Blackfort Technology
NIS2 Beratung

NIS2-Richtlinie

NIS2 Beratung

Die NIS2-Richtlinie erweitert die Cybersicherheitspflichten auf deutlich mehr Unternehmen und Sektoren. Wir unterstützen Sie bei der vollständigen und fristgerechten Umsetzung.

Beratung anfragen

Wen NIS2 trifft – und was auf dem Spiel steht

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfangreichste Erweiterung der EU-Cybersicherheitsgesetzgebung seit Jahren. Sie teilt betroffene Unternehmen in zwei Kategorien ein: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Wesentliche Einrichtungen unterliegen strengerer Aufsicht und höheren Bußgeldern; wichtige Einrichtungen werden nachgelagert geprüft, müssen aber dieselben technischen Anforderungen erfüllen.

Betroffen sind Unternehmen in 18 Sektoren – darunter Energie, Wasser, Gesundheit, digitale Infrastruktur, Finanzwesen, Transport, öffentliche Verwaltung und Abfallwirtschaft. Entscheidend ist nicht nur der Sektor, sondern auch die Unternehmensgröße: Mittlere Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz können direkt betroffen sein. Kleinere Unternehmen, die kritische Dienste erbringen oder Teil von Lieferketten wesentlicher Einrichtungen sind, können ebenfalls einbezogen werden.

Was viele unterschätzen: NIS2 schafft eine persönliche Haftung der Geschäftsführung. Führungskräfte können direkt für Verstöße haftbar gemacht werden – nicht nur das Unternehmen. Bußgelder für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Das macht NIS2 zu einer Chefsache, nicht zu einem IT-Thema.

Die zehn Mindestanforderungen nach Art. 21 NIS2

Artikel 21 der NIS2-Richtlinie definiert konkrete technische und organisatorische Maßnahmen, die betroffene Einrichtungen umsetzen müssen. Dazu gehören: ein risikobasiertes Sicherheitsmanagement, Konzepte für Incident Response und Business Continuity, Sicherheit der Lieferkette, Maßnahmen zur Netzwerk- und Systemsicherheit, Kontrolle des physischen Zugangs, Kryptographie und Verschlüsselung, Multi-Faktor-Authentifizierung sowie Schulung von Mitarbeitern und Führungskräften.

Besonders hervorzuheben ist die Lieferkettensicherheit: Unternehmen müssen die Cybersicherheitsreife ihrer direkten Dienstleister und Zulieferer bewerten und vertraglich sicherstellen. Das betrifft Cloud-Anbieter, Managed Service Provider, Softwarelieferanten und IT-Dienstleister. Wer hier keine strukturierten Prozesse hat, wird bei Audits nicht bestehen – und haftet im Schadensfall für Versäumnisse.

Incident Response ist ein weiterer Schwerpunkt: Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen. Binnen 24 Stunden nach Erkennen eines Vorfalls muss eine Frühwarnung an die zuständige Behörde (in Deutschland: BSI) erfolgen. Nach 72 Stunden ist ein detaillierter Bericht fällig. Nach einem Monat muss ein Abschlussbericht vorliegen. Diese Fristen setzen voraus, dass Unternehmen Vorfälle überhaupt erkennen können – was wiederum Security Monitoring und Logging erfordert.

Betroffenheitsanalyse: Sind Sie wirklich betroffen?

Die erste und wichtigste Frage ist: Fällt Ihr Unternehmen überhaupt unter NIS2? Diese Frage ist weniger trivial als sie klingt. Sektorale Zuordnung, Schwellenwerte und Ausnahmetatbestände können dazu führen, dass Unternehmen betroffen sind, ohne es zu wissen – oder umgekehrt glauben, betroffen zu sein, ohne es tatsächlich zu sein.

Wir führen eine strukturierte Betroffenheitsanalyse durch, die Ihren Sektor, Ihre Unternehmensgröße, Ihre kritischen Dienste und Ihre Rolle in Lieferketten wesentlicher Einrichtungen bewertet. Das Ergebnis ist eine rechtlich fundierte Einschätzung, ob und in welchem Umfang NIS2 für Sie gilt. Wenn Sie betroffen sind, erstellen wir auf dieser Basis einen priorisierten Maßnahmenplan.

Für viele mittelständische Unternehmen ist NIS2 der erste Kontakt mit regulatorischer Cybersicherheitspflicht. Wir nehmen diese Ausgangslage ernst: Unser Ansatz ist pragmatisch, wirtschaftlich zumutbar und darauf ausgelegt, echte Sicherheit zu erzeugen – nicht nur Compliance-Dokumente.

Umsetzung in der Praxis: Was NIS2 für Ihre IT bedeutet

Die technischen Anforderungen von NIS2 sind keine abstrakten Konzepte – sie übersetzen sich in konkrete IT-Maßnahmen. Patch-Management-Prozesse müssen dokumentiert und wirksam sein. Zugriffskontrollen müssen das Prinzip der minimalen Rechtevergabe (Least Privilege) umsetzen. Netzwerke müssen segmentiert sein. Backups müssen regelmäßig getestet werden. Security Logging muss vollständig, zentral und auswertbar sein.

Viele dieser Anforderungen entsprechen dem, was eine gut geführte IT-Organisation ohnehin umsetzt. Der Unterschied zu NIS2: Es reicht nicht mehr, diese Maßnahmen zu haben – sie müssen nachweisbar dokumentiert, getestet und berichtet werden. Der Übergang von gelebter Praxis zur dokumentierten Compliance ist oft der aufwendigste Teil des Projekts.

Wir unterstützen Sie dabei, die Lücke zwischen bestehender IT-Praxis und NIS2-konformer Dokumentation zu schließen. Das umfasst die Erstellung oder Überprüfung von IT-Sicherheitsrichtlinien, die Einrichtung von Meldeprozessen, die Bewertung von Dienstleistern und die Schulung von Führungskräften – denn NIS2 fordert explizit, dass Geschäftsführungen an Schulungen teilnehmen.

Unsere Leistungen

  • Betroffenheitsanalyse und rechtssichere Einstufung
  • NIS2 Gap-Analyse und Maßnahmenplanung
  • Umsetzung technischer und organisatorischer Anforderungen
  • Aufbau von Incident-Response- und Meldeprozessen
  • Lieferkettenanalyse und Dienstleister-Bewertung
  • Schulung von Geschäftsführung und Sicherheitsverantwortlichen

Ihre Vorteile

  • Rechtssichere Umsetzung der NIS2-Pflichten
  • Schutz der Geschäftsführung vor persönlicher Haftung
  • Vermeidung von Bußgeldern bis zu 10 Mio. Euro
  • Stärkere Resilienz gegenüber realen Cyberangriffen

Jetzt beraten lassen

Sprechen Sie mit unseren Experten über Ihren konkreten Bedarf.

Beratung anfragen

Vertiefende Seite

Betriebssystem Härtung nach CIS Benchmarks

NIS2 Art. 21 fordert Härtungsmaßnahmen als technische Mindestanforderung. Wie Betriebssystem-Härtung für Windows, Linux und Cloud konkret umgesetzt und auditgerecht dokumentiert wird.

Jetzt ansehen

Häufige Fragen

Fällt mein Unternehmen unter NIS2?

NIS2 gilt für Unternehmen in 18 Sektoren, die die Schwellenwerte erreichen (ab 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz). Wesentliche Sektoren sind Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und Abfallwirtschaft. Wichtige Sektoren ergänzen Postdienste, Herstellung kritischer Produkte, Lebensmittel, Chemie und digitale Anbieter. Kleinere Unternehmen, die kritische Dienste erbringen oder zu Lieferketten wesentlicher Einrichtungen gehören, können ebenfalls einbezogen sein. Eine strukturierte Betroffenheitsanalyse ist der richtige Ausgangspunkt.

Welche Meldepflichten gelten unter NIS2 bei Sicherheitsvorfällen?

NIS2 verlangt bei erheblichen Sicherheitsvorfällen: eine Frühwarnung an die nationale Behörde (BSI in Deutschland) innerhalb von 24 Stunden nach Erkennen, eine detaillierte Vorfallsmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Ein „erheblicher Vorfall“ ist einer, der schwere Betriebsstörungen oder finanzielle Schäden verursacht oder verursachen kann. Insbesondere die 24-Stunden-Frist setzt voraus, dass Unternehmen vor einem Vorfall ein wirksames Security Monitoring und Alerting betreiben.

Wie verhält sich NIS2 zur ISO 27001?

ISO 27001 und NIS2 adressieren überlappende Ziele und haben eine erhebliche gemeinsame Grundlage. Die Controls der ISO 27001 lassen sich eng auf die Anforderungen von NIS2 Art. 21 abbilden – Risikomanagement, Zugriffskontrollen, Incident Handling, Lieferantensicherheit und Business Continuity werden von beiden adressiert. Unternehmen, die ISO 27001-Zertifizierung und NIS2-Umsetzung parallel verfolgen, sparen erhebliche Aufwände, weil ein Governance-Framework für beides genutzt wird. NIS2 verlangt keine ISO 27001-Zertifizierung, aber sie wird von Aufsichtsbehörden weithin als Nachweis angemessener Sicherheitsmaßnahmen anerkannt.

Was bedeutet die Management-Haftung unter NIS2?

NIS2 schafft eine direkte persönliche Haftung der Leitungsorgane von wesentlichen und wichtigen Einrichtungen. Geschäftsleitungen (Vorstand, Geschäftsführung) müssen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und können für Verstöße haftbar gemacht werden. Bei wesentlichen Einrichtungen können Aufsichtsbehörden Einzelpersonen vorübergehend untersagen, Leitungsaufgaben wahrzunehmen. NIS2-Compliance ist damit ein Governance-Thema und kann nicht vollständig an die IT-Abteilung delegiert werden.

Was verlangt NIS2 zur Lieferkettensicherheit?

Unternehmen müssen die Cybersicherheitspraktiken ihrer direkten Dienstleister und Zulieferer bewerten und identifizierte Risiken adressieren. Das umfasst die Bewertung von Cloud-Anbietern, MSPs, Softwarelieferanten und IT-Dienstleistern. Verträge mit kritischen Dienstleistern sollten Cybersicherheitsanforderungen, Auditrechte und Meldepflichten enthalten. Die NIS2-Anforderungen an die Lieferkette erzeugen einen Kaskadeneffekt: Wesentliche Einrichtungen bewerten ihre Lieferanten, die dann ihre Sicherheitslage verbessern müssen, um Verträge zu halten.

Kontakt aufnehmen

Bereit für den nächsten Schritt?

Sprechen Sie mit uns über Ihre Sicherheitsanforderungen – konkret, ohne Verpflichtung und auf Augenhöhe.

Beratungsgespräch anfragen