Stufen Sie Ihre Einrichtung ein, verfolgen Sie die Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21 und halten Sie die NIS2-Meldefristen von 24 Stunden, 72 Stunden und 30 Tagen ein — in einem einzigen Arbeitsbereich.
Wer muss handeln
Mittlere und große Einrichtungen in Sektoren der Anhänge I/II (über 50 Beschäftigte oder über 10 Mio. € Umsatz)
In Kraft seit
Nationale Umsetzung ab 17. Oktober 2024
Höchststrafen
Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
Der Anwendungsbereich richtet sich nach Artikel 2 in Verbindung mit den Anhängen I und II. Bestimmte Einrichtungen — etwa DNS-Diensteanbieter, Register für Domänennamen oberster Stufe (TLD) und qualifizierte Vertrauensdiensteanbieter — fallen unabhängig von ihrer Größe darunter. Dies ist eine Orientierungshilfe, keine Rechtsberatung; klären Sie Ihren Status mit einem Rechtsbeistand.
NIS2 erhöht die Anforderungen an das Cyber-Risikomanagement und die Meldung von Vorfällen für betroffene Organisationen in der gesamten EU. Die wichtigsten Pflichten:
Geeignete technische, operative und organisatorische Maßnahmen ergreifen — Risikoanalyse, Behandlung von Vorfällen, Betriebskontinuität, Verschlüsselung, Zugangskontrolle und mehr — angemessen zu den bestehenden Risiken.
Ihr CSIRT oder die zuständige Behörde innerhalb strenger Fristen benachrichtigen: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats nach einem erheblichen Sicherheitsvorfall.
Die Leitungsorgane müssen die Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und an Schulungen teilnehmen — und können bei Verstößen haftbar gemacht werden.
Cybersicherheitsrisiken in Ihrer Lieferkette und in den Lieferantenbeziehungen bewerten und angehen, einschließlich der Sicherheitspraktiken Ihrer direkten IKT-Anbieter.
Verwandeln Sie die Richtlinie in ein nachverfolgtes, mit Nachweisen belegtes Programm — ohne Tabellenkalkulationen.
Verfolgen Sie jede grundlegende Risikomanagementmaßnahme im Abgleich mit Ihrem aktuellen Stand — mit Nachweisen und klarer Lückentransparenz.
Erfassen Sie erhebliche Sicherheitsvorfälle und lassen Sie die Fristen von 24 h / 72 h / 30 Tagen automatisch berechnen — mit vorausgefüllten Behördenmeldungen, die an Ihren CSIRT-Kontakt weitergeleitet werden.
Legen Sie die Stufe Ihrer Einrichtung fest, damit die richtigen Erinnerungen, die Meldungsweiterleitung und die Pflichten für Ihre Organisation gelten.
Nutzen Sie NIS2-Kontrollen über DSGVO, DORA und die EU-KI-Verordnung hinweg mit der Framework-Mapping-Engine — einmal nachweisen, mehrfach erfüllen.
NIS2 gilt für mittlere und große Einrichtungen (grob: über 50 Beschäftigte oder mehr als 10 Mio. € Umsatz), die in den Sektoren mit hoher Kritikalität des Anhangs I oder den sonstigen kritischen Sektoren des Anhangs II tätig sind. Bestimmte Einrichtungstypen — etwa DNS-Diensteanbieter, Register für Domänennamen oberster Stufe (TLD) und qualifizierte Vertrauensdiensteanbieter — fallen unabhängig von ihrer Größe darunter.
Die Mitgliedstaaten mussten die Richtlinie (EU) 2022/2555 bis zum 17. Oktober 2024 in nationales Recht umsetzen und damit die ursprüngliche NIS-Richtlinie ersetzen. Die Pflichten gelten über die Umsetzungsgesetze des jeweiligen Landes.
Wesentliche Einrichtungen stammen aus den Sektoren mit hoher Kritikalität des Anhangs I und unterliegen einer proaktiven Aufsicht; wichtige Einrichtungen stammen aus den Sektoren des Anhangs II und werden reaktiv beaufsichtigt. Beide müssen die Risikomanagement- und Meldepflichten erfüllen — Aufsichtsregime und Höchststrafen unterscheiden sich.
Bei einem erheblichen Sicherheitsvorfall: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats, einzureichen beim nationalen CSIRT oder der zuständigen Behörde.
Wesentlichen Einrichtungen drohen Geldbußen von bis zu 10 Millionen € oder 2% des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist; wichtigen Einrichtungen bis zu 7 Millionen € oder 1,4%. Auch die Leitungsorgane können persönlich zur Verantwortung gezogen werden.
Machen Sie die kostenlose Selbsteinschätzung, um Ihren NIS2-Anwendungsbereich und Ihre Pflichten in wenigen Minuten einzuschätzen — ohne Konto.