Welche Unternehmen sind von NIS2 betroffen?

NIS2 gilt für Unternehmen aus "wesentlichen" und "wichtigen" Sektoren, wie Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung, digitale Anbieter und Forschung. Betroffen sind in der Regel Organisationen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Auch IT-Dienstleister und Lieferanten kritischer Einrichtungen können unter NIS2 fallen.

Welche Fristen gelten für die Umsetzung?

Die EU-Vorgabe zur Umsetzung in nationales Recht endete am 17. Oktober 2024. In Deutschland wird das NIS2-Umsetzungsgesetz voraussichtlich erst im Frühjahr 2025 in Kraft treten. Unternehmen sollten sich dennoch jetzt vorbereiten, da nach Inkrafttreten mit schnellen Kontrollen und ggf. kurzen Übergangsfristen zu rechnen ist.

Was ist der Unterschied zwischen "wesentlichen" und "wichtigen" Einrichtungen?

"Wesentliche Einrichtungen" sind große Unternehmen (meist ab 250 Mitarbeitenden oder 50 Mio. € Umsatz) in kritischen Sektoren. "Wichtige Einrichtungen" sind mittlere Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) in denselben Sektoren. Die Einstufung entscheidet über die Höhe möglicher Sanktionen und die Intensität der staatlichen Aufsicht.

Wie kann ich feststellen, ob mein Unternehmen betroffen ist?

Prüfen Sie Branche, Unternehmensgröße und Kritikalität Ihrer Leistungen. Die meisten mittleren und großen Unternehmen in den genannten Sektoren sind betroffen. Im Zweifel empfiehlt sich eine Gap-Analyse oder externe Beratung, um Risiken und Pflichten zu klären und Haftung zu vermeiden.

Welche Sanktionen drohen bei Nichteinhaltung?

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für "wichtige" Einrichtungen gelten bis zu 7 Mio. € oder 1,4 %. Zusätzlich sind persönliche Sanktionen gegen die Geschäftsleitung möglich, z. B. Managementausschluss bei grober Fahrlässigkeit.

Was sind die wichtigsten neuen Anforderungen?

Zentrale Neuerungen sind: verpflichtendes Risikomanagement, erweiterte Meldepflichten (Vorfallmeldung binnen 24 Stunden), umfassende Dokumentations- und Nachweispflichten, regelmäßige Überprüfungen/Audits, stärkere Einbindung und Haftung der Geschäftsführung, Sicherheit in der Lieferkette sowie Schulungen und technische Mindestmaßnahmen wie Verschlüsselung.

Wie verhält sich NIS2 zu anderen Regulierungen wie DSGVO?

NIS2 ergänzt Regelwerke wie die DSGVO. Während die DSGVO den Schutz personenbezogener Daten regelt, fokussiert NIS2 auf die Cybersicherheit von Netz- und Informationssystemen. Es gibt Überschneidungen bei Risikomanagement, Sicherheitsmaßnahmen und Meldepflichten. Ein integrierter Compliance-Ansatz ist ratsam, um Doppelarbeit zu vermeiden.

Gibt es branchenspezifische Besonderheiten bei der Umsetzung?

Ja, für einzelne Sektoren wie Energie, Gesundheit, Transport oder Finanzwesen gelten teils zusätzliche Vorgaben oder Schnittstellen zu anderen Regulierungen (z.B. KRITIS, EnWG, DORA). Unternehmen sollten prüfen, welche branchenspezifischen Anforderungen zusätzlich zur NIS2-Richtlinie zu erfüllen sind.

Was sind die wichtigsten Anforderungen an das Risikomanagement?

Das Risikomanagement muss alle IT-Systeme, Prozesse und Lieferanten umfassen, die für die Erbringung Ihrer Dienste relevant sind. Es sind regelmäßige Risikoanalysen, die Umsetzung angemessener technischer und organisatorischer Maßnahmen sowie die kontinuierliche Überprüfung der Wirksamkeit vorgeschrieben. Auch die Sicherheit der Lieferkette ist explizit zu berücksichtigen.

Welche Nachweis- und Dokumentationspflichten bestehen?

Unternehmen müssen die Umsetzung aller technischen und organisatorischen Maßnahmen dokumentieren und auf Anfrage der Aufsichtsbehörde (z.B. BSI) nachweisen. Für Betreiber kritischer Anlagen sind regelmäßige Prüfungen und Nachweise vorgeschrieben, für andere Einrichtungen Stichproben und umfassende Dokumentationspflichten.

Wie funktionieren die neuen Meldepflichten bei Sicherheitsvorfällen?

Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden an die zuständige Behörde (in Deutschland das BSI) gemeldet werden. Eine detailliertere Meldung folgt binnen 72 Stunden, ein Abschlussbericht binnen eines Monats. Die Meldung erfolgt über zentrale Meldestellen und umfasst Informationen zu Art, Umfang und Auswirkungen des Vorfalls sowie getroffene Gegenmaßnahmen.

Welche Incident-Response-Prozesse sind erforderlich?

Unternehmen müssen strukturierte Incident-Response-Pläne entwickeln, die klare Rollen, Verantwortlichkeiten und Eskalationswege definieren. Diese umfassen Erkennung, Bewertung, Eindämmung, Beseitigung und Wiederherstellung nach Sicherheitsvorfällen. Regelmäßige Tests und Übungen der Notfallpläne sind verpflichtend, ebenso die Dokumentation aller Aktivitäten für spätere Analysen.

Welche Pflichten und Haftungsrisiken hat die Geschäftsleitung?

Die Geschäftsleitung ist für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich. Bei grober Pflichtverletzung drohen persönliche Sanktionen, etwa Bußgelder oder ein temporäres Verbot, Leitungsfunktionen auszuüben. Eine aktive Einbindung und regelmäßige Schulung der Geschäftsführung sind daher unerlässlich.

Welche Rolle spielen Compliance-Beauftragte bei der NIS2-Umsetzung?

Compliance-Beauftragte koordinieren die NIS2-Implementierung, führen Gap-Analysen durch und entwickeln Maßnahmenpläne. Sie überwachen die Einhaltung der Anforderungen, erstellen die erforderliche Dokumentation und fungieren als Schnittstelle zu Behörden. Ihre Aufgabe ist es auch, bestehende Compliance-Strukturen (wie DSGVO) mit NIS2-Anforderungen zu harmonisieren.

Wie unterstützt die Interne Revision bei der NIS2-Compliance?

Die Interne Revision entwickelt NIS2-spezifische Prüfstandards und führt regelmäßige Audits der Cybersicherheitsmaßnahmen durch. Sie bewertet die Wirksamkeit implementierter Kontrollen, prüft die Vollständigkeit der Dokumentation und identifiziert Schwachstellen im Compliance-System. Ihre unabhängige Bewertung hilft dabei, Risiken frühzeitig zu erkennen und die kontinuierliche Verbesserung zu fördern.

Wie sind externe Dienstleister in die NIS2-Compliance einzubeziehen?

Externe Dienstleister müssen vertraglich zu NIS2-konformen Sicherheitsmaßnahmen verpflichtet werden. Unternehmen sind für die regelmäßige Überprüfung und Bewertung ihrer kritischen Lieferanten verantwortlich. Dies umfasst Due-Diligence-Prüfungen, kontinuierliches Monitoring und die Etablierung von Notfallplänen für den Ausfall wichtiger Dienstleister. Die Lieferkettensicherheit wird zu einem zentralen Compliance-Element.

NIS2-Compliance Roadmap für KMU

Phase 1: Basis-Setup und Betroffenheitsprüfung

Realistische Dauer: 3-6 Monate

Fundamentale Grundlagen schaffen und rechtliche Klarheit erlangen

Rechtliche Betroffenheitsprüfung

Endgültige Klärung der NIS2-Betroffenheit durch Rechtsexperten - nicht nur durch Selbsttest.

Rechtsanwaltliche Prüfung der NIS2-Betroffenheit

Einstufung als wesentliche/wichtige Einrichtung klären

Abgrenzung zu anderen Compliance-Pflichten (DORA, CRA)

Entwicklungen des deutschen Umsetzungsgesetzes verfolgen

Projekt-Setup & Governance

Aufbau der Projektorganisation und Sicherstellung der Geschäftsführungsunterstützung.

NIS2-Projektleiter und Kernteam benennen

Geschäftsführungs-Commitment und Budget sichern

Externe Beratung/Unterstützung beauftragen

Projektplan und Meilensteine definieren

Initial Gap-Analysis

Erste Bestandsaufnahme der vorhandenen IT-Sicherheitsmaßnahmen gegenüber NIS2-Anforderungen.

Inventarisierung kritischer IT-Systeme und Daten

Bewertung bestehender IT-Sicherheitsmaßnahmen

Identifikation der größten Compliance-Lücken

Erste Kostenschätzung für NIS2-Compliance

Phase 2: ISMS-Aufbau und Dokumentation

Realistische Dauer: 12-18 Monate

Aufbau eines funktionsfähigen Informationssicherheits-Managementsystems - die zeitaufwändigste Phase

ISMS nach ISO 27001

Systematischer Aufbau eines Informationssicherheits-Managementsystems als NIS2-Grundlage.

ISMS-Geltungsbereich und -Politik definieren

Asset-Inventar und Schutzbedarfsfeststellung

Risikoanalyse und -bewertung durchführen

Statement of Applicability (SoA) erstellen

Richtlinien & Prozesse

Entwicklung der erforderlichen Dokumentation für NIS2-konforme Sicherheitsprozesse.

IT-Sicherheitsrichtlinie und Verfahrensanweisungen

Incident-Response-Plan und Meldeverfahren

Business-Continuity- und Notfallpläne

Supply-Chain-Security-Richtlinien

Rollen & Verantwortlichkeiten

Aufbau der organisatorischen Strukturen für nachhaltige NIS2-Compliance.

IT-Sicherheitsbeauftragten (CISO) benennen/einstellen

Sicherheitsteam aufbauen oder erweitern

Geschäftsführungs-Schulungen durchführen

Rollenbasierte Zugriffs- und Berechtigungskonzepte

Phase 3: Technische Maßnahmen und Implementierung

Realistische Dauer: 8-15 Monate

Umsetzung der technischen und organisatorischen Maßnahmen - läuft parallel zu Phase 2

Cyber-Sicherheitsmaßnahmen

Implementierung der technischen Sicherheitsinfrastruktur gemäß NIS2-Anforderungen.

Security Monitoring (SIEM/SOC) aufbauen

Multi-Faktor-Authentifizierung (MFA) flächendeckend

Backup- und Recovery-Systeme modernisieren

Netzwerksegmentierung und Zero-Trust-Architektur

Vulnerability Management etablieren

Incident Response & BCM

Aufbau operativer Fähigkeiten für Sicherheitsvorfälle und Business Continuity.

24/7 Incident-Response-Fähigkeiten aufbauen

Meldeverfahren an BSI implementieren (24h/72h/30d)

Crisis-Communication-Prozesse etablieren

Business Continuity Tests durchführen

Forensik-Fähigkeiten aufbauen oder outsourcen

Supply Chain Security

Sicherstellung der Lieferanten- und Partnersicherheit - oft unterschätzter Aufwand.

Lieferanten-Risikobewertung durchführen

IT-Sicherheitsklauseln in Verträge einarbeiten

Regelmäßige Supplier-Audits etablieren

Software-Composition-Analysis (SCA) einführen

Third-Party Risk Management aufbauen

Phase 4: BSI-Registrierung und Compliance-Nachweis

Realistische Dauer: 3-6 Monate

Formale Registrierung und Nachweis der NIS2-Compliance gegenüber Behörden

BSI-Registrierung

Anmeldung beim BSI als NIS2-pflichtige Einrichtung innerhalb von 3 Monaten nach Inkrafttreten.

Registrierungsunterlagen für BSI vorbereiten

Selbstbewertung der NIS2-Betroffenheit dokumentieren

Kontaktpersonen und Meldewege festlegen

Fristgerechte Anmeldung beim BSI durchführen

Compliance-Dokumentation

Zusammenstellung aller Nachweise für die NIS2-Compliance-Dokumentation.

Maßnahmen-Katalog nach NIS2-Anforderungen

Risikobewertung und -behandlung dokumentieren

Incident-Response-Fähigkeiten nachweisen

Supply-Chain-Security-Maßnahmen belegen

Testing & Validation

Überprüfung und Test der implementierten Maßnahmen vor der finalen Compliance-Erklärung.

Penetrationstests durch externe Dienstleister

Incident-Response-Übungen (Tabletop + Live)

Business-Continuity-Tests durchführen

Internal Audit der NIS2-Compliance

Phase 5: Kontinuierlicher Betrieb und Verbesserung

Dauer: Kontinuierlich

NIS2-Compliance ist kein Projekt, sondern ein Dauerbetrieb - hier entscheidet sich der langfristige Erfolg

Security Operations

24/7-Betrieb der Sicherheitsinfrastruktur und kontinuierliche Bedrohungsüberwachung.

SOC-Betrieb oder Managed Security Services

Threat Intelligence und Threat Hunting

Regelmäßige Vulnerability Assessments

Kontinuierliche Compliance-Überwachung

Reporting & Audits

Regelmäßige Berichterstattung an BSI und interne Stakeholder sowie Management von Audits.

Jährliche Compliance-Berichte an BSI

Incident-Meldungen (24h/72h/30 Tage Fristen)

BSI-Audits (alle 3 Jahre für kritische Anlagen)

Management-Reporting und KPI-Tracking

Kontinuierliche Verbesserung

Anpassung an neue Bedrohungen, Technologien und sich ändernde regulatorische Anforderungen.

Jährliche Risikoneubewertung und ISMS-Review

Anpassung an neue NIS2-Entwicklungen/Updates

Technology Refresh und Security Tool Updates

Mitarbeiter-Weiterbildung und Security Awareness

Realistische Kosten- und Ressourcenschätzung (24-36 Monate)

Kleinere Unternehmen

50-250 Mitarbeiter

Externe Beratung: 80-200k €

Technology & Tools: 50-150k €

Interne Ressourcen: 1.5-2.5 FTE

Zeitrahmen: 18-24 Monate

Mittlere Unternehmen

250-1000 Mitarbeiter

Externe Beratung: 200-500k €

Technology & Tools: 150-400k €

Interne Ressourcen: 3-5 FTE

Zeitrahmen: 24-30 Monate

Große Unternehmen

1000+ Mitarbeiter

Externe Beratung: 400-1000k €

Technology & Tools: 300-1000k €

Interne Ressourcen: 5-10 FTE

Zeitrahmen: 30-36 Monate

Erfolgsfaktoren für nachhaltige NIS2-Compliance

Management Buy-in

Geschäftsführung muss die strategische Bedeutung verstehen und entsprechend investieren.

Kompetente Teams

Investition in qualifizierte IT-Sicherheitsexperten - intern oder extern.

Prozess-Integration

Sicherheit wird Teil der normalen Geschäftsprozesse - nicht Zusatzaufwand.

Kontinuierlichkeit

Compliance ist Marathon, kein Sprint - langfristige Planung ist entscheidend.

Ihre maßgeschneiderte NIS2-Roadmap, praxisnah und umsetzbar

Setzen Sie auf fundierte Beratung statt auf leere Versprechen: Wir begleiten Ihr Unternehmen mit langjähriger Erfahrung und realistischem Blick bei der erfolgreichen Umsetzung der NIS2-Anforderungen – individuell, transparent und lösungsorientiert.

Kostenlose Erstberatung

Roadmap für eine NIS2-Compliance

Praxisorientierte Umsetzung von NIS2

Phase 1: Basis-Setup und Betroffenheitsprüfung

Rechtliche Betroffenheitsprüfung

Projekt-Setup & Governance

Initial Gap-Analysis

Realitäts-Check Phase 1

Phase 2: ISMS-Aufbau und Dokumentation

ISMS nach ISO 27001

Richtlinien & Prozesse

Rollen & Verantwortlichkeiten

Kritischer Erfolgsfaktor

Phase 3: Technische Maßnahmen und Implementierung

Cyber-Sicherheitsmaßnahmen

Incident Response & BCM

Supply Chain Security

Häufige Fallstricke in Phase 3

Phase 4: BSI-Registrierung und Compliance-Nachweis

BSI-Registrierung

Compliance-Dokumentation

Testing & Validation

Meilenstein erreicht

Phase 5: Kontinuierlicher Betrieb und Verbesserung

Security Operations

Reporting & Audits

Kontinuierliche Verbesserung

Langfristige Erfolgsfaktoren

Realistische Kosten- und Ressourcenschätzung (24-36 Monate)

Kleinere Unternehmen

Mittlere Unternehmen

Große Unternehmen

Kostentreiber und versteckte Aufwände

Oft unterschätzt:

Realistische Planungspuffer:

Erfolgsfaktoren für nachhaltige NIS2-Compliance

Management Buy-in

Kompetente Teams

Prozess-Integration

Kontinuierlichkeit

Ihre maßgeschneiderte NIS2-Roadmap, praxisnah und umsetzbar

Rechtliche Betroffenheitsprüfung

Projekt-Setup & Governance

Initial Gap-Analysis

Realitäts-Check Phase 1

ISMS nach ISO 27001

Richtlinien & Prozesse

Rollen & Verantwortlichkeiten

Kritischer Erfolgsfaktor

Cyber-Sicherheitsmaßnahmen

Incident Response & BCM

Supply Chain Security

Häufige Fallstricke in Phase 3

BSI-Registrierung

Compliance-Dokumentation

Testing & Validation

Meilenstein erreicht

Security Operations

Reporting & Audits

Kontinuierliche Verbesserung

Langfristige Erfolgsfaktoren

Realistische Kosten- und Ressourcenschätzung (24-36 Monate)

Kleinere Unternehmen

Mittlere Unternehmen

Große Unternehmen

Kostentreiber und versteckte Aufwände

Oft unterschätzt:

Realistische Planungspuffer:

Erfolgsfaktoren für nachhaltige NIS2-Compliance

Management Buy-in

Kompetente Teams

Prozess-Integration

Kontinuierlichkeit

Ihre maßgeschneiderte NIS2-Roadmap, praxisnah und umsetzbar

Cookie-Einstellungen

Cookie-Einstellungen verwalten

Technisch notwendig

Verwendete Cookies (3)

PHP Session Cookie (PHPSESSID)

CSRF-Schutz-Token

SecuraTrust Cookie Consent

Optionale Features

LocalStorage-Features (Browser-lokale Speicherung)

DSGVO-Checklisten Fortschritt (LocalStorage)