In einem unverbindlichen Gespräch mit einem Trustlinks-Experten besprechen wir, ob die NIS2-Richtlinie bzw. das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) voraussichtlich auf Ihre Organisation Anwendung findet und was die wichtigsten Anforderungen in der Praxis bedeuten.
Das Gespräch dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar.
Compliance specialist, Trustlinks
Die NIS2-Richtlinie (EU) 2022/2555 ist das aktualisierte Cybersicherheitsgesetz der Europäischen Union. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich und stellt deutlich höhere Anforderungen an Risikomanagement, Vorfallmeldungen, Sicherheit der Lieferkette sowie die Verantwortung der Geschäftsleitung. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Betroffen sind in der Regel mittlere und große Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz) in den unten aufgeführten Sektoren. Einige besonders kritische Einrichtungen fallen unabhängig von ihrer Unternehmensgröße unter die Regelung.
Artikel 21 der NIS2-Richtlinie definiert Mindestanforderungen an das Cybersicherheits-Risikomanagement, die jede betroffene Organisation entsprechend ihrer Größe, ihres Risikoprofils und ihrer Gefährdung umsetzen muss.
Richtlinien und Maßnahmen zu Risikoanalysen, Systemsicherheit, Kryptografie, Zugriffskontrollen, Multi-Faktor-Authentifizierung sowie sicherer Softwareentwicklung – stets angemessen zum jeweiligen Risiko.
Eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats an das zuständige nationale CSIRT bzw. in Deutschland an das BSI.
Cyberrisiken bei Lieferanten und Dienstleistern müssen bewertet und kontinuierlich überwacht werden – nicht nur die eigene IT.
Die Geschäftsleitung muss Sicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und regelmäßig geschult werden. Das Gesetz sieht eine persönliche Verantwortlichkeit vor.
Backup-Strategien, Notfallwiederherstellung und Krisenmanagement müssen vorhanden, dokumentiert und regelmäßig getestet werden.
Strukturierte Prozesse zur Erkennung, Bewertung und Behebung von Schwachstellen in Produkten und Dienstleistungen.
NIS2 sieht einige der höchsten Cybersicherheits-Sanktionen innerhalb der EU vor und nimmt die Unternehmensleitung ausdrücklich in die Verantwortung.
oder 2 % des weltweiten Jahresumsatzes
oder 1,4 % des weltweiten Jahresumsatzes
Darüber hinaus kann die Geschäftsleitung persönlich haftbar gemacht werden. In schwerwiegenden Fällen sind sogar befristete Tätigkeitsverbote für Führungskräfte möglich.
Trustlinks kombiniert eine Plattform für kontinuierliches Compliance-Management mit lokaler Expertise und persönlicher Unterstützung. So erreichen Sie schneller NIS2-Compliance und behalten diese dauerhaft im Blick.
Vergleichen Sie Ihren aktuellen Reifegrad mit allen relevanten Anforderungen der NIS2-Richtlinie. Sie erhalten einen klar priorisierten Maßnahmenplan – innerhalb weniger Tage statt Monate.
Trustlinks automatisiert die Sammlung von Nachweisen, überwacht Ihre Sicherheitsmaßnahmen kontinuierlich und unterstützt das Reporting.
Arbeiten Sie mit Spezialisten zusammen, die sowohl das deutsche NIS2-Umsetzungsgesetz als auch die Anforderungen Ihrer Branche kennen.
Erstellen Sie genau die Nachweise und Dokumentationen, die Auditoren und Aufsichtsbehörden erwarten – ganz ohne aufwendige Excel-Listen.
Wenn Ihr Unternehmen in einem der betroffenen Sektoren tätig ist und mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von über 10 Mio. € erzielt, ist eine Betroffenheit wahrscheinlich. Für einige kritische Einrichtungen gelten diese Schwellenwerte nicht. In einem kostenlosen 15-minütigen Gespräch können wir gemeinsam eine erste Einschätzung vornehmen. Eine rechtsverbindliche Bewertung sollte jedoch durch qualifizierte Rechtsberatung erfolgen.
NIS2 erweitert den Anwendungsbereich erheblich, vereinheitlicht die Vorgaben innerhalb der EU, verschärft die Fristen für Vorfallmeldungen, führt verbindliche Anforderungen an die Sicherheit der Lieferkette ein und stärkt die persönliche Verantwortung der Geschäftsleitung. Gleichzeitig wurden die möglichen Bußgelder deutlich erhöht.
Eine frühzeitige Meldung an Ihr nationales CSIRT innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls, eine Vorfallmeldung innerhalb von 72 Stunden (einschließlich einer ersten Einschätzung) sowie ein Abschlussbericht innerhalb eines Monats.
Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für besonders wichtige Unternehmen und bis zu 7 Millionen Euro oder 1,4 % für wichtige Unternehmen. Zusätzlich können persönliche Sanktionen gegen Mitglieder der Geschäftsleitung verhängt werden.
Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland erfolgt dies über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
NIS2 schreibt kein bestimmtes Managementsystem vor. Standards wie ISO 27001 decken jedoch einen Großteil der geforderten Maßnahmen ab und erleichtern den Nachweis der Compliance erheblich. Trustlinks ordnet bestehende Maßnahmen automatisch den relevanten NIS2-Anforderungen zu.
Je nach Größe und Reifegrad der Organisation dauert die erste Umsetzung meist mehrere Monate. Eine Gap-Analyse ist häufig innerhalb von zwei bis vier Wochen abgeschlossen, während die eigentliche Umsetzung und Nachweiserbringung deutlich mehr Zeit in Anspruch nehmen. Mit Trustlinks steuern Sie alle Aufgaben – von Gap-Analyse und Risikobewertung bis hin zu Lieferantenmanagement und Nachweisdokumentation – zentral auf einer Plattform.
Wir besprechen gemeinsam, ob NIS2 voraussichtlich auf Ihre Organisation Anwendung findet, welche Kategorie für Sie relevant sein könnte, wo typische Handlungsfelder liegen und wie ein realistischer Weg zur Compliance aussehen kann. Das Gespräch dient ausschließlich der Information und ersetzt keine Rechtsberatung. Für eine verbindliche rechtliche Bewertung empfehlen wir die Konsultation eines spezialisierten Rechtsberaters.
Sprechen Sie mit einem lokalen Trustlinks-Experten. Keine Vorbereitung erforderlich – bringen Sie einfach Ihre Fragen mit. Gemeinsam besprechen wir, ob NIS2 bzw. das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) voraussichtlich auf Ihre Organisation Anwendung findet und wie sinnvolle nächste Schritte aussehen können. Das Gespräch dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar.
Dieses Beratungsgespräch dient ausschließlich Informationszwecken. Es stellt keine Rechtsberatung dar und begründet kein Mandatsverhältnis. Für eine verbindliche rechtliche Bewertung Ihrer Pflichten wenden Sie sich bitte an eine qualifizierte Rechtsberatung.
Compliance specialist, Trustlinks
Haben Sie Fragen zu Preisen, Frameworks oder dazu, wie Trustlinks in Ihre Organisation passt? Unser Team hilft Ihnen gerne, die passende Lösung zu finden.
→ Oder erkunden Sie unsere häufig gestellten Fragen (FAQ)
Benötigen Sie Hilfe bei der Nutzung der Plattform oder haben Sie ein Problem? Unser Support-Team unterstützt Sie gerne.
Trustlinks respektiert Ihre Privatsphäre. Wir kontaktieren Sie ausschließlich in Bezug auf unsere Lösungen.