THINK SAFE. THINK ICS.
NIS2 verstehen und umsetzen
Erfahren Sie, wie die NIS2-Richtlinie Unternehmen besser vor modernen Cyberangriffen schützen soll und wie das ohne endlosen Aufwand gelingt.
Sind wir von NIS2 betroffen? Was müssen wir tun? Und wie gelingt das ohne endlosen Aufwand?
Viele Unternehmen stehen derzeit vor denselben Herausforderungen: Gilt die NIS2-Richtlinie oder der Cyber Resilience Act für uns? Welche konkreten Pflichten ergeben sich daraus? Und wie lassen sich diese sicher, effizient und praxisnah umsetzen?
Wir liefern Ihnen klare und verständliche Antworten, praxisnah erklärt, direkt umsetzbar und genau auf Ihre Situation zugeschnitten. Mit unserem kostenlosen Betroffenheits-Check und einer individuellen Beratung erhalten Sie genau die Unterstützung, die Sie für Ihre nächsten Schritte brauchen.
Die wichtigsten Fragen zur NIS2-Richtlinie verständlich erklärt
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (EU 2022/2555) ist ein EU-weites Gesetz zur Stärkung der Cyberresilienz kritischer und wichtiger Einrichtungen. Im Vergleich zur bisherigen NIS1 ist sie deutlich umfassender, für weit mehr Unternehmen relevant, und mit strengeren Auflagen und höheren Bußgeldern verbunden.
In Deutschland wird NIS2 durch das NIS2UmsuCG umgesetzt, mit Inkrafttreten voraussichtlich 2025. Änderungen im Gesetzgebungsverfahren sind übrigens noch möglich.
Bin ich von NIS2 betroffen?
Die Betroffenheit richtet sich nach:
- Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme)
- Branche (gemäß Anhängen I & II der NIS2)
- Kritikalität der Dienstleistung
Typische Schwellenwerte:
|
Einrichtung |
Mitarbeitende |
Umsatz + Bilanzsumme |
|
Besonders wichtig |
≥ 250 |
> 50 Mio. € & > 43 Mio. € |
|
Wichtig |
≥ 50 |
> 10 Mio. € & > 10 Mio. € |
Welche Branchen sind von NIS2 betroffen?
Kritische Versorgungsinfrastruktur
• Energie
• Wasser/Abwasser
• Abfall
• Banken/Versicherungen
• Verkehr
• Kommunen
Gesundheit und öffentliche Verwaltung
• Gesundheitswesen
• Verwaltung
• Justiz
• Hochschulen
Digitale Infrastruktur und IT-Dienstleistungen
• IT-Dienstleister
• Cloud
• Hosting
• Rechenzentren
• Digitalisierung
Industrie und produzierende Wirtschaft
• Maschinenbau
• Lebensmittel
• Chemie
• Pharma
• Raumfahrt
Welche Pflichten gelten nach Inkrafttreten?
Wichtig: Die Pflichten aus der NIS2-Richtlinie greifen nicht erst nach einer offiziellen Prüfung oder behördlichen Einstufung, sondern ab dem Zeitpunkt, an dem ein Unternehmen objektiv als „betroffen“ gilt. Jedes betroffene Unternehmen muss sich aktiv mit Informationssicherheit beschäftigen.
Auch wenn bereits ein ISMS (Informationssicherheits-Managementsystem) vorhanden ist, kann es sein, dass zusätzliche Maßnahmen nötig sind – zum Beispiel, wenn das ISMS nur einen Teilbereich abdeckt. Denn: NIS2 gilt für das gesamte Unternehmen und schreibt verbindliche Sicherheitsmaßnahmen vor.
|
Maßnahme |
Frist |
|
Registrierung beim BSI |
3 Monate |
|
Umsetzung technischer Maßnahmen |
21 Monate |
|
Betriebsbereitschaft (ISMS, SOC, etc.) |
24 Monate |
Was passiert wenn man sich nicht an NIS2 hält?
Die NIS2-Richtlinie sieht deutlich höhere Bußgelder vor als die bisherige NIS-Richtlinie. In Deutschland könnten diese laut Umsetzungsgesetz wie folgt ausfallen:
Bußgelder:
Die NIS2-Richtlinie sieht deutlich höhere Bußgelder vor als die bisherige NIS-Richtlinie. In Deutschland könnten diese laut Umsetzungsgesetz wie folgt ausfallen
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist), insbesondere für wesentliche Einrichtungen bei groben Verstößen.
Haftung von Geschäftsleitungen:
Die Richtlinie nimmt Führungskräfte explizit in die Pflicht. Bei Nichteinhaltung drohen persönliche Haftungsrisiken, z. B. wegen Organisationsverschulden (§ 130 OWiG).
Verlust von Aufträgen oder Zulassungen:
Unternehmen, die nicht NIS2-konform arbeiten, könnten:
- Ausschreibungen oder Zertifizierungen verlieren
- Kooperationspartner oder Kunden verlieren, die selbst NIS2-pflichtig sind und Konformität einfordern
Was muss bei NIS2 gemacht werden?
- Multi Factor Authentifizierung & Zugriffsmanagement
- Verschlüsselung & Netzsegmentierung
- Schwachstellenmanagement & Patching
- Awareness-Trainings
- ISMS nach ISO 27001
- Lieferkettensicherheit
- Business Continuity / Disaster Recovery
- ggf. Security Operation Center (SOC)
Meldepflichten:
- 24h: Erstmeldung
- 72h: Statusbericht
- 30 Tage: Abschlussbericht mit Ursachenanalyse
Wie müssen die Nachweispflichten und Prüfanforderungen der NIS2 erfüllt werden?
- Managementverantwortung für Cybersicherheit
- Dokumentation & Prüfbarkeit gegenüber Behörden
- Anordnung & Durchführung von Prüfungen durch das BSI
~ 80%
der Unternehmen bzw. Entscheidungsträger berichten von Schwierigkeiten bei der Einhaltung regulatorischer Compliance-Vorgaben.
~ 60%
der Unternehmen geben an, dass ihre manuellen Prozesse nicht mehr ausreichen, um die stätig steigenden Anforderungen zu genügen.
~ 2%
des Jahresumsatzes zahlen Unternehmen bei Verstößen gegen Compliance-Vorgaben, zusätzlich drohen erhebliche Reputationsschäden.
Was ist der Cyber Resilience Act (CRA)?
Der CRA betrifft Hersteller und Anbieter digitaler Produkte. Er fordert, dass Produkte "secure by design" entwickelt, getestet und dokumentiert werden – inkl. Schwachstellenmanagement und Updateprozessen.
Schnittstelle zu NIS2:
Betreiber nach NIS2 und Hersteller nach CRA sind gleichermaßen gefordert, sicherheits- und risikobasiert zu handeln. Dazu gehören unter anderem ein wirksames Sicherheitsmanagement (ISMS), regelmäßig durchgeführte Risikoanalysen, eine nachvollziehbare technische Dokumentation sowie, im Fall von Herstellern, Produktnachweise zur Sicherheit digitaler Komponenten. Ziel ist es, Cyberrisiken systematisch zu identifizieren, geeignete Schutzmaßnahmen umzusetzen und die Einhaltung gesetzlicher Anforderungen nachweisbar zu machen.
Von der Analyse bis zur Umsetzung – NIS2 aus einer Hand.
Statt Einzelmodule von verschiedenen Anbietern zu koordinieren, bekommen Sie bei ICS einen durchgängigen NIS2-Fahrplan mit klaren Zuständigkeiten, messbaren Fortschritten und operativer Unterstützung.
Wie unterstützt ICS bei NIS2?
Kostenloser Betroffenheitscheck
Unser Betroffenheitscheck ist der Einstieg in eine strukturierte und nachvollziehbare NIS2-Umsetzung.
NIS2-Reifegradbewertung & GAP Analyse
z. B. gegen ISO 27001, IEC 62443) inkl. Umsetzungsplanung mit priorisierten Maßnahmen
Begleitung bei ISMS-Einführung & -Betrieb
Wir unterstützen Sie beim Aufbau und Betrieb eines ISMS, das zu Ihren Strukturen passt und auditfähig ist.
NIS2 Schulung für Fachbereiche & Management
Wir vermitteln die Anforderungen der NIS2-Richtlinie verständlich und anwendungsbezogen für Management, IT und Fachverantwortliche.
Penetration Testing & Schwachstellenanalyse (kostenlos)
Unsere Analyse zeigt, ob Ihre Systeme potenziell angreifbar sind und wo akuter Handlungsbedarf besteht.
Automatisierte Risikoanalyse mit SECIRA
SECIRA hilft bei der strukturierten Risikoanalyse nach NIS2 und bildet die Grundlage für ein auditfähiges ISMS.