Skip to main content
DE · BSI

BSI NIS2 E-Mail-Sicherheitscheck

Prüfen Sie Ihre Domain gegen die BSI-Grundschutz-Bausteine NET.4.2, NET.4.3 und CON.5. Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft (BSI-Registrierung läuft, Frist ca. 6. März 2026). Mit deutscher Auditor-Sprache und §-Verweisen auf das NIS2UmsuCG.

Warum jetzt

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) setzt die EU-Richtlinie 2022/2555 in deutsches Recht um. Seit dem 6. Dezember 2025 ist das Gesetz in Kraft; die BSI-Registrierung läuft (Frist ca. 6. März 2026) über das BSI-Portal. Rund 29.500 Einrichtungen fallen unter die Aufsicht des BSI — von Energieversorgern und Krankenhäusern bis zu Mittelständlern mit über 50 Mitarbeitenden in einem der 18 betroffenen Sektoren.

Die NIS2-Umsetzung läuft EU-weit; die Aufsichtsbehörden bauen ihre Prüfpraxis im Laufe des Jahres 2026 auf. Auditor:innen orientieren sich am BSI-Grundschutz-Kompendium — insbesondere an den Bausteinen für E-Mail-Sicherheit. Dieses Tool prüft, ob Ihre Domain die zentralen DNS-basierten Anforderungen erfüllt.

Was wird geprüft

  • NET.4.2 — VoIP- und E-Mail-SicherheitDMARC und SPF sind die Standardmaßnahmen gegen E-Mail-Spoofing und werden in A1 (Sender Policy) und A2 (Aggregat-Reporting) konkretisiert.
  • NET.4.3 — Sichere E-Mail-ÜbertragungMTA-STS im enforce-Modus (A3) und TLS-RPT (A5) erfüllen die Anforderung an Transportverschlüsselung mit Monitoring-Schicht.
  • CON.5 — Sichere Datenübermittlung — DNSSEC (A6) schützt die Integrität der DMARC-, SPF- und MTA-STS-Einträge gegen DNS-Spoofing.

BSI-Baustein-Mapping im Detail

BausteinAnforderungGeprüfte Kontrolle
NET.4.2 A1Festlegung autorisierter VersandquellenSPF-Eintrag mit Hard- oder Soft-Fail-Qualifier
NET.4.2 A2Authentizität von E-Mails sicherstellenDMARC mit Policy quarantine oder reject
NET.4.3 A3Transportverschlüsselung erzwingenMTA-STS im enforce-Modus
NET.4.3 A5Überwachung der TLS-FehlerTLS-RPT-Eintrag mit Berichtsadresse
CON.5 A6Integrität der DNS-AntwortenDNSSEC für autoritatives DNS aktiviert

Was dieses Tool nicht abdeckt

Die NIS2-Anforderungen umfassen weit mehr als E-Mail-Sicherheit — Risikomanagement (§ 30 NIS2UmsuCG), Vorfallmeldungen (§ 32), Business Continuity, Zugangskontrolle und Mehr-Faktor-Authentifizierung sind organisatorische und prozessuale Kontrollen, die per DNS nicht messbar sind. Nutzen Sie diesen Scorecard als Nachweisbaustein für den E-Mail-Teil eines NIS2-Audits, nicht als vollständige NIS2-Gap-Analyse.

Die englischsprachige NIS2 Email Authentication Readiness Scorecard bietet das gleiche Mapping mit Verweisen auf Artikel 21 §2 der Richtlinie selbst — nützlich für grenzüberschreitende Teams.

Datenschutz

Alle Prüfungen laufen vollständig in Ihrem Browser über Cloudflare DoH. Es werden keine Daten an unsere Server übertragen und nichts gespeichert. Keine Registrierung erforderlich.

Read the complete DE · BSI guide to learn more.

Related Tools

EU · NIS2 NIS2 Readiness Scorecard English Edition mit Verweisen auf Artikel 21 §2 der Richtlinie. DE · DORA DORA E-Mail-Sicherheitscheck Für Finanzunternehmen: DORA Art. 9-11 statt NIS2-Allgemein. DMARC DMARC Record Checker DMARC-Eintrag prüfen und Policy bestätigen.

Get the full picture with DMARCguard

Continuous monitoring, aggregate report parsing, and actionable insights for all your email authentication protocols.

Start Free