Was ist NIS2?
NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Vorgänger (NIS) erheblich – sowohl beim Kreis der betroffenen Unternehmen als auch bei den Sicherheits- und Meldepflichten. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU.
Wen betrifft NIS2?
NIS2 unterscheidet zwei Kategorien: „wesentliche“ und „wichtige“ Einrichtungen. Abgedeckt sind 18 Sektoren, darunter Energie, Verkehr, Schifffahrt und Häfen, digitale Infrastruktur, Gesundheit, öffentliche Verwaltung und das verarbeitende Gewerbe. Ob Sie betroffen sind, hängt von Sektor, Mitarbeiterzahl und Umsatz ab – viele mittelständische Unternehmen fallen erstmals in den Anwendungsbereich.
- Wesentliche Einrichtungen: strengere Aufsicht, proaktive Kontrollen.
- Wichtige Einrichtungen: Aufsicht überwiegend anlassbezogen.
Die zentralen Pflichten
- Risikomanagement: technische und organisatorische Maßnahmen nach dem Stand der Technik (Zugriffskontrolle, Verschlüsselung, Backup, Incident-Handling).
- Meldepflichten: Frühwarnung bei erheblichen Vorfällen typischerweise innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden.
- Lieferketten-Sicherheit: Bewertung der Risiken durch Dienstleister und Zulieferer.
- Verantwortung der Leitung: Die Geschäftsführung haftet persönlich für die Umsetzung und muss Schulungen nachweisen.
Umsetzung in Deutschland
Deutschland überführt NIS2 über das NIS2-Umsetzungsgesetz in nationales Recht. Betroffene Einrichtungen müssen sich registrieren und die Sicherheits- und Meldepflichten erfüllen. Wer früh beginnt, vermeidet Zeitdruck bei Registrierung und Nachweisführung.
So bereiten Sie sich vor
- Geltungsbereich klären: Fällt Ihr Unternehmen unter NIS2?
- Gap-Analyse gegen die NIS2-Anforderungen durchführen.
- Risikomanagement- und Meldeprozesse etablieren.
- ISO 27001 als bewährtes Rahmenwerk nutzen, um Pflichten strukturiert abzudecken.
DMG Infotech begleitet Sie von der Scope-Klärung über die Gap-Analyse bis zum priorisierten Fahrplan – mit ISO-27001-Mapping und etablierten Meldeprozessen. Sehen Sie auch unsere Compliance-Leistungen.