Zum Inhalt springen
Compliance · NIS2

NIS2 Anwendungssicherheit: technische Maßnahmen umsetzen

NIS2 Anwendungssicherheit mit Obhut: technische Maßnahmen nach Art. 21 über Zugriffskontrolle, Segmentierung, WAF/API-Schutz und prüfbare Nachweise adressierbar machen.

Obhut ist eine souveräne Anwendungssicherheits-Plattform aus Deutschland, die einen Teil der technischen Risikomanagement-Maßnahmen nach NIS2 (Art. 21) auf Anwendungs- und API-Ebene adressierbar macht: Zugriffskontrolle nach Least Privilege, Netzwerksegmentierung, Angriffserkennung über WAF, API- und Bot-Prüfungen sowie prüfbare Nachweise für Audits. Das deutsche NIS2UmsuCG ist seit Dezember 2025 in Kraft und verlangt von betroffenen Einrichtungen dokumentierte, dem Risiko angemessene Maßnahmen. Obhut unterstützt deren Umsetzung im Anwendungspfad und liefert die zugehörigen Nachweise — Obhut ist dabei keine Rechtsberatung, keine Zertifizierung und keine Garantie der NIS2-Konformität, sondern ein technischer Baustein.

Was NIS2 auf der Anwendungsebene verlangt
Art. 21 NIS2 verlangt geeignete und verhältnismäßige technische und organisatorische Maßnahmen, um Risiken für Netz- und Informationssysteme zu beherrschen — darunter Zugangskontrolle, Konzepte zur Netzwerksegmentierung, Umgang mit Sicherheitsvorfällen und Maßnahmen zur Angriffserkennung. Ein großer Teil dieser Anforderungen entscheidet sich dort, wo Nutzer, Dienste und APIs auf Anwendungen treffen. Genau diese Schicht deckt Obhut ab. Die rechtliche Einordnung, welche Pflichten für Ihre Einrichtung gelten, bleibt Aufgabe Ihrer Compliance- und Rechtsfunktion.
Zugriffskontrolle nach Least Privilege
Der ausgehende Agent hält private Ziele geschlossen, sodass keine offenen Ports oder öffentlich exponierten Adminflächen entstehen. An der Edge werden Identität, Gruppen, Client-Zertifikate, JWTs und rollenbasierte API-Token geprüft, bevor eine Anfrage die Anwendung erreicht. So lässt sich das NIS2-Prinzip minimaler Rechte auf konkrete Anwendungen und APIs abbilden. MFA und SSO werden über Ihren Identity-Provider angebunden; Obhut setzt die dort belegte Identität im Anwendungspfad durch.
Netzwerksegmentierung: Sichtbarkeit und Wirkungsanalyse
Für die Ost-West-Segmentierung erfasst Obhut auf Linux-Hosts die tatsächlichen Flows, macht Kommunikationsbeziehungen sichtbar und analysiert die Wirkung geplanter Regeln. Aus abgelehnten oder unerwarteten Flows leitet Obhut read-only empfohlene Allow-Regeln ab, die Sie vor jeder Freigabe prüfen können. Die produktive Erzwingung auf der Rechner-Firewall folgt erst nach Host-Validierung und ist noch nicht aktiv. Damit unterstützt Obhut die von NIS2 adressierte Segmentierung heute als geprüfte Vorbereitung, ohne eine bereits laufende Durchsetzung zu behaupten.
Angriffserkennung über WAF, API- und Bot-Prüfung
Im Anfragepfad prüft die Edge WAF-Regeln, API-Verträge, Body-Schemas und L7-Anfragengrenzen und bewertet das Bot-Risiko. Richtlinien entscheiden erlauben, ablehnen, protokollieren, begrenzen oder herausfordern. Auffällige Muster wie Schema-Verstöße, überschrittene Grenzen oder automatisierter Missbrauch werden als Ereignisse erfasst statt still verworfen. Das unterstützt die von NIS2 geforderte Detektion und Behandlung von Sicherheitsvorfällen auf der Anwendungs- und API-Ebene.
Nachweise für Audits und Meldepflichten
NIS2 verlangt nicht nur Maßnahmen, sondern deren Nachweisbarkeit gegenüber Aufsicht und Prüfern. Obhut hält Zugriffs- und Blockierungsentscheidungen signiert und verkettet, sodass Änderung, Löschung oder Umsortierung erkennbar wird, und stellt Evidenzpakete, SIEM-Export und eine Kontrollsicht bereit. Security und Compliance arbeiten damit auf derselben Faktenbasis. Diese Nachweise unterstützen Audits und die Aufbereitung von Vorfällen; die eigentliche Meldung an das BSI bleibt ein organisatorischer Prozess bei Ihnen.
Ehrliche Grenze: Baustein, keine Konformität
Obhut deckt die Anwendungssicherheits-Schicht ab und macht dort einen Teil der NIS2-Maßnahmen technisch adressierbar und prüfbar. Obhut ersetzt weder ein Informationssicherheits-Managementsystem noch Governance, Lieferketten-Risikomanagement, Business Continuity oder Schulungen. Obhut selbst steht vor eigener Zertifizierung; vertragliche Zusagen folgen nach rechtlicher Prüfung. Wir framen das bewusst konservativ, weil Ehrlichkeit über den Reifegrad für uns Teil des Produkts ist.
FAQ

Häufige Fragen zu NIS2 und Anwendungssicherheit

Nein. Obhut ist keine Zertifizierung und keine Garantie der NIS2-Konformität, sondern ein technischer Baustein. Obhut unterstützt die Umsetzung eines Teils der technischen Maßnahmen nach Art. 21 auf Anwendungs- und API-Ebene und liefert prüfbare Nachweise. Ob Ihre Einrichtung betroffen ist und welche Pflichten gelten, klären Ihre Compliance- und Rechtsfunktion.

Obhut adressiert Zugriffskontrolle nach Least Privilege, Netzwerksegmentierung, Angriffserkennung über WAF, API- und Bot-Prüfung sowie die Nachweisführung für Audits. Diese Bereiche entscheiden sich am Übergang zwischen Internet, APIs und internen Diensten — genau dort setzt Obhut an. Organisatorische Anforderungen wie ISMS, Governance oder Business Continuity deckt Obhut nicht ab.

Obhut erfasst auf Linux-Hosts die realen Flows, macht Ost-West-Kommunikation sichtbar, analysiert die Wirkung von Regeln und leitet read-only empfohlene Allow-Regeln ab. Die produktive Erzwingung auf der Rechner-Firewall folgt erst nach Host-Validierung und ist noch nicht aktiv. Heute unterstützt Obhut die Segmentierung damit als geprüfte, nachvollziehbare Vorbereitung, nicht als bereits laufende Durchsetzung.

Im Anfragepfad prüft die Edge WAF-Regeln, API-Verträge, Body-Schemas und Anfragengrenzen und bewertet das Bot-Risiko. Auffällige Anfragen werden erlaubt, abgelehnt, protokolliert, begrenzt oder herausgefordert und dabei als Ereignis erfasst. Das unterstützt die von NIS2 geforderte Angriffserkennung und Vorfallbehandlung auf der Anwendungs- und API-Ebene.

Obhut hält Zugriffs- und Blockierungsentscheidungen signiert und verkettet, sodass Manipulation erkennbar wird, und stellt Evidenzpakete, SIEM-Export und eine Kontrollsicht bereit. Damit lassen sich technische Maßnahmen gegenüber Prüfern belegen und Vorfälle aufbereiten. Die formale Meldung an das BSI bleibt ein organisatorischer Prozess in Ihrer Verantwortung.

Nein. Obhut ist vor der eigenen Launch- und Zertifizierungsphase; vertragliche Zusagen folgen nach rechtlicher Prüfung. Die Website benennt den aktuellen Subprozessorenstand mit Zweck, Standort, Datenkategorien und AVV-Status transparent auf der Vertrauensseite. Wir behaupten keinen Reifegrad, den wir nicht belegen können.

Nein. Obhut ist keine Rechtsberatung und ersetzt kein Informationssicherheits-Managementsystem. Obhut deckt die Anwendungssicherheits-Schicht ab und macht dort Maßnahmen technisch umsetzbar und prüfbar. Governance, Risikomanagement der Lieferkette, Business Continuity und Schulungen bleiben Ihre organisatorischen Aufgaben.

NIS2-Maßnahmen im Anwendungspfad umsetzen und belegen.

Starten Sie kostenlos und sichern Sie Ihre erste Anwendung mit Obhut — oder prüfen Sie zuerst auf der Vertrauensseite, wie Obhut Nachweise und Datenflüsse offenlegt.