Zum Inhalt springen
Selector7
7 Min. Lesezeit von Selector7-Team

NIS2 und E-Mail-Sicherheit: Die Checkliste für Geschäftsleitung und IT

Was NIS2 (§§ 30, 32, 38) für E-Mail-Authentifizierung verlangt, wer betroffen ist und wie Sie DMARC-Reporting als nachweisbare Sorgfaltspflicht aufstellen.

#nis2 #compliance #dmarc

NIS2 ist kein abstraktes Brüssel-Thema mehr. Das deutsche Umsetzungsgesetz, das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), bringt für tausende mittelständische Unternehmen konkrete Pflichten — und für die Geschäftsleitung eine persönliche Haftung. E-Mail-Sicherheit ist davon direkt betroffen, auch wenn das Gesetz das Wort “DMARC” nirgends nennt.

Dieser Artikel ordnet ein, was NIS2 für die E-Mail-Authentifizierung konkret bedeutet, wer betroffen ist, und liefert eine Checkliste, die Sie mit Ihrem Team durchgehen können.

Wer ist betroffen?

NIS2 weitet den Kreis der regulierten Unternehmen erheblich aus. Maßgeblich sind zwei Schwellen, von denen eine genügt:

  • ab 50 Mitarbeitende, oder
  • ab 10 Mio. € Jahresumsatz (und entsprechende Bilanzsumme)

Hinzu kommt die Zugehörigkeit zu einem der 18 Sektoren, die das Gesetz als besonders wichtig oder wichtig einstuft — darunter Energie, Gesundheit, Verkehr, Banken, Trinkwasser, digitale Infrastruktur, Verarbeitendes Gewerbe und öffentliche Verwaltung. Viele Unternehmen, die sich bisher nicht als “kritische Infrastruktur” verstanden haben, fallen jetzt darunter.

Wichtig: Es gibt keine behördliche Einladung. Die Einstufung erfolgt durch das Gesetz selbst. Ihr Unternehmen muss eigenständig prüfen, ob es betroffen ist, und sich gegebenenfalls registrieren.

Was NIS2 für E-Mail konkret verlangt

Das Gesetz spricht nicht über einzelne Protokolle, sondern über Pflichten. Drei Paragraphen sind für die E-Mail-Sicherheit besonders relevant.

§ 30 — Risikomanagement

§ 30 verlangt angemessene technische und organisatorische Maßnahmen zur Beherrschung von Risiken für die Netz- und Informationssysteme. E-Mail ist nach wie vor der häufigste Angriffsvektor: Phishing, CEO-Fraud und Spoofing der eigenen Domain. Wer keine E-Mail-Authentifizierung betreibt, lässt zu, dass Dritte unter seinem Domainnamen Mails versenden. Das ist ein offen liegendes Risiko, dessen Behandlung sich mit etablierten Standards (SPF nach RFC 7208, DKIM nach RFC 6376, DMARC nach RFC 7489) belegen lässt.

§ 32 — Berichtspflichten

§ 32 verpflichtet betroffene Einrichtungen, erhebliche Sicherheitsvorfälle innerhalb enger Fristen an das BSI zu melden. Für die E-Mail-Sicherheit heißt das: Sie müssen Missbrauch Ihrer Domain überhaupt erst bemerken. Ohne DMARC-Reporting (die rua-Berichte) haben Sie keine Sichtbarkeit darüber, wer in Ihrem Namen versendet. Ein laufendes Reporting ist die Voraussetzung dafür, einen Vorfall melden zu können — und dafür, im Zweifel nachzuweisen, dass kein Vorfall vorlag.

§ 38 — Haftung der Geschäftsleitung

§ 38 ist der Paragraph, der die Diskussion verändert. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen — und haftet bei Pflichtverletzung persönlich. Sie kann diese Pflicht nicht vollständig an die IT delegieren. Das bedeutet praktisch: Geschäftsführer und Vorstände brauchen einen nachvollziehbaren Nachweis, dass E-Mail-Authentifizierung eingerichtet ist und überwacht wird. Ein Screenshot aus einem Dashboard reicht hier nicht; gefragt ist ein dokumentierter, fortlaufender Nachweis.

Warum DMARC-Reporting Teil der Sorgfaltspflicht ist

DMARC ist kein Selbstzweck. Es schließt eine konkrete Lücke: SPF und DKIM allein sagen einem empfangenden Server, ob eine Mail authentifiziert ist — aber sie hinterlassen keinen Bericht beim Domaininhaber. Erst DMARC mit aktivem rua-Reporting sorgt dafür, dass Sie täglich Aggregate-Reports darüber erhalten, welche Quellen unter Ihrer Domain versenden, welche authentifiziert sind und welche nicht.

Für die Sorgfaltspflicht ist genau das der Punkt. Sie können belegen:

  • dass Sie wissen, wer in Ihrem Namen versendet,
  • dass Sie unautorisierte Quellen erkennen,
  • dass Sie über die Zeit dokumentieren, wie sich die Lage entwickelt.

Das ist der Unterschied zwischen “wir haben etwas eingerichtet” und “wir überwachen es nachweisbar und fortlaufend” — und damit der Unterschied, auf den es bei § 38 ankommt.

Die Checkliste

Gehen Sie diese Punkte mit Ihrer IT durch. Jeder Punkt sollte mit einem klaren Ja beantwortbar und dokumentiert sein.

  • SPF gesetzt? Existiert ein gültiger SPF-Record (RFC 7208) für jede versendende Domain? Bleibt er innerhalb des 10-Lookup-Limits? Ein überschrittenes Limit führt zu permerror und damit zu fehlgeschlagener Authentifizierung.
  • DKIM auf allen Mailservern? Signiert wirklich jeder versendende Dienst — eigener Mailserver, Microsoft 365, Newsletter-Tool, CRM, Ticketsystem, Rechnungsversand? Ein einzelner unsignierter Dienst ist ein Sender-Loch.
  • DMARC mindestens auf p=quarantine? Eine reine p=none-Policy ist nur Monitoring und bietet keinen Schutz gegen Spoofing. Für eine belastbare Sorgfaltsaussage sollte das Ziel mindestens quarantine, besser reject sein.
  • rua-Reporting aktiv? Empfangen und werten Sie die Aggregate-Reports tatsächlich aus? Ein rua-Tag im DNS, dessen Berichte niemand liest, ist kein Reporting.
  • Subdomain-Policy bedacht? Ist sp= gesetzt, damit auch Subdomains abgedeckt sind und nicht als Einfallstor offenstehen?
  • Audit-Trail vorhanden? Gibt es eine fortlaufende, datierte Dokumentation der Konfiguration und der Reports — etwas, das in einem Audit oder vor dem Aufsichtsrat Bestand hat?

Persönliche Haftung — ehrlich eingeordnet

Es lohnt, hier nicht zu dramatisieren. § 38 macht aus jedem Geschäftsführer keinen Cybersecurity-Spezialisten, und ein einzelnes fehlendes DMARC-Tag führt nicht automatisch zur persönlichen Haftung. Was das Gesetz verlangt, ist angemessene Sorgfalt und deren Nachweis.

Umgekehrt gilt: Wenn ein Spoofing-Vorfall Schaden anrichtet und sich zeigt, dass elementare, seit Jahren etablierte und kostengünstige Maßnahmen wie DMARC schlicht nicht umgesetzt wurden, wird die Frage nach der Sorgfaltspflicht unangenehm. E-Mail-Authentifizierung gehört zu den Maßnahmen mit dem besten Verhältnis von Aufwand zu Risikoreduktion. Genau deshalb ist sie schwer zu rechtfertigen, wenn sie fehlt.

Wo Selector7 hilft

Selector7 erstellt einen NIS2-PDF-Report in deutscher Sprache, der den Status Ihrer E-Mail-Authentifizierung dokumentiert und als fortlaufender Nachweis dient. Wenn Sie nur schnell wissen wollen, wo Ihre Domain heute steht, prüfen Sie sie mit den kostenlosen Tools.

Domain kostenlos prüfen oder bei Interesse am Reporting eine Demo anfragen.

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in der EU (Finnland), AVV nach deutschem Recht inklusive.