Die NIS2-Richtlinie hebt Cybersicherheit europaweit auf ein verbindliches Mindestniveau. Sie betrifft deutlich mehr Unternehmen als ihre Vorgängerin — und nimmt erstmals die Geschäftsleitung persönlich in die Pflicht.
Wesentliche und wichtige Einrichtungen aus 18 Sektoren — u. a. Energie, Wasser, Verkehr, Gesundheit, digitale Infrastruktur und verarbeitendes Gewerbe. Faustregel: ab 50 Mitarbeitenden oder 10 Mio. € Umsatz. Auch Zulieferer geraten über Lieferkettenpflichten in den Anwendungsbereich.
Risikomanagement, Absicherung der Lieferkette, Business Continuity, Verschlüsselung, Zugriffskontrolle und Schulungen. Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen und nachweisbar dokumentiert sein.
Erhebliche Sicherheitsvorfälle sind mehrstufig zu melden: Frühwarnung innerhalb von 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat. Das erfordert eingeübte Prozesse — nicht nur ein Formular.
Geschäftsleitungen müssen Risikomanagement-Maßnahmen billigen, überwachen und sich schulen lassen. Bei Verstößen drohen persönliche Haftung sowie Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Die Sicherheit direkter Zulieferer und Dienstleister ist Teil des eigenen Risikomanagements. Verträge, Mindestanforderungen und Audits gegenüber Partnern werden damit zum Compliance-Baustein.
Betroffenheit prüfen → Gap-Analyse gegen die Pflichtenkataloge → Maßnahmen priorisieren → Meldewege und Verantwortlichkeiten festlegen. Wer strukturiert startet, verwandelt Regulierung in echten Sicherheitsgewinn.