Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Pillar Guide

NIS-2 Compliance

Die NIS-2-Richtlinie betrifft in Deutschland rund 29.500 Unternehmen. Bußgelder bis 10 Mio. EUR, persönliche Haftung der Geschäftsführung und 24h-Meldepflichten. Hier erfahren Sie alles, was Sie wissen müssen.

NIS-2-Readiness prüfen lassen Bin ich betroffen?

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (EU 2022/2555) ist die zweite Generation der EU-Gesetzgebung zur Netzwerk- und Informationssicherheit. Sie wurde am 16. Januar 2023 veröffentlicht und musste von allen EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgte die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsG).

Die Richtlinie verfolgt drei zentrale Ziele:

  • Erhöhung des Cybersicherheitsniveaus in der gesamten EU durch verbindliche Mindeststandards
  • Harmonisierung der Anforderungen zwischen den Mitgliedsstaaten für gleiche Wettbewerbsbedingungen
  • Verbesserung der Zusammenarbeit bei grenzüberschreitenden Sicherheitsvorfällen

Im Vergleich zur Vorgängerrichtlinie NIS-1 von 2016 erweitert NIS-2 den Geltungsbereich drastisch: Von rund 4.500 auf etwa 29.500 betroffene Unternehmen allein in Deutschland. Zudem verschärft sie die Sanktionen und führt eine persönliche Haftung der Geschäftsführung ein.

Wer ist von NIS-2 betroffen?

NIS-2 unterscheidet zwischen wesentlichen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities). Die Einstufung hängt vom Sektor und der Unternehmensgröße ab.

Sektoren mit hoher Kritikalität

Wesentliche Einrichtungen (Anlage I)

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser- und Abwasserversorgung
  • Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
  • IKT-Dienstleistungsmanagement (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren

Wichtige Einrichtungen (Anlage II)

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe (Medizinprodukte, Computer, Kfz, Maschinenbau)
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Größenschwelle

Betroffen sind grundsätzlich Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz. Ausnahme: Bestimmte Sektoren wie DNS-Dienste, TLD-Registries und Vertrauensdienste fallen unabhängig von der Größe unter NIS-2.

Die 10 NIS-2-Anforderungen nach Artikel 21

Artikel 21 der NIS-2-Richtlinie definiert 10 Mindestmaßnahmen, die betroffene Unternehmen umsetzen müssen. Diese decken technische und organisatorische Maßnahmen ab.

1

Risikoanalyse und Sicherheitskonzepte

Systematische Analyse der Informationssicherheitsrisiken und Ableitung von Sicherheitskonzepten für Informationssysteme.

2

Bewältigung von Sicherheitsvorfällen

Prozesse zur Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle (Incident Response).

3

Business Continuity und Krisenmanagement

Backup-Management, Disaster Recovery und Krisenmanagement zur Aufrechterhaltung des Betriebs.

4

Sicherheit der Lieferkette

Bewertung und Management der Cybersicherheitsrisiken in der gesamten Lieferkette und bei Dienstleistern.

5

Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheitsanforderungen bei Beschaffung, Entwicklung und Wartung von Netz- und Informationssystemen.

6

Bewertung der Wirksamkeit

Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.

7

Cyberhygiene und Schulungen

Grundlegende Verfahren der Cyberhygiene und regelmäßige Schulungen zur Cybersicherheit für alle Mitarbeitenden.

8

Kryptographie

Konzepte und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung.

9

Personalsicherheit und Zugangskontrollen

Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Vermögenswerten.

10

Multi-Faktor-Authentifizierung

Verwendung von MFA, gesicherten Kommunikationssystemen und gesicherten Notfallkommunikationssystemen.

Bußgelder und persönliche Haftung

NIS-2 führt empfindliche Sanktionen ein - sowohl für Unternehmen als auch für die Geschäftsführung persönlich.

Wesentliche Einrichtungen

10 Mio. EUR

oder 2 % des weltweiten Jahresumsatzes

(je nachdem, was höher ist)

Wichtige Einrichtungen

7 Mio. EUR

oder 1,4 % des weltweiten Jahresumsatzes

(je nachdem, was höher ist)

Persönliche Haftung der Geschäftsführung

Die NIS-2-Richtlinie macht die Geschäftsführung persönlich verantwortlich für die Umsetzung der Cybersicherheitsmaßnahmen. Das BSI kann bei wesentlichen Einrichtungen:

  • Anordnungen zur Umsetzung bestimmter Maßnahmen erteilen
  • Führungskräfte temporär von der Leitungsfunktion ausschließen
  • Die Geschäftsführung persönlich für Schäden haftbar machen

Meldepflichten bei Sicherheitsvorfällen

NIS-2 führt ein dreistufiges Meldesystem für erhebliche Sicherheitsvorfälle ein. Die Meldung erfolgt an das BSI (Bundesamt für Sicherheit in der Informationstechnik).

24h

Frühwarnung

Innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls. Enthält: Verdacht auf Art des Vorfalls, Angabe ob Verdacht auf rechtswidrige Handlung besteht, mögliche grenzüberschreitende Auswirkungen.

72h

Vollständige Meldung

Innerhalb von 72 Stunden. Enthält: Bewertung des Vorfalls inkl. Schweregrad und Auswirkungen, Kompromittierungsindikatoren (IoCs), ergriffene und geplante Gegenmaßnahmen.

1M

Abschlussbericht

Innerhalb eines Monats nach der vollständigen Meldung. Enthält: Detaillierte Beschreibung des Vorfalls, Ursachenanalyse (Root Cause), umgesetzte Abhilfemaßnahmen, grenzüberschreitende Auswirkungen.

NIS-2-Umsetzung Schritt für Schritt

Die Umsetzung der NIS-2-Anforderungen erfordert einen strukturierten Ansatz. AWARE7 empfiehlt folgendes Vorgehen:

1

Betroffenheitsanalyse

Prüfen Sie, ob Ihr Unternehmen unter NIS-2 fällt. Sektor, Unternehmensgröße und Umsatz bestimmen die Einstufung als wesentliche oder wichtige Einrichtung.

Betroffenheit prüfen lassen
2

Gap-Analyse

Vergleich des Ist-Zustands mit den 10 NIS-2-Anforderungen. Wo bestehen Lücken? Welche Maßnahmen sind bereits vorhanden?

ISMS Gap-Analyse beauftragen
3

Risikobewertung

Systematische Identifikation und Bewertung Ihrer Cybersicherheitsrisiken. Grundlage für die Priorisierung der Maßnahmen.

4

ISMS-Aufbau

Aufbau eines Informationssicherheits-Managementsystems nach ISO 27001. Das ISMS bildet das Fundament für nachhaltige NIS-2-Compliance.

ISO-27001-Beratung anfragen
5

Technische Maßnahmen

Umsetzung technischer Controls: Penetrationstests, Schwachstellenmanagement, Incident-Response-Planung, Multi-Faktor-Authentifizierung, Backup & Recovery.

Pentest beauftragen
6

Awareness & Schulung

Schulung aller Mitarbeitenden in Cyberhygiene. Regelmäßige Phishing-Simulationen zur Messung und Verbesserung der Awareness.

Phishing-Simulation starten
7

Kontinuierliche Verbesserung

Regelmäßige Audits, Schwachstellenscans und Wirksamkeitsbewertung. NIS-2 ist kein einmaliges Projekt - es ist ein kontinuierlicher Prozess.

Internes Audit beauftragen

NIS-2 und ISO 27001

Ein zertifiziertes ISMS nach ISO 27001 erfüllt die meisten technischen und organisatorischen Anforderungen der NIS-2-Richtlinie. Die Verknüpfung beider Standards ist der effizienteste Weg zur nachhaltigen NIS-2-Compliance.

Was ISO 27001 für NIS-2 abdeckt

  • Risikomanagement - ISO 27001 fordert systematisches Risikomanagement (NIS-2 Anforderung 1)
  • Incident Management - ISO 27001 Annex A.5.24-28 deckt die NIS-2-Anforderung 2 ab
  • Business Continuity - ISO 27001 Annex A.5.29-30 adressiert NIS-2 Anforderung 3
  • Lieferkettensicherheit - ISO 27001 Annex A.5.19-23 deckt NIS-2 Anforderung 4 ab
  • Awareness und Schulung - ISO 27001 Clause 7.2-7.3 erfüllt NIS-2 Anforderung 7
  • Kryptographie - ISO 27001 Annex A.8.24 entspricht NIS-2 Anforderung 8
  • Zugangskontrollen - ISO 27001 Annex A.5.15-18, A.8.2-5 deckt NIS-2 Anforderung 9 ab

Was Sie zusätzlich brauchen

ISO 27001 deckt nicht alle NIS-2-spezifischen Anforderungen ab. Zusätzlich benötigen Sie:

  • Einrichtung der Meldeprozesse an das BSI (24h/72h/1M-Schema)
  • Registrierungspflicht beim BSI als wesentliche oder wichtige Einrichtung
  • Spezifische Anforderungen an Multi-Faktor-Authentifizierung und gesicherte Notfallkommunikation

AWARE7 unterstützt Sie bei beiden Vorhaben gleichzeitig: ISO-27001-Zertifizierung als Fundament, ergänzt um NIS-2-spezifische Maßnahmen.

NIS-2-Checkliste für Unternehmen

Nutzen Sie diese Checkliste als Orientierung für Ihre NIS-2-Umsetzung. Sie ersetzt keine individuelle Beratung, gibt aber einen strukturierten Überblick.

Kostenlose NIS-2-Erstberatung vereinbaren
Betroffene Unternehmen in Deutschland
Max. Bußgeld (wesentliche Einrichtungen)
Erstmeldung bei Sicherheitsvorfall
Betroffene Sektoren laut NIS-2

Branchenspezifisch

NIS-2: Wer ist besonders betroffen?

Die Anforderungen gelten sektorübergreifend, die Umsetzungsprioritäten unterscheiden sich jedoch je nach Branche erheblich. AWARE7 kennt die spezifischen Herausforderungen Ihrer Branche.

Energie & Versorger

Wesentliche Einrichtung

Strom-, Gas- und Fernwärmeversorger stehen im Fokus. OT-Sicherheit, Lieferkettensicherheit und 24h-Meldepflichten sind prioritäre Handlungsfelder.

Branchenlösung ansehen

Finanzdienstleister

Wesentliche Einrichtung

Banken und Finanzmarktinfrastrukturen müssen besonders hohe Anforderungen an Business Continuity, Incident Response und Lieferkettensicherheit erfüllen.

Branchenlösung ansehen

Gesundheitswesen

Wesentliche Einrichtung

Krankenhäuser und Gesundheitsdienstleister sind bevorzugte Angriffsziele. Datenschutz, Ausfallsicherheit und Meldeprozesse erfordern besondere Aufmerksamkeit.

Branchenlösung ansehen

IT-Dienstleister

Wesentliche & wichtige Einrichtungen

Managed Service Provider, Cloud-Anbieter und Rechenzentrumsbetreiber sind Schlüssel-Akteure in der Lieferkette und unterliegen strengen NIS-2-Anforderungen.

ISO-Beratung starten

Fertigungsindustrie

Wichtige Einrichtung

Maschinenbau, Kfz-Hersteller und Medizinproduktehersteller. Besondere Herausforderung: Vernetzung von IT und OT sowie komplexe Lieferketten.

Branchenlösung ansehen

Forschung & Bildung

Wichtige Einrichtung

Forschungseinrichtungen und Universitäten schützen sensible Forschungsdaten und geistiges Eigentum. Awareness und Zugriffskontrollen stehen im Vordergrund.

Phishing-Simulation kennenlernen

Ihre NIS-2 Experten

Unsere zertifizierten Berater begleiten Sie von der Betroffenheitsanalyse bis zur vollständigen Compliance.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

Referenzen aus der Praxis

Live Hacking & Awareness

Gelsenwasser AG

Konzernweite Cyber Security Awareness Kampagne

1.500+

Mitarbeiterinnen und Mitarbeiter

6

Monate Kampagnendauer

Beratung Informationssicherheit

brainbits GmbH

Ausbau und Begleitung des ISMS zur ISO 27001 Zertifizierung

9

Monate bis zur Zertifizierungsreife

70

Mitarbeitende im Team

Ergänzende Leistungen

Diese Leistungen unterstützen Ihre NIS-2-Compliance

NIS-2-Compliance ist kein Einzelprojekt. Die folgenden Leistungen greifen direkt in die 10 Pflichtmaßnahmen ein und beschleunigen Ihre Umsetzung.

Penetrationstest

Erfüllt NIS-2 Anforderung 6 (Wirksamkeitsbewertung). Praxisnaher Nachweis Ihrer Sicherheitsmaßnahmen durch simulierte Angriffe.

NIS-2 Anforderung 6

ISMS nach ISO 27001

Das effizienteste Fundament für NIS-2-Compliance. ISO 27001 deckt 7 der 10 Pflichtanforderungen ab und schafft dauerhaft auditierbare Prozesse.

NIS-2 Anforderungen 1–4, 6–9

Phishing-Simulation

Pflicht gemäß NIS-2 Anforderung 7 (Cyberhygiene & Awareness). Messbare Verbesserung der menschlichen Sicherheitskultur im Unternehmen.

NIS-2 Anforderung 7

Häufige Fragen zur NIS-2-Richtlinie

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Sie wurde am 16. Januar 2023 veröffentlicht und trat in Deutschland durch das NIS2UmsG (NIS-2-Umsetzungsgesetz) in nationales Recht über. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich.
In Deutschland sind rund 29.500 Unternehmen betroffen - etwa sechsmal mehr als unter der Vorgängerregelung. Betroffen sind Unternehmen aus 18 Sektoren (z. B. Energie, Gesundheit, Verkehr, digitale Infrastruktur, verarbeitendes Gewerbe) ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz. KRITIS-Betreiber unterliegen zusätzlichen Pflichten.
Wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist). Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen EUR oder 1,4 % des Umsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung, die im Extremfall temporär von der Leitung ausgeschlossen werden kann.
Artikel 21 der NIS-2-Richtlinie definiert 10 Mindestmaßnahmen: Risikoanalyse und Sicherheitskonzepte, Incident Management, Business Continuity, Lieferkettensicherheit, Sicherheit bei Erwerb und Entwicklung, Bewertung der Maßnahmeneffektivität, Cyberhygiene und Awareness-Schulungen, Kryptographie, Zugriffsmanagement und Asset Management sowie Multi-Faktor-Authentifizierung.
Ein zertifiziertes ISMS nach ISO 27001 erfüllt die meisten technischen und organisatorischen Anforderungen der NIS-2-Richtlinie. Die ISO 27001 deckt Risikomanagement, Dokumentation, Incident Management, Awareness und regelmäßige Überprüfung ab. AWARE7 empfiehlt, NIS-2-Compliance über den Aufbau eines ISO-27001-konformen ISMS zu erreichen.
Ja, NIS-2 führt ein dreistufiges Meldesystem ein: Erstmeldung innerhalb von 24 Stunden an das BSI, vollständige Meldung innerhalb von 72 Stunden mit Bewertung und Gegenmaßnahmen sowie ein Abschlussbericht innerhalb eines Monats. Wesentliche Einrichtungen müssen zudem die betroffenen Empfänger informieren.
Die Kosten variieren je nach Reifegrad und Unternehmensgröße erheblich. Für ein mittelständisches Unternehmen ohne bestehendes ISMS rechnet man mit 30.000-100.000 EUR für die initiale Umsetzung. Die Bundesregierung schätzt die Gesamtkosten für die deutsche Wirtschaft auf etwa 2,2 Milliarden EUR. AWARE7 erstellt Ihnen ein individuelles Angebot.
AWARE7 unterstützt Sie ganzheitlich: Betroffenheitsanalyse (Sind Sie NIS-2-pflichtig?), Gap-Analyse gegen die 10 NIS-2-Anforderungen, ISMS-Aufbau nach ISO 27001 als NIS-2-Compliance-Grundlage, Penetrationstests und Schwachstellenscans, Incident-Response-Planung, Awareness-Schulungen und Phishing-Simulationen sowie regelmäßige Audits.
Grundsätzlich gilt die Größenschwelle von 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz. Ausnahmen existieren jedoch für bestimmte Sektoren: Anbieter öffentlicher elektronischer Kommunikationsnetze, qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Dienste unterliegen NIS-2 unabhängig von ihrer Größe. Außerdem können kleine Unternehmen als wichtige Glieder in der Lieferkette großer betroffener Unternehmen indirekt Anforderungen erhalten.
Das NIS-2-Umsetzungsgesetz (NIS2UmsG) wurde in Deutschland veröffentlicht, nachdem die EU-Frist Oktober 2024 verstrichen war. Betroffene Unternehmen sollten die Umsetzung unmittelbar starten. Das BSI hat angekündigt, die Registrierungspflicht und Prüfungen schrittweise durchzusetzen. Wer jetzt handelt, minimiert das Bußgeldrisiko und schafft dauerhaft bessere Cyberresilienz.
Wesentliche Einrichtungen (Anlage I, z. B. Energie, Gesundheit, Bankwesen) unterliegen der stärksten Regulierung: proaktive Aufsicht durch das BSI, Bußgelder bis 10 Mio. EUR und die Möglichkeit, Geschäftsführern die Leitungsfunktion zu entziehen. Wichtige Einrichtungen (Anlage II, z. B. Lebensmittel, Chemie, Fertigungsindustrie) werden primär reaktiv reguliert, d. h. das BSI prüft erst bei Vorfällen. Die Bußgelder sind mit max. 7 Mio. EUR etwas niedriger, die technischen und organisatorischen Pflichten sind jedoch weitgehend identisch.

Unsere Leistungen für Ihre NIS-2-Compliance

ISMS-Beratung

ISO-27001-Zertifizierung als Fundament für NIS-2-Compliance.

Penetration Testing

Technische Schwachstellen identifizieren und NIS-2-Maßnahme 6 erfüllen.

Schwachstellenscan

Kontinuierliches Schwachstellenmanagement als NIS-2-Pflichtmaßnahme.

Phishing-Simulation

NIS-2-Anforderung 7: Cyberhygiene und Awareness-Schulungen.

Internes Audit

Wirksamkeitsbewertung Ihrer Maßnahmen nach NIS-2 Anforderung 6.

Externer ISB

Verantwortliche Person für Informationssicherheit - sofort einsatzbereit.

Aus dem Blog

Weiterführende Artikel

NIS-2 betrifft Ihr Unternehmen?

Prüfen Sie jetzt Ihre NIS-2-Readiness in einem kostenlosen Erstgespräch mit unseren Experten.

Kostenlose NIS-2-Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung