Was Artikel 21 tatsächlich verlangt
Artikel 21.1 legt den Grundsatz fest: Die Maßnahmen müssen angemessen und verhältnismäßig sein. Sie sollen Risiken in Netzwerken und Informationssystemen adressieren und die Folgen von Zwischenfällen minimieren. Die Richtlinie fordert außerdem, technische Entwicklungen, relevante Standards und Einführungskosten zu berücksichtigen (Europäische Union, 2022).
Artikel 21.2 listet zehn Bereiche von a bis j auf. Punkt a betrifft Richtlinien für Risikoanalysen und Sicherheit in Informationssystemen – die Grundlage des Brandschutzes. Ohne diese Richtlinie droht entweder eine Überreaktion, die alles teuer und unflexibel macht, oder eine Unterreaktion, bei der Risiken erst erkannt werden, wenn es bereits brennt (Europäische Union, 2022).
Was Artikel 21.2 a praktisch bedeutet
Ich verstehe Artikel 21.2 a als eine einfache, aber herausfordernde Erwartung: Sie müssen nachweisen können, dass Sie eine funktionierende Risikobewertung im Alltag haben. Nicht nur ein Dokument, sondern eine gelebte Vorgehensweise. Es muss nachvollziehbar sein, wie Risiko zu Entscheidung und Entscheidung zu Nachweis führt.
Für bestimmte Einheiten hat die EU außerdem technische und methodische Anforderungen in einer Durchführungsverordnung konkretisiert. Diese betont, dass eine Risikoanalyse-Policy allein nicht ausreicht. Auch Sicherheitsrichtlinien für Informationssysteme und ein aktuelles, genutztes Rahmenwerk sind erforderlich (Europäische Kommission, 2024).
Wer ist betroffen und was bedeutet die Größe?
Ein weit verbreitetes Missverständnis ist, dass NIS2 für alle gilt. Das ist nicht der Fall. NIS2 folgt einer Größenlogik, bei der Mikro- und Kleinunternehmen meist ausgenommen sind, es aber Ausnahmen gibt, wenn eine Einheit als besonders kritisch eingestuft wird oder spezielle Kriterien erfüllt (Europäische Union, 2022). In Schweden muss man daher zunächst prüfen, ob man ein Betreiber ist, der unter das Cybersicherheitsgesetz fällt, und welcher Sektor und welche Aufsicht gelten (Schwedisches Parlament, 2025a; Schwedisches Parlament, 2025b).
So vermeiden Sie Compliance-Theater
Hier kommt mein visionärer, aber bodenständiger Beitrag: Ich glaube, Artikel 21.2 a kann ein Wettbewerbsvorteil sein, wenn wir aufhören, Risiko als reine Textform zu behandeln. Risiko ist vielmehr eine Frage von Urteilsvermögen, Tempo und Fähigkeit. Was wir brauchen, ist ein Brandschutz, der es einfacher macht, schnell gute Entscheidungen zu treffen – nicht ein Ordner, der einen neuen Ordner erfordert.
Das wird besonders deutlich, wenn man die moderne Regulierung betrachtet. Das Cybersicherheitsgesetz macht die Führungsebene stärker für Risiko und Kontrolle verantwortlich (Behörde für Zivilschutz, 2026). Im Finanzsektor gilt zudem die Digital Operational Resilience Act, die in Teilen Vorrang bei der Vorfallmeldung haben kann und zeigt, dass wir verstehen müssen, wie die Regelwerke praktisch zusammenspielen (Finanzaufsicht, 2026).
Drei Vorschläge, die im Rahmen des Gesetzes bleiben
Ich verspreche, hier keine weiteren Dokumente zu verkaufen. Aber ich nenne drei bewährte Ansätze, die Wirkung zeigen und zu Artikel 21.2 a passen, ohne neue Anforderungen zu erfinden.
Risiko als Entscheidungstempo messen.
Risiko als Verhalten trainieren.
Risiko als Nachweis darstellen.
Risiko als Entscheidungstempo messen heißt, zu verfolgen, wie schnell Sie von der Beobachtung zur Entscheidung kommen, wenn sich etwas ändert. Risiko als Verhalten trainieren bedeutet, Ihre Annahmen in kleinen Übungen zu testen, nicht nur bei der Jahresrevision. Risiko als Nachweis darstellen heißt, konkrete Spuren der Arbeit nachweisen zu können – etwa dass Risikobewertungen zu Prioritäten führen, Prioritäten zu Maßnahmen und Maßnahmen zu messbaren Verbesserungen.
Fazit
Ich bin überzeugt, dass digitale Resilienz in Europa nicht durch mehr Worte entsteht, sondern durch Können. Artikel 21.2 a ist eine Chance, Risikomanagement zu einem praktischen Brandschutz zu machen. Wenn diese Richtlinie funktioniert, wird alles andere einfacher. Dann sprechen Sie mit Lieferanten, Führung und Aufsicht eine gemeinsame Sprache – nicht Jura um der Juristerei willen, sondern Kontrolle für den Geschäftserfolg.
Quellen
Europäische Kommission. (2024). Durchführungsverordnung (EU) 2024/2690 über technische und methodische Anforderungen… (Anhang). EUR Lex.
Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.
Finanzaufsicht. (2026). Das gilt für das neue Cybersicherheitsgesetz. https://www.fi.se/
Behörde für Zivilschutz. (2026). Cybersicherheitsgesetz für Führungskräfte. https://www.mcf.se/
Regierung. (2026). Neue Anforderungen an die schwedische Cybersicherheit (Pressemitteilung 15. Januar 2026). https://www.regeringen.se/
Schwedisches Parlament. (2025a). Cybersicherheitsgesetz (2025:1506). Schwedisches Gesetzblatt.
Schwedisches Parlament. (2025b). Cybersicherheitsverordnung (2025:1507). Schwedisches Gesetzblatt.
