← Alle Beiträge
· Claus Lindemann

NIS2-Umsetzung: Was Unternehmen jetzt tun müssen

NIS2CybersicherheitComplianceKRITIS

Die NIS2-Richtlinie (Network and Information Security Directive 2) erweitert den Kreis der betroffenen Unternehmen erheblich. Während die ursprüngliche NIS-Richtlinie primär Betreiber kritischer Infrastrukturen adressierte, fallen unter NIS2 nun auch zahlreiche mittelständische Unternehmen aus 18 Sektoren.

Wer ist betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in Sektoren wie:

  • Energie, Transport, Gesundheit, Wasser (wesentlich)
  • Digitale Infrastruktur, ICT-Dienstleister, Post (wesentlich)
  • Lebensmittel, Chemie, Abfallwirtschaft, Fertigung (wichtig)
  • Digitale Dienste, Forschung (wichtig)

Die wichtigsten Anforderungen

1. Risikomanagement (Art. 21)

Unternehmen müssen geeignete technische, operative und organisatorische Maßnahmen ergreifen. Das umfasst:

  • Risikoanalyse und Sicherheitskonzepte
  • Incident Management und Business Continuity
  • Sicherheit der Lieferkette
  • Schwachstellenmanagement
  • Kryptographie und Verschlüsselung

2. Meldepflichten (Art. 23)

Sicherheitsvorfälle müssen innerhalb von 24 Stunden erstmals gemeldet werden:

  • Frühwarnung: 24 Stunden
  • Vollständige Meldung: 72 Stunden
  • Abschlussbericht: 1 Monat

3. Geschäftsführerhaftung

Neu und brisant: Die Geschäftsleitung kann persönlich haftbar gemacht werden, wenn sie die Umsetzung der Cybersicherheitsmaßnahmen nicht überwacht.

Konkrete Schritte zur Umsetzung

  1. Betroffenheitsanalyse — Fallen Sie unter NIS2? Prüfen Sie Sektor, Unternehmensgröße und Umsatz.
  2. Gap-Analyse — Wo stehen Sie aktuell? Vergleichen Sie Ihren Ist-Zustand mit den NIS2-Anforderungen.
  3. ISMS aufbauen oder erweitern — Ein Informationssicherheits-Managementsystem nach ISO 27001 deckt viele NIS2-Anforderungen ab.
  4. Incident Response vorbereiten — Meldeprozesse definieren, Verantwortlichkeiten klären, Übungen durchführen.
  5. Lieferkette absichern — Sicherheitsanforderungen an Dienstleister und Zulieferer vertraglich verankern.

Wie regelwerker unterstützt

Unsere Berater begleiten Sie von der Betroffenheitsanalyse bis zur vollständigen Umsetzung. Unsere Plattform bildet den gesamten Prozess digital ab — inklusive Cross-Framework-Mapping, das zeigt, welche ISO-27001-Maßnahmen bereits NIS2-Anforderungen abdecken.

Sie sind unsicher, ob NIS2 auf Ihr Unternehmen zutrifft? Kontaktieren Sie uns für eine kostenlose Ersteinschätzung.

Haben Sie Fragen zu diesem Thema?

Kontakt aufnehmen