NIS2-Umsetzung in Deutschland

Bereit für die neuen Cybersecurity-Anforderungen?

Die NIS2-Regulierung verschärft die IT-Sicherheitsanforderungen.
Aufsichtsbehörden, Gerichte und Versicherer werden die Einhaltung künftig aktiv prüfen.
Jetzt handeln – ohne Übergangsfrist.

Fachwissen aus NIS2-, ISO 27001-, TISAX- & BAIT-Projekten
Fokus auf kleine & mittelständische Unternehmen
Praxisnahe Checklisten & Vorlagen
Audit-erprobte Verfahren & persönliche Begleitung

Jetzt auf NIS2 vorbereiten

Prüfen Sie jetzt, ob Ihr Unternehmen

unter die NIS2-Richtlinie fällt

Die NIS2-Regulierung gilt nicht für alle – aber für immer mehr.
Wir prüfen für Sie die Anwendbarkeit nach BSIG (neu)
und zeigen klar, ob Sie als wichtige, besonders wichtige oder KRITIS-Einrichtung eingestuft werden.

Ihre NIS2-Betroffenheit prüfen

Gesetzliche Regelungen kennen

Verstehen Sie die rechtlichen Grundlagen der NIS2-Richtlinie und des BSIG(neu) – klar, praxisnah und ohne juristisches Fachchinesisch.

Anforderungen verstehen – ToDo’s

Erhalten Sie eine konkrete Übersicht aller NIS2-Pflichten – inklusive priorisierter Aufgaben, um schnell ins Handeln zu kommen.

GAP-Analyse:
Standort bestimmen

Wir zeigen, wo Ihr Unternehmen aktuell steht, welche Lücken bestehen und welche Maßnahmen notwendig sind, um NIS2-konform zu werden.

Maßnahmen umsetzen – Know-how und Coaching

Mit praxisbewährten Strategien begleiten wir Sie Schritt für Schritt bei der Umsetzung – von der Planung bis zur internen Schulung.

Was sind die
Anforderungen der

konkret für Ihr Unternehmen?

Die NIS2-Regulierung wird über das NIS2UmsuCG in deutsches Recht umgesetzt und modernisiert das BSI-Gesetz (BSIG neu).
Damit entstehen neue Pflichten für Betreiber wichtiger und besonders wichtiger Einrichtungen, um das Niveau der Cybersicherheit europaweit zu stärken.

Anforderungen verstehen

Ihr Weg zur NIS2-Umsetzung – Praxisnahes Coaching für nachhaltige Sicherheit

Wir unterstützen Sie bei der Umsetzung der NIS2-Anforderungen durch:

Fach-Know-How aus NIS2-, ISO27001, TISAX und BAIT-Projekten
Expertise in kleinen und mittelständischen Unternehmen
pragmatische Vorlagen und Templates
praxis- und audit-erprobte Verfahrensweisen
persönliche Begleitung

NIS2-Umsetzungscoaching

* Keine Rechtsberatung

Alles auf einen Blick

Übersicht der zentralen Gesetze und Verordnungen

NIS2 Richtlinie

Die NIS2-Richtlinie der EU ist ein Rechtsakt, der in nationales Recht transformiert werden muss. Das geschieht in einem nationalen Umsetzungsgesetz, dem NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz (NIS2UmsuCG), das aber im Wesentlichen das BSI-Gesetz (BSIG) neu fasst, das dann die konkreten Anforderungen enthält.

BSI Gesetz

Das BSI-Gesetz (BSIG) wird durch das deutsche Umsetzungsgesetz neu gefasst. Dort sind u.a. die Aufgaben des BSI, die europäische Zusammenarbeit, aber eben auch die Verankerung

der Definition der verpflichteten Unternehmen in §28 BSIG (wichtige und besonders wichtige Einrichtungen),
der Verpflichtungen für bzw. Anforderungen an wichtige und besonders wichtige Unternehmen in §30 BSIG sowie
der Verantwortung, Haftung und Pflichten der Geschäftsleitung in §38 BSIG .

NIS2UmsVO

Die NIS2UmsVO ist ein Vorhaben der EU zur Harmonisierung der Auslegung der NIS2-Richtlinie insbes. für die Erbringung bestimmter, grenzübergreifender Dienstleistungen.

Kritits Dach Gesetz

Das KRITIS-Dachgesetz zielt darauf ab, erstmals bundesweit einheitliche und sektoren- übergreifende Regelungen für den Schutz Kritischer Infrastrukturen (KRITIS)

DORA Verordnung

Die Digital Operational Resilience Act (DORA) der EU legt umfassende Regeln fest, um die digitale operationale Resilienz im Finanzsektor zu stärken. Sie fordert Finanzunternehmen auf, IKT-Risiken systematisch zu identifizieren, zu verwalten und zu melden, um ihre digitale Widerstandsfähigkeit gegen Cyberbedrohungen und technische Störungen zu erhöhen. DORA zielt darauf ab, Lücken in bestehenden Sicherheitsregelungen zu schließen und für EU-weit harmonisierte Anforderungen zu sorgen.

Alles wichtige zu NIS2

NIS2 Fact Sheet

Was ist die NIS2?

Die NIS2 ist die zweite EU-Richtlinie, die darauf abzielt bei Unternehmen der kritischen Infrastruktur sowie bei IT-Dienstleistern
das Gesamtniveau der Cybersicherheit und die Widerstandsfähigkeit gegenüber Cyberangriffen zu
erhöhen.

Wer ist von der NIS2 betroffen?

Die NIS2 unterscheidet in wesentliche und wichtige Einrichtungen – bis spätestens 17.04.2025 müssen die Mitgliedsstaaten der EU eine Liste mit den betroffenen Unternehmen erstellen:

Anhang I – Sektoren mit hoher Kritikalität – u.a.:

Energieversorger (z.B. Stromerzeuger)
Verkehrsunternehmen (z.B. Airlines, Eisenbahn)
Bankwesen (geregelt über – DORA)
Gesundheitswesen (z.B. Krankenhäuser)
Digitale Infrastruktur (z.B. Cloud- Anbieter, RZ-Betreiber)
Verwaltung von IKT-Diensten (z.B. Hosting-Anbieter)
Öffentliche Verwaltung (z.B. Bundesministerien)

Anhang II – Sonstige kritische Sektoren – u.a.:

Post- und Kurierdienste (z.B. Post)
Anbieter digitaler Dienste (z.B. Onlinesuchmaschinen)
Forschungseinrichtungen

Sanktionen/ Geldbuße

Wesentliche Einrichtungen → Höchstbetrag mind. 10 Mio. € oder mind. 2% vom weltweiten Umsatz aus vorherigen Geschäftsjahr
Wichtige Einrichtungen → Höchstbetrag mind. 7 Mio. € oder mind. 1,4% vom weltweiten Umsatz aus vorherigen Geschäftsjahr

Zeitplan für betroffene Einrichtungen

NIS2-Zeitstrahl

14.12.2022

Die NIS2-Richtlinie wurde im EU-Parlament verabschiedet.

Bis 17.10.2024

Überführung der Vorgaben der NIS2-Richtlinie in deutsches Recht.

Ab 18.10.2024

Einrichtungen müssen Vorgaben der NIS2 erfüllen.

Bis 17.04.2025

Liste der wesentlichen und wichtigen Einrichtungen.

17.10.2027

Überprüfung der NIS2-Richtlinie auf EU-Ebene.

Auszug relevanter Regelungsinhalte für betroffene Einrichtungen

Kapitel IV – Risikomangement u. Berichtspflichten für wesentliche und wichtige Einrichtungen

Governance – Vorgaben zum Rahmen der Unternehmensführung in Bezug auf Cybersicherheit (Art. 20), u.a.:
- Verantwortung auf Leitungsebene u. regelmäßige Schulung der Leitungsebene zu Cybersicherheitsrisiken
Mindestanforderungen an das Risikomanagement im Bereich Cybersicherheit (Art. 21):
- Implementierung von geeigneten und verhältnismäßigen technischen, operativen und organisatorischen Maßnahmen, u.a.:
  - Verfahren zur Bewältigung von Sicherheitsvorfällen
  - Implementierung von Sicherheitsmaßnahmen für Netz- und Informationssysteme
  - Aufrechterhaltung des Betriebs, wie Backup und Wiederherstellung
  - Grundlegende Verfahren für Cyberhygiene und Schulungen
  - Einsatz von Kryptografie und gegebenenfalls Verschlüsselung

- Spezifizierung von technischen und methodischen Anforderungen in Durchführungsakten für einzelne Sektoren → Veröffentlichung bis 17.10.2024 vorgesehen

Berichtspflichten für erhebliche Sicherheitsvorfälle (Art. 23) → Spezifizierung der Anford. bis zum 17.10.2024

Kapitel V – Spezifische Vorschriften zu Zuständigkeiten und Registrierungspflichten für Einrichtungen digitaler Infrastruktur und digitaler Dienste (Art. 26 – 28)

Kapitel VI – Freiwilliger Informationsaustausch zur Cybersicherheit (Art. 29 – 30)

NIS2 Richtlinie was ist genau zu beachten?

Häufig gestellte Fragen

Welche Unternehmen Einrichtungen im Sinne von NIS2?

Im Prinzip alle, aber nicht jede Einrichtung fällt unter NIS2.

geregelt in:

Artikel der NIS2-Rili
§ des BSIG

Ab welcher Mitarbeiterzahl ist NIS2 umzusetzen?

gem. Art. 2 NIS2-RiLi : Empfehlung 2003/361/EG

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32003H0361

Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) werden in der EU-Empfehlung 2003/361 definiert. Danach zählt ein Unternehmen zu den KMU, wenn es nicht mehr als 249 Beschäftigte hat und einen Jahresumsatz von höchstens 50 Millionen € erwirtschaftet oder eine Bilanzsumme von maximal 43 Millionen € aufweist.

https://www.ifm-bonn.org/definitionen/kmu-definition-der-eu-kommission

Nur mittelgroße Unternehmen mit mindestens 50 Mitarbeitern sind verpflichtet, die NIS2-Richtlinie umzusetzen, es sei denn, sie werden aufgrund ihrer besonderen Bedeutung in den Ausnahmen zu den Größenkriterien genannt.
Dennoch könnte es vorkommen, dass auch kleinere Unternehmen, die eigentlich nicht gesetzlich dazu verpflichtet sind, aufgrund des Drucks ihrer Kunden gezwungen werden, die Richtlinie zu implementieren.

Wann sind Umsetzungsnachweise nach NIS2 zu erbringen?

Das richtet sich nach dem Umsetzungsgesetz – geplant ist 3 Jahre nach Wirksamkeit des Umsetzungsgesetzes, d.h. frühestens Ende 2027.

Wann ist NIS2 anwendbar?

Die NIS2-Richtlinie ist bereits in Kraft getreten – Anwendbarkeit für Unternehmen und andere Einrichtungen besteht aber erst nach Inkrafttreten eines Umsetzungsgesetzes.
Und die Nachweispflicht der Umsetzung beginnt auch erst viel später.

Ist die NIS2-Richtlinie unmittelbar anwendbar?

Nein, das ist sie nicht. Wenn Deutschland die Umsetzungsfrist verpasst, besteht auch keine Verpflichtung der Unternehmen.

https://www.linkedin.com/pulse/nis2-richtlinie-verpasst-deutschland-die-frist-zur-umsetzung-hessel/

Und: Die Unternehmen müssen das nicht bis Oktober umgesetzt haben, sondern erst viel später…

Was ist der Unterschied zwischen der NIS2-Richtlinie und dem NIS2UmsuCG?

Die NIS2-Richtlinie und das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland sind beide auf die Verbesserung der Cybersicherheit ausgerichtet. Allerdings haben sie unterschiedliche Funktionen und Anwendungsbereiche.

Die NIS2-Richtlinie ist eine EU-weite Vorschrift, die darauf abzielt, das Sicherheitsniveau der Cybersicherheit durch einheitliche Standards zu verbessern. Sie legt strengere Sicherheitsmaßnahmen fest und erweitert den Anwendungsbereich auf mehr Organisationen. Dies schließt ausführliche Anforderungen an das Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und eine stärkere Haftung der Geschäftsleitung ein.

Das NIS2-Umsetzungs und Cyberresilienz-Stärkungsgesetz (NIS2UmsuCG) setzt diese Richtlinie in deutsches Recht um. Es definiert, welche Organisationen als kritische Infrastrukturen gelten und spezifiziert die notwendigen Schutzmaßnahmen für deren Netzwerke und Informationssysteme. Das Gesetz umfasst sowohl technische als auch organisatorische Maßnahmen, legt Standards zur Sicherheit der Lieferketten fest, betont die Verantwortlichkeit der Geschäftsleitung und fordert eine effektive Reaktion auf Sicherheitsvorfälle.

Das NIS2UmsuCG tut dies durch Novellierung des BSI-Gesetzes (BSIG), in dem die einzelnen Anforderungen spezifiziert sind.