Spoofing-Vorfall — 142 Fails von russischer IP
Compliance · NIS2
NIS2 und E-Mail-Authentifizierung — konkret gemappt.
NIS2 schreibt "angemessene technische Maßnahmen" vor — was das für E-Mail-Sicherheit konkret bedeutet, zeigt diese Mapping-Tabelle: jede Anforderung, jedes Mailantis-Feature, das sie erfüllt.
NIS2-Audit-Log
Sicherheits-Events lückenlos dokumentiert.
Cert-Ablauf in 6 Tagen — TLS-Continuity-Risk
Quarterly Penetration-Test bestanden
Kontext
Was NIS2 von der E-Mail-Schicht erwartet
Die NIS2-Richtlinie (EU 2022/2555, in Österreich umgesetzt via NISG 2026, voll wirksam ab Oktober 2026) verlangt von ca. 18 Sektoren technische und organisatorische Schutzmaßnahmen — darunter explizit die Sicherheit der elektronischen Kommunikation. Schätzungen zufolge fallen 4.000 bis 5.000 österreichische Unternehmen unter den neuen Regelungsbereich.[1]
Während die Richtlinie keine konkreten RFCs nennt, hat sich in der Auditor-Praxis ein klarer Mindeststandard herauskristallisiert: SPF, DKIM, DMARC mit aktiver Policy (mind. p=quarantine), verschlüsselter Transport via TLS und MTA-STS, sowie Monitoring und Reporting der genannten Kontrollen.
Mailantis deckt diese E-Mail-Schicht der NIS2-Anforderungen vollständig ab — als ein Modul innerhalb Ihres Gesamt-Cybersicherheits-Konzepts.
Mapping-Tabelle
NIS2-Anforderung ↔ Mailantis-Feature
Zeile-für-Zeile, mit Bezug auf Artikel 21 Abs. 2 der Richtlinie.
| NIS2-Aspekt | Anforderung | Mailantis-Feature | Status |
|---|---|---|---|
| Authentizität (Art. 21(2)(g)) | Sender-Authentifizierung der eigenen Domain | SPF + DKIM + DMARC mit Policy-Wizard | erfüllt |
| Integrität (Art. 21(2)(g)) | Manipulationsschutz für E-Mail-Nachrichten | DKIM-Signatur-Audit, Key-Rotation | erfüllt |
| Verschlüsselung (Art. 21(2)(h)) | Transportverschlüsselung zwischen Mailservern | MTA-STS-Policy-Hosting, TLS-RPT-Aggregation | erfüllt |
| Risiko-Management (Art. 21(2)(a)) | Kontinuierliche Bewertung von Cyber-Risiken | Tägliches Monitoring, Anomalie-Erkennung, Spoofing-Detection | erfüllt |
| Vorfall-Behandlung (Art. 21(2)(b)) | Erkennung und Reaktion auf Vorfälle | Alert-Engine (Slack/PagerDuty), Forensic-Reports | erfüllt |
| Reporting (Art. 21(2)(b)) | Nachweisbare Dokumentation der Maßnahmen | PDF-Reports, Audit-Log, Policy-Historie | erfüllt |
| Lieferketten-Sicherheit (Art. 21(2)(d)) | Sicherheit der Dienstleister | EU-Hosting (zertifizierte EU-Rechenzentren), DSGVO-konform, AVV downloadbar | erfüllt |
| Zugriffskontrolle (Art. 21(2)(i)) | Multi-User-Rollen, Audit-Log, MFA | Granulare Rollen ab Business, MFA standardmäßig | erfüllt (Business+) |
Hinweis: Diese Mapping-Tabelle bildet die E-Mail-Schicht der NIS2-Anforderungen ab. NIS2 verlangt zusätzlich Maßnahmen in Bereichen wie Backup-Strategien, Awareness-Training, Incident-Reporting an Behörden, Business-Continuity. Eine vollständige NIS2-Konformität erfordert ein ganzheitliches Konzept — Mailantis ist dabei ein Baustein, kein Komplettpaket.
Lieferkette
Der unterschätzte Hebel: Supply-Chain-Security
Artikel 21 Abs. 2 lit. d NIS2 verlangt erstmals explizit die Absicherung der Lieferkette. Wesentliche und wichtige Einrichtungen müssen die Sicherheit ihrer unmittelbaren Dienstleister vertraglich nachweisen. Das hat eine Konsequenz, die viele KMU unterschätzen: NIS2 kaskadiert.
„Ein kleines Unternehmen, das einen regulierten Konzern beliefert, wird vertraglich gezwungen, die gleichen extrem hohen Cybersicherheitsstandards nachweisen zu müssen. Fehlen Basis-Protokolle wie DMARC oder S/MIME für vertrauliche Daten, verliert der Zulieferer potenziell seine Aufträge."[1]
In der Praxis heißt das: DMARC-Enforcement und S/MIME werden zur Eintrittskarte für B2B-Aufträge mit regulierten Großkunden — unabhängig davon, ob Sie selbst NIS2-pflichtig sind. Vendor-Audit-Fragebögen prüfen diese Punkte bereits heute routinemäßig ab.
Auf Geschäftsführungs-Ebene relevant: NISG 2026 hebt die persönliche Verantwortung der Leitungsorgane in den Gesetzesrang. Wer das Budget für dokumentierten Stand-der-Technik-Schutz verweigert und einen erfolgreichen BEC-Angriff erleidet, kann sich nicht mehr auf die Business Judgment Rule berufen — Innenhaftung mit Durchgriff auf das Privatvermögen ist möglich.[1]
FAQ
Häufige NIS2-Fragen
Sind wir NIS2-pflichtig?
NIS2 gilt für ca. 18 Sektoren (Energie, Verkehr, Gesundheit, Verwaltung, IT-Dienstleister, Lebensmittel u. a.) ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Schätzungen zufolge sind 4.000 bis 5.000 österreichische Unternehmen betroffen. Die nationale Umsetzung erfolgt in Österreich via NISG 2026, voll wirksam ab Oktober 2026.
Welche E-Mail-Anforderungen stellt NIS2 konkret?
NIS2 nennt keine spezifischen RFCs, fordert aber "angemessene technische Maßnahmen" für Authentizität und Integrität. In der Praxis werden DMARC, SPF, DKIM und Transport-Verschlüsselung (TLS, MTA-STS) als Mindeststandard erwartet.
Was passiert bei Nicht-Erfüllung?
Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (essentielle Einrichtungen) bzw. 7 Mio. EUR / 1,4 % (wichtige Einrichtungen). Persönliche Haftung der Geschäftsleitung möglich.
Reicht Mailantis als alleinige NIS2-Maßnahme?
Nein. Mailantis erfüllt den E-Mail-Authentifizierungs-Aspekt. NIS2 verlangt zusätzlich Risk-Management, Incident-Response, Backup, Awareness-Training u. a. — ein Gesamtkonzept ist nötig.
Liefert Mailantis Audit-Nachweise?
Ja. PDF-Reports mit DMARC-Status, Policy-Historie und Konfigurations-Snapshot eignen sich als Nachweis. Auf Anfrage erhalten Business- und Enterprise-Kunden auch eine schriftliche Konformitäts-Bestätigung.
Quellen
[1] Synthese aus: Bayerischer Landtag — IT-Sicherheits-Anhörung (Bay LT 2025); WKO — NISG 2026 Übersicht; Mayer Brown — Haftung der Geschäftsführung bei Cyber-Angriffen; techbold / leukos.at — Sorgfaltspflicht-Analysen zur Geschäftsführer-Haftung. Stand Mai 2026.
NIS2-konforme E-Mail-Schicht in 30 Minuten.
Alle 8 Standards mit aktiver Policy und Reporting.