Die EU-Richtlinie NIS2 verpflichtet Unternehmen zu umfassenden Cybersicherheitsmaßnahmen. Wir begleiten Sie von der Betroffenheitsanalyse bis zur vollständigen Compliance.
Die Richtlinie definiert verbindliche Mindestanforderungen an technische und organisatorische Sicherheitsmaßnahmen.
Systematische Identifikation, Analyse und Behandlung von Cybersicherheitsrisiken mit dokumentierten Prozessen.
Prozesse zur Erkennung, Analyse, Eindämmung und Meldung von Sicherheitsvorfällen an zuständige Behörden.
Sicherstellung der Betriebskontinuität durch Backup-Management, Disaster Recovery und Krisenmanagement.
Sicherheitsanforderungen an Lieferanten und Dienstleister inklusive vertraglicher Vereinbarungen und Kontrollen.
NIS2 erweitert den Anwendungsbereich auf 18 kritische und wichtige Sektoren. Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz sind betroffen.
Strom, Gas, Öl, Fernwärme
Luft, Schiene, Straße, Wasser
Banken, Börsen, Versicherungen
Kliniken, Labore, Pharma
Rechenzentren, DNS, IXP
MSP, Cloud, Managed Security
Produktion, Lagerung, Vertrieb
Maschinen, Fahrzeuge, Elektronik
Strukturierte Begleitung von der initialen Betroffenheitsanalyse bis zur vollständigen Compliance und darüber hinaus.
Ermittlung des aktuellen Reifegrads und Definition des Handlungsbedarfs.
Umsetzung der technischen und organisatorischen Maßnahmen.
Aufbau der Dokumentation und kontinuierliche Verbesserung.
Die Umsetzungsfrist ist abgelaufen. Behörden beginnen mit Prüfungen.
NIS2-Richtlinie auf EU-Ebene in Kraft getreten
Frist zur Umsetzung in nationales Recht abgelaufen
Umsetzung der Anforderungen dringend erforderlich
Behördliche Prüfungen und Durchsetzungsmaßnahmen
Wir analysieren Ihre Betroffenheit und entwickeln einen pragmatischen Fahrplan zur Compliance.
Assessment anfragenAntworten auf die wichtigsten Fragen rund um die NIS2-Richtlinie.
Betroffen sind Unternehmen in 18 definierten Sektoren (u.a. Energie, Transport, Gesundheit, digitale Infrastruktur, IT-Dienstleister, Fertigung, Lebensmittel) ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Zusätzlich fallen bestimmte kritische Anbieter unabhängig von der Größe unter die Regelung. Die Einstufung als wesentlich oder wichtig bestimmt Prüftiefe und Sanktionshöhe. Eine Betroffenheitsanalyse anhand des NIS2-Umsetzungsgesetzes schafft Klarheit und ist Grundlage jeder weiteren Planung.
Die EU-Richtlinie war bis Oktober 2024 in nationales Recht zu überführen. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Nach Inkrafttreten gelten Registrierungs-, Melde- und Maßnahmenpflichten unmittelbar. Übergangsfristen für technische Maßnahmen sind begrenzt. Wer mit der Umsetzung erst nach Inkrafttreten startet, riskiert Lücken und Bußgelder. Empfohlen ist ein pragmatischer Fahrplan über 6 bis 12 Monate.
Artikel 21 fordert zehn Mindestmaßnahmen: Risikoanalyse, Incident-Handling, Business Continuity und Backup, Lieferkettensicherheit, Sicherheit bei Erwerb und Entwicklung, Evaluierung der Wirksamkeit, Cyberhygiene und Schulungen, Kryptografie, Personal- und Zugriffsmanagement sowie Multi-Faktor-Authentifizierung. Die Umsetzung orientiert sich am Stand der Technik, verhältnismäßig zum Risiko. ISO 27001, BSI-Grundschutz oder CISIS12 liefern anerkannte Rahmenwerke, die NIS2-Anforderungen weitgehend abdecken.
Für wesentliche Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vorgesehen - je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen riskieren bis zu 7 Millionen Euro oder 1,4 Prozent Umsatz. Zusätzlich haften Geschäftsleitungen persönlich für die Einhaltung. Bei fehlender Meldung oder mangelhafter Umsetzung kann das BSI Anordnungen erlassen, Audits durchführen und die Geschäftsleitung zwingen, Maßnahmen unverzüglich umzusetzen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentrale Aufsichtsbehörde und Meldestelle. Betroffene Unternehmen müssen sich beim BSI registrieren, Kontaktstellen benennen und Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung sowie 72 Stunden als vollständige Meldung übermitteln. Das BSI kann Prüfungen anordnen, Anweisungen erteilen und Bußgelder verhängen. Gleichzeitig stellt es Handreichungen und Standards (BSI-Grundschutz) bereit, die als praxiserprobte Umsetzungshilfe dienen.