Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

NIS2 verstehen und handeln.

Von der Betroffenheitsprüfung über Risikomanagement bis zur Lieferkettensicherheit. Branchenübergreifende Cybersicherheit nach EU-Recht.

ISMS
18
Sektoren betroffen
24 Std.
Frist zur Erstmeldung bei erheblichen Sicherheitsvorfällen
10 Mio.
Euro maximales Bußgeld
38,5 %
der registrierungspflichtigen Einrichtungen haben sich bis Q1 2026 beim BSI registriert
47
förmliche BSI-Anhörungsverfahren nach NIS2 im Q4 2025

Unsicher, ob NIS2 für Sie gilt?

Betroffenheit prüfen →
Hintergrund

Wer ist betroffen und was wird gefordert?

Hinweis: NIS2 ist eine EU-Richtlinie und gilt nicht unmittelbar für Unternehmen. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht umgesetzt, das seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft ist.

Das NIS2UmsuCG erweitert die Cybersicherheitspflichten auf wesentlich mehr Unternehmen als bisher. Wesentliche Einrichtungen (Energie, Gesundheit, Finanz, Verkehr, Wasser, digitale Infrastruktur) und wichtige Einrichtungen (Post, Chemie, Lebensmittel, verarbeitendes Gewerbe u.a.) unterliegen unterschiedlich strengen Anforderungen. Entscheidend: Auch die Lieferkette wird miteinbezogen. Ihre Lieferanten müssen NIS2-Anforderungen nachweisbar erfüllen.

Hintergrund

Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Das BSI hat Anfang Mai 2026 die aktive Prüfphase gestartet und kontrolliert nun rund 29.500 betroffene Einrichtungen in 18 Sektoren. Das BSI hat erste Bußgeldverfahren eingeleitet. Die Compliance-Pflicht ist keine Ankündigung mehr, sie wird jetzt aktiv durchgesetzt. Eine verspätete Registrierung ist weiterhin möglich und wird vom BSI als aktives Compliance-Signal gewertet. Unternehmen ohne Registrierung riskieren Bußgelder bis 10 Mio. Euro. Ab dem 1. Juni 2026 startet das BSI-Portal Schritt 2: Registrierte Einrichtungen hinterlegen dort ihre Ansprechpersonen und Sicherheitsmaßnahmen.

NIS2 Kernanforderungen

  • Risikomanagement
  • Incident Management
  • Lieferkettensicherheit
  • Sicherheitsmaßnahmen
  • Governance
  • Business Continuity
Leistungen

Was wir für Sie übernehmen.

Betroffenheitsprüfung

  • Sektorzuordnung und Schwellenwert-Prüfung
  • Registrierungspflichten beim BSI
  • Analyse bestehender ISMS-Anforderungen vs. NIS2
  • Überschneidungen mit anderen Anforderungen

Risikomanagement & Maßnahmen

  • NIS2-konformes Risikomanagement aufbauen
  • Technische Maßnahmen: MFA, Verschlüsselung, Monitoring
  • Organisatorische Maßnahmen: Policies, Rollen, Schulungen
  • Business-Continuity-Konzept nach NIS2

Incident Management & Meldung

  • Incident-Klassifikation und Schwellenwerte
  • 24h-Erstmeldung, 72h-Meldung, Abschlussbericht
  • Drei parallele Meldewege im Ernstfall: BSI, Datenschutzbehörde (bei Datenpannen) und Cyberversicherung
  • Meldewege zu BSI und sektorspezifischen Behörden
  • Integration in bestehendes Incident-Response-System

Lieferkette & Governance

  • Lieferanten-Sicherheitsanforderungen definieren
  • Vertragliche Verankerung von NIS2-Pflichten
  • Leitungsorgan-Schulung und Haftungsabsicherung
  • Nachweis der Compliance-Maßnahmen
Vorgehensweise

Vier Züge zur NIS2-Umsetzung.

01

Betroffenheit

Sektor, Schwellenwert und Anforderungstiefe bestimmen.

02

Gap-Analyse

Abgleich bestehender Maßnahmen gegen NIS2-Anforderungen.

03

Umsetzung

Risikomanagement, Meldeprozesse, Lieferantenanforderungen.

04

Betrieb & Meldung

Laufendes Monitoring, Incident-Meldung, BSI-Registrierung.

FAQ

Häufige Fragen zur NIS2-Umsetzung.

Verwandte Themen

NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. In Deutschland wurde sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt, das seit dem 6. Dezember 2025 ohne Übergangsfrist gilt. Das Gesetz erweitert den Anwendungsbereich erheblich und erhöht die Anforderungen an Cybersecurity-Maßnahmen, Meldepflichten und Governance.

NIS2 betrifft Unternehmen in 18 Sektoren, darunter Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, Verarbeitendes Gewerbe, Lebensmittel, Chemie und Post. Die Einstufung erfolgt in wesentliche und wichtige Einrichtungen.

Bei erheblichen Sicherheitsvorfällen gilt eine gestufte Meldepflicht: Innerhalb von 24 Stunden eine Erstmeldung, innerhalb von 72 Stunden ein detaillierter Zwischenbericht und innerhalb von einem Monat ein Abschlussbericht an das BSI. Sind dabei personenbezogene Daten betroffen, läuft parallel eine 72-Stunden-Meldepflicht gegenüber der zuständigen Datenschutzbehörde nach Art. 33 DSGVO. Zusätzlich muss die Cyberversicherung innerhalb der Policefrist benachrichtigt werden. Diese drei Meldewege müssen gleichzeitig bedient werden und erfordern einen abgestimmten Prozess im Voraus.

NIS2 führt eine persönliche Haftung von Geschäftsführern und Leitungsorganen ein. Diese können bei schuldhafter Verletzung von NIS2-Pflichten persönlich in Haftung genommen werden und sind verpflichtet, Cybersecurity-Schulungen zu absolvieren.

Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegen die Obergrenzen bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Die Kosten hängen von der Unternehmensgröße, der Ausgangssituation und dem Umsetzungsumfang ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

NIS2-konform, auch in der Lieferkette.

Prüfen Sie jetzt Ihre Betroffenheit und starten Sie die Umsetzung.

Erstgespräch buchen