Die Pflicht in einem Satz
Artikel 21 Absatz 2 Buchstabe j der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) verlangt von wesentlichen und wichtigen Einrichtungen in 18 EU-Sektoren die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung". Wesentliche Einrichtungen, die dies ignorieren, riskieren Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Artikel 21 Absatz 2 listet zehn Mindestmaßnahmen des Cybersicherheits-Risikomanagements auf, Buchstaben a bis j, die jede erfasste Einrichtung auf Basis eines gefahrenübergreifenden Ansatzes (all-hazards) umsetzen muss. Buchstabe j — oben wörtlich aus dem amtlichen EUR-Lex-Text zitiert [1] — ist der einzige Punkt der Liste, der eine konkrete Klasse von Geschäftsanwendungen benennt: Sprach-, Video- und Textkommunikation. Das Abhören interner Kommunikation wird als Risiko erster Ordnung behandelt, auf derselben Liste wie Vorfallsbewältigung und Lieferkettensicherheit.
Der Zusatz „gegebenenfalls" ist eine Verhältnismäßigkeitsklausel, keine Befreiung. Artikel 21 Absatz 1 verlangt Maßnahmen, die der Risikoexposition der Einrichtung, ihrer Größe und der wahrscheinlichen Schwere von Sicherheitsvorfällen — einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen — „geeignet und verhältnismäßig" sind [1]. Eine Einrichtung, die gesicherte Kommunikation für sich als nicht erforderlich einstuft, trägt die Last, diese Begründung zu dokumentieren — und sie vor der Aufsichtsbehörde zu verteidigen, womöglich nachdem ein Abhörvorfall bereits eingetreten ist.
Wer betroffen ist: zwei Kategorien, 18 Sektoren
NIS 2 gilt für „wesentliche" und „wichtige" Einrichtungen, bestimmt nach Sektor, Kritikalität und in der Regel Unternehmensgröße. Anhang I nennt elf Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Anhang II ergänzt sieben weitere kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung [1].
Der Zeitplan ist längst nicht mehr theoretisch. Die Mitgliedstaaten mussten die Richtlinie bis zum 17. Oktober 2024 umsetzen und die Maßnahmen ab dem 18. Oktober 2024 anwenden (Artikel 41); die nationalen Listen wesentlicher und wichtiger Einrichtungen waren bis zum 17. April 2025 zu erstellen (Artikel 3 Absatz 3) [1]. Die Umsetzung verzögerte sich in weiten Teilen der Union: Am 28. November 2024 eröffnete die Europäische Kommission Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten wegen nicht fristgerechter vollständiger Umsetzung von NIS 2 [4]. Verspätete nationale Gesetze verschoben in einigen Ländern den Beginn der Durchsetzung — am Inhalt der Pflichten änderten sie nichts.
Italien: Gesetzesdekret 138/2024 und die ACN
Italien hat vor Fristablauf umgesetzt. Das Gesetzesdekret Nr. 138 vom 4. September 2024 wurde in der Gazzetta Ufficiale Nr. 230 vom 1. Oktober 2024 veröffentlicht und trat am 16. Oktober 2024 in Kraft [3]. Sein Maßnahmenkatalog spiegelt Artikel 21 Absatz 2, einschließlich „comunicazioni vocali, video e testuali protette" — der amtlichen italienischen Fassung der gesicherten Sprach-, Video- und Textkommunikation.
Die Agenzia per la Cybersicurezza Nazionale (ACN) ist Italiens zuständige nationale NIS-Behörde. Erfasste Einrichtungen müssen sich jedes Jahr zwischen dem 1. Januar und dem 28. Februar auf dem digitalen Portal der ACN registrieren oder ihre Registrierung aktualisieren, mit jährlicher Datenaktualisierung zwischen dem 15. April und dem 31. Mai; laut ACN-Portal gelten die Meldepflichten für Sicherheitsvorfälle für registrierte Einrichtungen ab Januar 2026 [5]. Die Registrierung ist der Auslöser des gesamten italienischen Mechanismus: Eine Organisation, die noch nicht geprüft hat, ob sie auf diese Liste gehört, ist bereits im Rückstand.
Durchführungsverordnung 2024/2690: präzise bei MFA, stumm bei Sprache
Für Einrichtungen der digitalen Infrastruktur — DNS-Diensteanbieter, TLD-Namenregister, Cloud- und Rechenzentrumsanbieter, CDNs, Anbieter verwalteter Dienste und verwalteter Sicherheitsdienste, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdiensteanbieter — erließ die Kommission am 17. Oktober 2024 die Durchführungsverordnung (EU) 2024/2690, in Kraft seit dem 7. November 2024 [2]. Ihr Anhang übersetzt jede Maßnahme des Artikels 21 Absatz 2 in prüffähige technische Anforderungen.
Die Zuordnung für Buchstabe j ist aufschlussreich. Abschnitt 11 des Anhangs („Zugriffskontrolle") deckt die Buchstaben i und j ab und spezifiziert die Multi-Faktor-Authentifizierung im Detail (Punkt 11.7) — enthält aber keinerlei weitere technische Spezifikation der „gesicherten Sprach-, Video- und Textkommunikation" [2]. Selbst für die digital reifste Kategorie regulierter Einrichtungen existiert keine EU-weite Checkliste, die definiert, was „gesichert" für ein Telefonat bedeutet. Das ist kein Schlupfloch, sondern eine Delegation: Jede Einrichtung muss ihre eigene Definition über die Risikoanalyse herleiten und sie gegenüber ihrer Aufsichtsbehörde verteidigen können.
Was Nichteinhaltung kostet
Artikel 34 macht Verstöße gegen Artikel 21 — die Liste mit Buchstabe j — unmittelbar bußgeldbewehrt. Wesentlichen Einrichtungen drohen Geldbußen mit einem Höchstbetrag von mindestens 10 000 000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist; für wichtige Einrichtungen liegt die Obergrenze bei mindestens 7 000 000 EUR oder 1,4 % [1].
Geld ist nicht der einzige Hebel. Aufsichtsbehörden können verbindliche Anweisungen erteilen und Audits anordnen; bei wesentlichen Einrichtungen können sie Zertifizierungen oder Genehmigungen vorübergehend aussetzen und ein vorübergehendes Verbot der Wahrnehmung von Leitungsaufgaben auf Ebene des Geschäftsführers oder gesetzlichen Vertreters verlangen [1]. Und nach Artikel 20 Absatz 1 müssen die Leitungsorgane die Cybersicherheits-Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen — und können für Verstöße haftbar gemacht werden. Die Wahl des Telefonie- und Messaging-Stacks ist damit rechtlich eine Entscheidung der Unternehmensleitung.
Hinzu kommen die Meldefristen des Artikels 23: Frühwarnung innerhalb von 24 Stunden, Meldung des Sicherheitsvorfalls innerhalb von 72 Stunden [1] — Fristen, die auch dann laufen, wenn die primäre Kommunikationsinfrastruktur selbst kompromittiert ist.
Was 'gesicherte Sprachkommunikation' in der Praxis bedeutet
Die Richtlinie definiert „gesichert" nicht. Gelesen im Licht des Zwecks von Artikel 21 — dem Schutz der Netz- und Informationssysteme und der von ihnen erbrachten Dienste — ergeben sich vier Kriterien, die eine Aufsichtsbehörde vernünftigerweise prüfen wird.
Erstens: Ende-zu-Ende-Verschlüsselung (E2EE). Wird Sprache nur auf dem Transportweg verschlüsselt (TLS oder SRTP zu einer PBX oder einem Konferenzserver), liegt der Inhalt auf dem Server im Klartext vor — und wer diesen Server kontrolliert, ob Anbieter, Cloud-Betreiber oder ein Angreifer darin, kann mithören. Für Gespräche, deren Abhören einen erheblichen Sicherheitsvorfall darstellen würde, ist reine Transportverschlüsselung als „gesichert" schwer zu verteidigen. Zweitens: die Schlüsselhoheit. Die eigentliche Frage lautet, wer entschlüsseln kann: Hält der Anbieter die Schlüssel, ist Vertraulichkeit ein vertragliches Versprechen, keine technische Eigenschaft. Die Worte „innerhalb der Einrichtung" in Buchstabe j passen natürlich zu Schlüsselmaterial unter eigener Kontrolle — on-premises, souverän gehostet oder in Hardware verankert.
Drittens: authentifizierte Identität. Buchstabe j koppelt gesicherte Kommunikation und Multi-Faktor-Authentifizierung im selben Satz: Zu wissen, wer am Gespräch teilnimmt, ist Teil der Maßnahme. Da Betrug per Stimmklonen inzwischen praktikabel ist, gehört die Authentizität des Sprechers — nicht nur die Kanalverschlüsselung — ins Bedrohungsmodell. Viertens: Out-of-band-Fähigkeit. „Gesicherte Notfallkommunikationssysteme" verweisen auf einen Kanal, der verfügbar und vertrauenswürdig bleibt, wenn die primäre Infrastruktur ausgefallen oder kompromittiert ist. Bei der Reaktion auf Ransomware kann die Koordination der Wiederherstellung über genau das Netz, das der Angreifer kontrolliert, die Reaktion selbst verraten — während die 24- und 72-Stunden-Fristen des Artikels 23 weiterlaufen [1].
Eine vorausschauende Überlegung jenseits des Wortlauts von NIS 2: Verschlüsselte Gespräche können heute aufgezeichnet und in Jahren entschlüsselt werden, sobald Quantencomputer den klassischen Schlüsselaustausch brechen — das harvest-now-decrypt-later-Szenario. Für Kommunikation, deren Vertraulichkeit ein Jahrzehnt überdauern muss, ist ein Post-Quanten-Schlüsselaustausch wie das NIST-standardisierte ML-KEM eine rationale Ergänzung einer Umsetzung von Buchstabe j — auch wenn die Richtlinie ihn noch nicht verlangt.
Eine praktische Checkliste
1) Den eigenen Status klären — wesentlich, wichtig oder außerhalb des Anwendungsbereichs — und die nationale Registrierung abschließen (in Italien: ACN-Portal, 1. Januar bis 28. Februar) [5]. 2) Jeden tatsächlich genutzten Sprach-, Video- und Messaging-Kanal inventarisieren, einschließlich der inoffiziellen auf den Telefonen der Beschäftigten. 3) Gespräche nach den Folgen ihres Abhörens klassifizieren und schriftlich festlegen, wo gesicherte Kanäle erforderlich sind — mit dokumentierter Verhältnismäßigkeitsbegründung für jede Ausnahme.
4) Für jeden beibehaltenen Kanal die Ende-zu-Ende-Verschlüsselung verifizieren und klären, wer die Schlüssel hält; Schlüsselhoheit unter eigener Kontrolle bevorzugen. 5) Den Zugang zur Kommunikation an MFA-gestützte Identitäten binden. 6) Einen Out-of-band-Notfallkanal unabhängig vom Unternehmensnetz aufbauen und in Business-Continuity-Übungen testen (Artikel 21 Absatz 2 Buchstabe c). 7) Die Anforderungen über die Lieferkettensicherheit in Lieferantenverträge übertragen (Buchstabe d). 8) Billigung durch das Leitungsorgan, Schulungen und Überprüfungstermine dokumentieren (Artikel 20).
Wo hardwarebasierte Sprachverschlüsselung ihren Platz hat
Ein großer Teil des Marktes beantwortet Buchstabe j mit Software: Ende-zu-Ende-verschlüsselte Apps auf demselben Smartphone-Betriebssystem, das alles andere beherbergt. Das trägt, bis das Endgerät selbst kompromittiert ist — ein Szenario, das der gefahrenübergreifende Ansatz von NIS 2 ausdrücklich einschließt. Genau für diese Lücke ist Q-Audion von BCrypto gebaut: ein hardwareverschlüsseltes Anti-Abhör-Sprachsystem aus verschlüsseltem Ohrhörer, Android-/iOS-/Desktop-Apps, souveränem Server und Post-Quanten-VPN. Der Schlüsselaustausch nutzt ML-KEM-1024 (NIST FIPS 203), implementiert in einem Hardware-Kryptobeschleuniger, mit AES-256-GCM und einem ARM-TrustZone-M-TEE. Der zum Patent angemeldete DMA Air-Gap isoliert den Audiopfad galvanisch vom Host-Telefon: Ein dediziertes MEMS-Mikrofon sitzt in der sicheren Enklave, das Host-Betriebssystem ist nie Teil des Audiopfads — Spyware auf dem Telefon hat schlicht nichts aufzuzeichnen. On-Device-TinyML übernimmt die Anti-Deepfake-Sprecherverifikation — die Authentizitätshälfte von Buchstabe j. Das System ist BYOD-kompatibel, mit einer in der EU entworfenen Lieferkette.
Im regulatorischen Kontext zählt Ehrlichkeit: Q-Audion steht bei TRL 6 — Firmware funktional vollständig, mit KAT-gesicherter plattformübergreifender CI —, drei Patente wurden 2026 beim UIBM eingereicht, und es hält noch keine Zertifizierungen: kein FIPS 140-3, keine Common Criteria, keine Zulassung von ANSSI, BSI oder ACN. Organisationen, die heute zertifizierte Produkte benötigen, sollten das abwägen. Organisationen, die ihre Architektur nach Artikel 21(2)(j) für das nächste Jahrzehnt entwerfen — Schlüsselhoheit, Out-of-band-Fähigkeit, harvest-now-decrypt-later —, könnten in der Hardware-Isolation das tragfähigere Fundament finden. So oder so: Die Pflicht gilt bereits. Der richtige Zeitpunkt zu entscheiden, was „gesicherte Sprachkommunikation" für die eigene Einrichtung bedeutet, war der 18. Oktober 2024.