Welche Unternehmen sind von NIS-2 betroffen?

Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren (Energie, Gesundheit, Transport, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel, Chemie, verarbeitendes Gewerbe, Post und weitere).

Was sind die wichtigsten NIS-2-Pflichten?

Registrierung beim BSI innerhalb von 3 Monaten, Umsetzung von 10 Risikomanagement-Maßnahmen, Meldepflicht bei Sicherheitsvorfällen (24h/72h/1 Monat), persönliche Geschäftsführerhaftung und Schulungspflicht für die Leitungsebene.

Welche Bußgelder drohen bei NIS-2-Verstößen?

Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Zusätzlich kann das BSI die Geschäftsführung vorübergehend untersagen.

NIS2-Anforderungen

Was Ihr Unternehmen jetzt umsetzen muss – Pflichten, Fristen, Bußgelder.

NIS2-Check starten

NIS2-Anforderungen – Was Unternehmen jetzt wissen und umsetzen müssen

Die NIS2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) ist die grundsätzlich überarbeitete EU-Richtlinie zur Cybersicherheit und stellt deutlich strengere NIS2 Anforderungen an Unternehmen als ihre Vorgängerin NIS1 aus dem Jahr 2016. Mit der nationalen Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) müssen sich zehntausende deutsche Unternehmen auf vollständige neue Pflichten im Bereich der Informationssicherheit einstellen.

Die DATUREX GmbH aus Dresden unterstützt Unternehmen sachsenweit als externer Informationssicherheitsbeauftragter bei der Analyse ihrer NIS2-Betroffenheit, der Durchführung einer Gap-Analyse und der vollständigen NIS2 Umsetzung aller erforderlichen technischen und organisatorischen Maßnahmen.

Was ist die NIS2-Richtlinie? – Ein Überblick

Die NIS2-Richtlinie (offiziell: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022) wurde im Dezember 2022 verabschiedet und löst die ursprüngliche NIS-Richtlinie von 2016 ab. Sie verfolgt das ambitionierte Ziel, ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union zu schaffen und die Widerstandsfähigkeit kritischer und wichtiger Infrastrukturen nachhaltig zu stärken.

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 300 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen

Die NIS 2 Anforderungen gehen dabei weit über die Vorgängerin hinaus. Die wichtigsten Neuerungen gegenüber NIS1 im Überblick:

Deutlich erweiterter Anwendungsbereich: Statt bisher rund 4.500 sind nun geschätzt 29.000 bis 40.000 Unternehmen in Deutschland betroffen – über 18 Sektoren
Strengere Sicherheitsanforderungen: 10 konkrete Mindestmaßnahmen für das Risikomanagement (Art. 21 NIS2)
Persönliche Haftung der Geschäftsführung: Geschäftsführer und Vorstände haften bei Verstößen mit ihrem Privatvermögen
Drastisch höhere Bußgelder: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Verschärfte Meldepflichten: Mehrstufiges Meldesystem mit 24-Stunden-Frühwarnung bei erheblichen Sicherheitsvorfällen
Lieferkettensicherheit: Unternehmen müssen auch die Cybersicherheit ihrer Zulieferer und Dienstleister gewährleisten

Zeitplan der NIS2 Umsetzung in Deutschland

Datum	Meilenstein	Bedeutung für Unternehmen
14. Dezember 2022	Verabschiedung der NIS2-Richtlinie durch die EU	Rechtsrahmen steht fest
16. Januar 2023	Inkrafttreten der Richtlinie (EU 2022/2555)	Umsetzungsfrist für Mitgliedstaaten beginnt
17. Oktober 2024	Ursprüngliche Frist zur nationalen Umsetzung	Deutschland hat Frist versäumt
2025 / Anfang 2026	Erwartete Verabschiedung des NIS2UmsuCG in Deutschland	Nationales Gesetz wird rechtsverbindlich
Ab Inkrafttreten	Unternehmen müssen NIS2 Anforderungen unmittelbar erfüllen	Keine zusätzliche Übergangsfrist vorgesehen

Die Verzögerung der deutschen Umsetzung sollte nicht als Entwarnung missverstanden werden. Zahlreiche EU-Mitgliedstaaten haben die NIS2-Richtlinie bereits in nationales Recht umgesetzt, und deutsche Unternehmen, die grenzüberschreitend tätig sind oder Geschäftsbeziehungen in diese Länder unterhalten, können bereits heute von den dortigen Regelungen betroffen sein. Zudem orientieren sich Kunden und Geschäftspartner zunehmend an den NIS2-Standards bei der Auswahl ihrer Lieferanten und Dienstleister.

Wichtig: Unternehmen sollten keinesfalls auf die finale nationale Umsetzung warten, sondern bereits jetzt mit der Vorbereitung beginnen. Die NIS2 Anforderungen sind in der EU-Richtlinie klar definiert und die Umsetzung erfordert erhebliche Vorlaufzeit – typischerweise 12 bis 18 Monate für den vollständigen Aufbau aller erforderlichen Strukturen und Prozesse.

Wer ist von NIS2 betroffen? – Sektoren und Schwellenwerte

Die NIS2-Richtlinie unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Die Betroffenheit richtet sich primär nach dem Sektor, in dem das Unternehmen tätig ist, und der Unternehmensgröße.

Sektoren mit hoher Kritikalität – Wesentliche Einrichtungen (Anhang I)

Diese Sektoren unterliegen den strengsten NIS2 Anforderungen und der vollständigsten behördlichen Aufsicht:

Energie: Strom (Erzeugung, Übertragung, Verteilung), Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff
Verkehr: Luft-, Schienen-, Straßen- und Schiffsverkehr (Betreiber und Infrastruktur)
Bankwesen: Kreditinstitute gemäß Verordnung (EU) Nr. 575/2013
Finanzmarktinfrastrukturen: Handelsplätze, zentrale Gegenparteien, Zentralverwahrer
Gesundheitswesen: Krankenhäuser, Referenzlabore, Pharma-Hersteller, Medizinprodukte-Hersteller
Trinkwasserversorgung: Wassergewinnung, -aufbereitung und -verteilung
Abwasserentsorgung: Sammlung, Entsorgung und Behandlung von Abwasser
Digitale Infrastruktur: Rechenzentren, CDN-Anbieter, DNS-Dienste, TLD-Registries, Cloud-Computing, IXP
ICT-Dienstleistungsmanagement (B2B): Managed Service Provider, Managed Security Service Provider
Öffentliche Verwaltung: Einrichtungen der Bundes- und Landesregierung
Weltraum: Betreiber von Bodeninfrastrukturen für Weltraumdienste

Sonstige kritische Sektoren – Wichtige Einrichtungen (Anhang II)

Diese Sektoren unterliegen ebenfalls den NIS2 Anforderungen, jedoch mit einer weniger intensiven behördlichen Aufsicht (Aufsicht nur anlassbezogen):

Post- und Kurierdienste: Anbieter von Postdiensten und Kurierdiensten
Abfallbewirtschaftung: Unternehmen der Abfallwirtschaft und Entsorgung
Chemie: Herstellung, Produktion und Handel chemischer Erzeugnisse
Lebensmittel: Großhandel, industrielle Produktion und Verarbeitung von Lebensmitteln
Verarbeitendes Gewerbe: Medizinprodukte, Elektronik, optische Erzeugnisse, Maschinenbau, Kraftfahrzeugbau, sonstiger Fahrzeugbau
Digitale Dienste: Online-Marktplätze, Online-Suchmaschinen, Plattformen sozialer Netzwerke
Forschung: Forschungseinrichtungen (sofern nicht von anderen Regelungen erfasst)

Größenkriterien und Schwellenwerte

Kategorie	Mitarbeiterzahl	Jahresumsatz / Bilanzsumme	NIS2-Einstufung
Mittlere Unternehmen	50 – 249	10 – 50 Mio. €	Wichtige Einrichtung
Große Unternehmen	Ab 250	Über 50 Mio. € Umsatz oder über 43 Mio. € Bilanzsumme	Wesentliche Einrichtung (in Anhang-I-Sektoren)

Achtung: Unabhängig von der Größe können Unternehmen auch betroffen sein, wenn sie als alleiniger Anbieter eines Dienstes fungieren, der für die öffentliche Ordnung wesentlich ist, oder wenn eine Störung erhebliche systemische Auswirkungen hätte. Auch Unternehmen unterhalb der Schwellenwerte können von den nationalen Behörden als betroffen eingestuft werden. Außerdem ist zu beachten, dass bei verbundenen Unternehmen (Konzernstrukturen) die Mitarbeiterzahl und der Umsatz aller verbundenen Unternehmen zusammengerechnet werden – ein KMU kann dadurch über die Schwellenwerte gelangen.

Die 10 Mindestmaßnahmen nach Art. 21 NIS2-Richtlinie

Artikel 21 der NIS2-Richtlinie definiert einen verbindlichen Katalog von zehn Mindestmaßnahmen, die alle betroffenen Einrichtungen im Rahmen ihres Risikomanagements umsetzen müssen. Diese Maßnahmen bilden das Fundament der NIS2 Umsetzung:

1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme

Unternehmen müssen systematische, methodische Risikoanalysen durchführen und darauf basierende Sicherheitskonzepte für alle Informationssysteme erstellen, dokumentieren und regelmäßig aktualisieren. Dies umfasst die Identifikation von Assets, Bedrohungen, Schwachstellen und die Bewertung der resultierenden Risiken.

2. Bewältigung von Sicherheitsvorfällen (Incident Handling)

Ein strukturiertes, dokumentiertes Incident-Response-Management ist verpflichtend. Dazu gehören Erkennung, Analyse, Eindämmung, Beseitigung und Wiederherstellung bei Sicherheitsvorfällen sowie eine lückenlose Dokumentation aller Maßnahmen und Erkenntnisse (Lessons Learned).

3. Betriebskontinuität und Krisenmanagement (Business Continuity)

Business-Continuity-Pläne, vollständige Backup-Strategien und Disaster-Recovery-Konzepte müssen implementiert, dokumentiert und regelmäßig getestet werden. Ziel ist die Aufrechterhaltung oder schnellstmögliche Wiederherstellung des Geschäftsbetriebs nach einem Sicherheitsvorfall.

4. Sicherheit der Lieferkette (Supply Chain Security)

Unternehmen müssen die Cybersicherheit ihrer Zulieferer, Dienstleister und Geschäftspartner systematisch bewerten und vertraglich absichern. Dies schließt Sicherheitsanforderungen in Verträgen, regelmäßige Audits und eine Risikobewertung der gesamten Lieferkette ein.

5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung

Bei der Beschaffung, Eigenentwicklung und laufenden Wartung von Netz- und Informationssystemen müssen Sicherheitsaspekte von Anfang an berücksichtigt werden (Security by Design, Security by Default). Dies umfasst auch ein systematisches Schwachstellenmanagement.

6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Regelmäßige Überprüfung, ob die implementierten Sicherheitsmaßnahmen tatsächlich wirksam sind. Dies kann durch interne Audits, Penetrationstests, Schwachstellenscans und unabhängige externe Prüfungen erfolgen.

7. Grundlegende Cyberhygiene und Schulungen

Grundlegende Cyberhygiene-Praktiken müssen etabliert und durchgesetzt werden. Regelmäßige Schulungen für alle Mitarbeiter – einschließlich der Geschäftsleitung – sind verpflichtend. Dies umfasst Security Awareness Trainings, Phishing-Simulationen und rollenspezifische Fachschulungen.

8. Konzepte für Kryptographie und Verschlüsselung

Angemessener und dem Stand der Technik entsprechender Einsatz von Kryptographie und Verschlüsselung zum Schutz sensibler Daten – sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest). Unternehmen benötigen dokumentierte Kryptographie-Richtlinien.

9. Personalsicherheit, Zugriffskontrolle und Asset-Management

Umfassende Personalsicherheitsmaßnahmen, rollenbasierte Zugriffskontrollrichtlinien (Least-Privilege-Prinzip) und ein vollständiges Asset-Management aller IT-Komponenten müssen etabliert und dokumentiert sein.

10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Verpflichtender Einsatz von MFA oder vergleichbaren Authentifizierungslösungen sowie gesicherten Sprach-, Video- und Text-Kommunikationsmitteln, insbesondere für den Zugriff auf kritische Systeme und für die Notfallkommunikation im Krisenfall.

Meldepflichten bei Sicherheitsvorfällen nach NIS2

Die NIS2-Richtlinie verschärft die Meldepflichten gegenüber NIS1 erheblich und führt ein mehrstufiges Meldeverfahren ein. Bei einem erheblichen Sicherheitsvorfall gelten folgende verbindliche Fristen:

Frist	Art der Meldung	Inhalt
24 Stunden	Frühwarnung an das BSI	Verdacht auf erheblichen Vorfall, ggf. grenzüberschreitende Auswirkung, ggf. rechtswidrige/böswillige Handlung
72 Stunden	Ausführliche Vorfallmeldung	Erstbewertung des Vorfalls: Schwere, Auswirkungen, Kompromittierungsindikatoren (IoC)
1 Monat	Abschlussbericht	Detaillierte Beschreibung: Ursache, Ausmaß, ergriffene und geplante Gegenmaßnahmen, grenzüberschreitende Auswirkungen
Auf Anfrage	Zwischenbericht	Status-Update auf Anfrage der zuständigen Behörde

Wichtig: Ein erheblicher Sicherheitsvorfall liegt vor, wenn er eine schwerwiegende Betriebsstörung der Dienste oder finanzielle Verluste für die betroffene Einrichtung verursacht hat oder verursachen kann, oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Geschäftsführer-Pflichten und persönliche Haftung

Eine der gravierendsten Neuerungen der NIS2-Richtlinie betrifft die persönliche Verantwortung und Haftung der Geschäftsleitung. Die Leitungsorgane betroffener Einrichtungen (Geschäftsführer, Vorstände, Aufsichtsräte) sind nach Art. 20 NIS2 verpflichtet:

Die Risikomanagementmaßnahmen nach Art. 21 zu billigen und deren Umsetzung aktiv zu überwachen
An Cybersicherheitsschulungen teilzunehmen und diese auch für alle Mitarbeiter anzuordnen
Für Verstöße gegen die NIS2 Anforderungen persönlich zu haften – die Haftung kann nicht an Dritte delegiert werden
Bei grober Fahrlässigkeit können Leitungspersonen vorübergehend von der Geschäftsführung suspendiert werden

Diese Regelung macht Cybersicherheit endgültig zur Chefsache. Geschäftsführer können sich nicht mehr darauf berufen, dass die IT-Abteilung „zuständig“ war. Die persönliche Haftung ist nicht versicherbar und nicht an Dritte delegierbar.

In der Praxis bedeutet dies: Geschäftsführer müssen nachweisen können, dass sie sich aktiv mit der Cybersicherheitslage ihres Unternehmens befasst haben, die notwendigen Ressourcen bereitgestellt haben und die Umsetzung der Maßnahmen überwachen. Eine reine Unterschrift unter ein Sicherheitskonzept, das von der IT-Abteilung erstellt wurde, genügt den NIS2 Anforderungen ausdrücklich nicht. Die Geschäftsleitung muss die Inhalte verstehen und informierte Entscheidungen über Risikoakzeptanz und Maßnahmenprioritäten treffen können.

Bußgelder und Sanktionen bei Verstößen

Die NIS2-Richtlinie sieht empfindliche und abschreckende Sanktionen bei Nichteinhaltung der NIS2 Anforderungen vor:

Kategorie	Maximales Bußgeld	Weitere Konsequenzen
Wesentliche Einrichtungen	10 Mio. € oder 2 % des weltweiten Jahresumsatzes	Proaktive Aufsicht, regelmäßige Audits, Anordnungen, Suspendierung der Geschäftsführung
Wichtige Einrichtungen	7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes	Anlassbezogene Aufsicht, Anordnungen bei Verstößen

Zusätzlich zu den Bußgeldern können Behörden verbindliche Anweisungen erteilen, die sofortige Umsetzung bestimmter Maßnahmen anordnen und im Extremfall den Betrieb einschränken oder Leitungspersonen vorübergehend suspendieren. Die Bußgeldrahmen orientieren sich bewusst an der DSGVO und sollen eine abschreckende Wirkung entfalten.

NIS2 vs. KRITIS – Was ist der Unterschied?

Viele Unternehmen fragen sich, wie sich die NIS2-Richtlinie zum bestehenden deutschen KRITIS-Regelwerk verhält. Die wichtigsten Unterschiede und Gemeinsamkeiten im Überblick:

Kriterium	KRITIS (bisherig)	NIS2 (neu)
Betroffene Unternehmen	Ca. 4.500 in Deutschland	Ca. 29.000 – 40.000 in Deutschland
Sektoren	10 Sektoren	18 Sektoren
Schwellenwerte	Versorgungsgrad (500.000 Personen)	Unternehmensgröße (ab 50 MA / 10 Mio. € Umsatz)
Bußgelder	Bis 2 Mio. € (BSI-Gesetz)	Bis 10 Mio. € oder 2 % des Jahresumsatzes
Geschäftsführer-Haftung	Keine explizite persönliche Haftung	Persönliche Haftung, Suspendierung möglich
Meldepflichten	Unverzüglich an das BSI	Mehrstufig: 24h / 72h / 1 Monat
Rechtsgrundlage	BSI-Gesetz, KRITIS-Verordnung	EU-Richtlinie 2022/2555, NIS2UmsuCG

Fazit: NIS2 erweitert den KRITIS-Ansatz massiv und bringt einen Paradigmenwechsel in der deutschen Cybersicherheitsregulierung. Unternehmen, die bisher nicht als KRITIS eingestuft waren, können nun erstmals unter die NIS2-Richtlinie fallen – insbesondere mittelständische Unternehmen ab 50 Mitarbeitern in den neu hinzugekommenen Sektoren wie Lebensmittelproduktion, Abfallwirtschaft oder verarbeitendes Gewerbe. Bestehende KRITIS-Betreiber müssen zusätzliche NIS2 Anforderungen erfüllen, insbesondere die persönliche Geschäftsführer-Haftung, das mehrstufige Meldesystem (24h/72h/1 Monat) und die vollständigen Anforderungen an die Lieferkettensicherheit.

NIS2-Checkliste für Unternehmen – 10 Schritte zur Compliance

Die folgende Checkliste hilft Ihnen, die NIS2 Umsetzung strukturiert, priorisiert und vollständig anzugehen. Wir empfehlen, diese Schritte in der angegebenen Reihenfolge abzuarbeiten und für jeden Schritt einen klaren Verantwortlichen und einen realistischen Zeitrahmen zu definieren:

Betroffenheitsanalyse durchführen: Prüfen Sie anhand der Sektorenliste und Größenkriterien, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird
Gap-Analyse erstellen: Vergleichen Sie Ihren aktuellen Sicherheitsstand systematisch mit allen 10 Mindestmaßnahmen nach Art. 21 NIS2
Risikoanalyse durchführen: Identifizieren und bewerten Sie alle IT-Risiken Ihres Unternehmens nach einer anerkannten Methodik
Maßnahmenplan mit Prioritäten erstellen: Definieren Sie konkrete Maßnahmen, Verantwortlichkeiten, Ressourcen und realistische Zeitpläne
ISMS aufbauen oder erweitern: Implementieren Sie ein Informationssicherheits-Managementsystem, idealerweise nach ISO 27001
Incident-Response-Prozesse etablieren: Entwickeln Sie Prozesse für Erkennung, Meldung und Behandlung von Sicherheitsvorfällen (24h/72h/1M)
Lieferkettensicherheit gewährleisten: Bewerten Sie die Cybersicherheit Ihrer Zulieferer und verankern Sie Sicherheitsanforderungen in Verträgen
Schulungsprogramm aufsetzen: Führen Sie regelmäßige Cybersicherheitsschulungen für alle Mitarbeiter und die Geschäftsleitung durch
Dokumentation sicherstellen: Dokumentieren Sie alle Maßnahmen, Risikoanalysen, Schulungen und Vorfälle lückenlos und revisionssicher
Regelmäßige Überprüfung: Führen Sie interne Audits, Penetrationstests und Wirksamkeitsprüfungen mindestens jährlich durch

DATUREX GmbH – Ihr Partner für die NIS2 Umsetzung in Sachsen

Die erfolgreiche Umsetzung der NIS2 Anforderungen ist komplex und erfordert starkes Fachwissen in den Bereichen Informationssicherheit, IT-Management und regulatorische Compliance. Die DATUREX GmbH aus Dresden unterstützt Sie als erfahrener Partner bei allen Schritten der NIS2 Umsetzung:

NIS2-Betroffenheitscheck: Wir prüfen fundiert, ob und in welchem Umfang die NIS2-Richtlinie für Ihr Unternehmen gilt
Gap-Analyse: Wir identifizieren systematisch Ihre konkreten Handlungsfelder und Compliance-Lücken
ISMS-Aufbau: Wir begleiten Sie beim Aufbau oder der Erweiterung Ihres Informationssicherheits-Managementsystems
Externer Informationssicherheitsbeauftragter: Wir übernehmen die Aufgaben des ISB für Ihr Unternehmen – dauerhaft oder projektbezogen
IT-Sicherheitskonzept: Technische und organisatorische Umsetzung aller erforderlichen Maßnahmen nach Art. 21
Schulungen: NIS2-spezifische Schulungen für Geschäftsführung und Mitarbeiter, inkl. Dokumentation für Audits
Incident-Response-Planung: Aufbau der Meldeprozesse für die 24h/72h/1-Monat-Fristen

Kontaktieren Sie die DATUREX GmbH für eine kostenlose Erstberatung. Wir helfen Ihnen, die NIS2 Anforderungen rechtzeitig, vollständig und effizient umzusetzen – bevor die Fristen ablaufen und empfindliche Bußgelder drohen. Kompetent, praxisnah und sachsenweit verfügbar.

Investition und Kosten der NIS2 Umsetzung

Die Kosten für die NIS2 Umsetzung variieren erheblich je nach aktuellem Sicherheitsniveau, Unternehmensgröße und Branche. Als grobe Orientierung können Unternehmen mit folgenden Größenordnungen rechnen:

Mittlere Unternehmen (50–250 MA): 50.000 – 200.000 € für die initiale Umsetzung, zuzüglich laufende Kosten für Wartung, Schulungen und Audits
Große Unternehmen (ab 250 MA): 200.000 – 1.000.000 € und mehr, abhängig von der Komplexität der IT-Landschaft und dem Reifegrad bestehender Sicherheitsmaßnahmen
Unternehmen mit bestehendem ISMS (ISO 27001): Deutlich geringere Zusatzkosten, da viele Anforderungen bereits abgedeckt sind – typischerweise 20.000 – 80.000 € für NIS2-spezifische Ergänzungen

Diese Investition steht in keinem Verhältnis zu den potenziellen Kosten eines Cyberangriffs oder eines NIS2-Bußgeldes. Unternehmen, die frühzeitig mit der Umsetzung beginnen, können die Kosten über einen längeren Zeitraum verteilen und vermeiden teure Last-Minute-Maßnahmen unter Zeitdruck. Die DATUREX GmbH berät Sie gerne zu einer kosteneffizienten Umsetzungsstrategie.

Häufig gestellte Fragen zu NIS2 (FAQ)

Ab wann gilt NIS2 in Deutschland?

Die NIS2-Richtlinie ist auf EU-Ebene bereits seit Januar 2023 in Kraft. Die nationale Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wird voraussichtlich 2025 oder Anfang 2026 verabschiedet. Ab Inkrafttreten des deutschen Gesetzes müssen alle betroffenen Unternehmen die NIS2 Anforderungen unmittelbar erfüllen – eine Übergangsfrist ist nicht vorgesehen. Unternehmen sollten daher bereits jetzt mit der Umsetzung beginnen.

Ist mein Unternehmen von NIS2 betroffen?

Wenn Ihr Unternehmen in einem der 18 definierten Sektoren tätig ist und mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro erzielt, fallen Sie mit hoher Wahrscheinlichkeit unter die NIS2-Richtlinie. Unabhängig von der Größe können auch Unternehmen betroffen sein, die als alleiniger Anbieter eines wesentlichen Dienstes fungieren. Die DATUREX GmbH bietet einen kostenlosen NIS2-Betroffenheitscheck an.

Was passiert, wenn ich die NIS2 Anforderungen nicht umsetze?

Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Geschäftsführer haften zudem persönlich und können vorübergehend von der Geschäftsführung suspendiert werden. Außerdem können die Behörden verbindliche Anweisungen erteilen und im Extremfall den Betrieb einschränken.

Reicht eine ISO-27001-Zertifizierung für NIS2-Compliance?

Eine bestehende ISO 27001-Zertifizierung deckt einen erheblichen Teil der NIS2 Anforderungen ab und ist eine hervorragende Grundlage. Allerdings gibt es NIS2-spezifische Anforderungen, die über ISO 27001 hinausgehen – insbesondere die Meldepflichten (24h/72h/1 Monat), die persönliche Geschäftsführer-Haftung, die Lieferkettensicherheit und die Registrierungspflicht bei der nationalen Behörde (BSI). Eine Gap-Analyse identifiziert die verbleibenden Lücken.

Wie lange dauert die NIS2 Umsetzung?

Die Dauer hängt vom aktuellen Reifegrad Ihrer Informationssicherheit ab. Unternehmen, die bereits ein ISMS nach ISO 27001 oder BSI IT-Grundschutz betreiben, können die NIS2-spezifischen Ergänzungen in 3–6 Monaten umsetzen. Für Unternehmen, die bei null starten, sollten Sie 12–18 Monate für den vollständigen Aufbau aller erforderlichen Strukturen, Prozesse und Dokumentationen einplanen. Frühzeitiger Start ist wichtig.

Kostenlose Erstberatung

TÜV+BSI zertifizierte Informationssicherheitsexperten. DATUREX GmbH, Dresden.