Wissensbereich

NIS2 — die EU-Richtlinie im Überblick

Die NIS2-Richtlinie hebt Cybersicherheit europaweit auf ein verbindliches Mindestniveau. Sie betrifft deutlich mehr Unternehmen als ihre Vorgängerin — und nimmt erstmals die Geschäftsleitung persönlich in die Pflicht.

🎯

Wer ist betroffen?

Wesentliche und wichtige Einrichtungen aus 18 Sektoren — u. a. Energie, Wasser, Verkehr, Gesundheit, digitale Infrastruktur und verarbeitendes Gewerbe. Faustregel: ab 50 Mitarbeitenden oder 10 Mio. € Umsatz. Auch Zulieferer geraten über Lieferkettenpflichten in den Anwendungsbereich.

📋

Zentrale Pflichten

Risikomanagement, Absicherung der Lieferkette, Business Continuity, Verschlüsselung, Zugriffskontrolle und Schulungen. Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen und nachweisbar dokumentiert sein.

⏱️

Meldepflichten

Erhebliche Sicherheitsvorfälle sind mehrstufig zu melden: Frühwarnung innerhalb von 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat. Das erfordert eingeübte Prozesse — nicht nur ein Formular.

⚖️

Haftung der Leitung

Geschäftsleitungen müssen Risikomanagement-Maßnahmen billigen, überwachen und sich schulen lassen. Bei Verstößen drohen persönliche Haftung sowie Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

🔗

Lieferkette im Fokus

Die Sicherheit direkter Zulieferer und Dienstleister ist Teil des eigenen Risikomanagements. Verträge, Mindestanforderungen und Audits gegenüber Partnern werden damit zum Compliance-Baustein.

🧭

Der pragmatische Einstieg

Betroffenheit prüfen → Gap-Analyse gegen die Pflichtenkataloge → Maßnahmen priorisieren → Meldewege und Verantwortlichkeiten festlegen. Wer strukturiert startet, verwandelt Regulierung in echten Sicherheitsgewinn.

Abstraktes Netzwerk — vernetzte Systeme in Europa

Warum jetzt handeln?

  • Nationale Umsetzung läuft: Registrierungs- und Nachweispflichten greifen — Abwarten verkürzt nur die eigene Vorlaufzeit.
  • Aufbau braucht Zeit: Asset-Inventar, Prozesse und Meldeketten entstehen nicht in Wochen, sondern in Monaten.
  • Kunden fragen bereits: Große Auftraggeber verlangen NIS2-Konformität längst in Ausschreibungen und Lieferantenaudits.

Passender Blogartikel →