografisch relevanter Quantencomputer (CRQC) in der Lage sein wird, die heute verbreiteten Verfahren — RSA, ECC, Diffie-Hellman — in vertretbarer Zeit zu brechen.
Konkrete Prognosen schwanken zwischen 2030 und 2040. Doch Geheimdienste und Standardisierungsgremien sind sich einig: Der Übergang muss jetzt beginnen. Der Grund liegt in einer besonders heimtückischen Angriffsstrategie:
„Harvest now, decrypt later” — Angreifer sammeln heute verschlüsselte Daten und entschlüsseln sie, sobald ein Quantencomputer verfügbar ist.
Wer sensible Daten mit langer Schutzfrist hat — Patente, Gesundheitsdaten, Verträge, Konstruktionspläne — ist damit bereits heute betroffen, auch wenn der eigentliche Angriff erst in Jahren stattfindet.
Post-Quantum-Kryptografie: Die Standards sind da
Das NIST hat 2024 die ersten Post-Quantum-Kryptografie-Standards (PQC) veröffentlicht:
- ML-KEM (CRYSTALS-Kyber) — für Schlüsselaustausch und -kapselung
- ML-DSA (CRYSTALS-Dilithium) — für digitale Signaturen
- SLH-DSA (SPHINCS+) — hash-basierte Signaturen als konservative Alternative
Das BSI empfiehlt in seiner Technischen Richtlinie TR-02102 bereits die schrittweise Migration auf PQC-Verfahren und rät zu hybriden Verfahren, die klassische und quantensichere Kryptografie kombinieren — als Absicherung in beide Richtungen bis die Migration abgeschlossen ist.
Was Unternehmen jetzt tun sollten
NIS-2-Compliance und PQC-Vorbereitung sind kein Widerspruch — sie ergänzen sich ideal. Wer jetzt sein Kryptografiekonzept für NIS-2 erarbeitet, sollte es direkt zukunftsfest aufsetzen:
- Krypto-Inventar erstellen: Welche Verfahren, Protokolle und Schlüssellängen sind im Einsatz? TLS-Versionen, Zertifikate, VPN, Code Signing, Festplattenverschlüsselung — alles auf den Tisch.
- Schutzbedarf und Datenlaufzeiten bewerten: Welche Daten müssen noch in 10–15 Jahren geschützt sein? Diese sind heute bereits gefährdet.
- Kryptografiekonzept dokumentieren: Pflicht unter NIS-2 und Grundlage für BSI-Prüfungen und Nachweise gegenüber Aufsichtsbehörden.
- PQC-Migration planen: Hybride Verfahren für neue Systeme einführen, Bestandssysteme auf PQC-Readiness prüfen.
- Mitarbeiter sensibilisieren: Art. 21 NIS-2 fordert ausdrücklich Schulungen — Kryptografie und ihre Bedeutung gehören dazu.
Fazit
NIS-2 zwingt Unternehmen, Kryptografie verbindlich umzusetzen. Der Q-Day gibt einen guten Grund, dabei nicht nur auf Compliance zu schauen, sondern auf echte Zukunftssicherheit. Wer sein Kryptografiekonzept jetzt aufbaut, kann beides in einem Schritt erledigen: NIS-2-Anforderungen erfüllen und den Grundstein für die Post-Quantum-Migration legen.
Der einzige Fehler wäre, damit zu warten.
Sie möchten wissen, wie Ihr Unternehmen bei Kryptografie und NIS-2 aufgestellt ist? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung.