NIS2-COMPLIANCE – verständlich erklärt. In nur 15 Minuten

Kostenloses 15-minütiges Beratungsgespräch

In einem unverbindlichen Gespräch mit einem Trustlinks-Experten besprechen wir, ob die NIS2-Richtlinie bzw. das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) voraussichtlich auf Ihre Organisation Anwendung findet und was die wichtigsten Anforderungen in der Praxis bedeuten.

Das Gespräch dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar.

DIE NIS2-RICHTLINIE IM ÜBERBLICK

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (EU) 2022/2555 ist das aktualisierte Cybersicherheitsgesetz der Europäischen Union. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich und stellt deutlich höhere Anforderungen an Risikomanagement, Vorfallmeldungen, Sicherheit der Lieferkette sowie die Verantwortung der Geschäftsleitung. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

WER IST BETROFFEN?

Gilt NIS2 für Ihre Organisation?

NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Betroffen sind in der Regel mittlere und große Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz) in den unten aufgeführten Sektoren. Einige besonders kritische Einrichtungen fallen unabhängig von ihrer Unternehmensgröße unter die Regelung.

Besonders wichtige Einrichtungen Höchste Aufsicht und strengste Sanktionen
Wichtige Einrichtungen Risikobasierte Aufsicht und Durchsetzung nach Vorfällen
WAS NIS2 VERLANGT

Die sechs Säulen der NIS2-Compliance

Artikel 21 der NIS2-Richtlinie definiert Mindestanforderungen an das Cybersicherheits-Risikomanagement, die jede betroffene Organisation entsprechend ihrer Größe, ihres Risikoprofils und ihrer Gefährdung umsetzen muss.

Risikomanagement

Richtlinien und Maßnahmen zu Risikoanalysen, Systemsicherheit, Kryptografie, Zugriffskontrollen, Multi-Faktor-Authentifizierung sowie sicherer Softwareentwicklung – stets angemessen zum jeweiligen Risiko.

Vorfallmeldungen (24 Stunden / 72 Stunden / 1 Monat)

Eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats an das zuständige nationale CSIRT bzw. in Deutschland an das BSI.

Sicherheit der Lieferkette

Cyberrisiken bei Lieferanten und Dienstleistern müssen bewertet und kontinuierlich überwacht werden – nicht nur die eigene IT.

 

 

Governance & Verantwortung

Die Geschäftsleitung muss Sicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und regelmäßig geschult werden. Das Gesetz sieht eine persönliche Verantwortlichkeit vor.

Business Continuity

Backup-Strategien, Notfallwiederherstellung und Krisenmanagement müssen vorhanden, dokumentiert und regelmäßig getestet werden.

Umgang mit Schwachstellen

Strukturierte Prozesse zur Erkennung, Bewertung und Behebung von Schwachstellen in Produkten und Dienstleistungen.

DIE KOSTEN DER NICHTEINHALTUNG

Bußgelder bei Verstößen gegen NIS2

NIS2 sieht einige der höchsten Cybersicherheits-Sanktionen innerhalb der EU vor und nimmt die Unternehmensleitung ausdrücklich in die Verantwortung.

Besonders wichtige EinrichtungenBis zu 10.000.000 €

oder 2 % des weltweiten Jahresumsatzes

Wichtige EinrichtungenBis zu 7.000.000 €

oder 1,4 % des weltweiten Jahresumsatzes

Darüber hinaus kann die Geschäftsleitung persönlich haftbar gemacht werden. In schwerwiegenden Fällen sind sogar befristete Tätigkeitsverbote für Führungskräfte möglich.

HÄUFIG GESTELLTE FRAGEN

Fragen rund um NIS2

Gilt NIS2 für mein Unternehmen?

Wenn Ihr Unternehmen in einem der betroffenen Sektoren tätig ist und mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von über 10 Mio. € erzielt, ist eine Betroffenheit wahrscheinlich. Für einige kritische Einrichtungen gelten diese Schwellenwerte nicht. In einem kostenlosen 15-minütigen Gespräch können wir gemeinsam eine erste Einschätzung vornehmen. Eine rechtsverbindliche Bewertung sollte jedoch durch qualifizierte Rechtsberatung erfolgen.

NIS2 erweitert den Anwendungsbereich erheblich, vereinheitlicht die Vorgaben innerhalb der EU, verschärft die Fristen für Vorfallmeldungen, führt verbindliche Anforderungen an die Sicherheit der Lieferkette ein und stärkt die persönliche Verantwortung der Geschäftsleitung. Gleichzeitig wurden die möglichen Bußgelder deutlich erhöht.

Eine frühzeitige Meldung an Ihr nationales CSIRT innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls, eine Vorfallmeldung innerhalb von 72 Stunden (einschließlich einer ersten Einschätzung) sowie ein Abschlussbericht innerhalb eines Monats.

Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für besonders wichtige Unternehmen und bis zu 7 Millionen Euro oder 1,4 % für wichtige Unternehmen. Zusätzlich können persönliche Sanktionen gegen Mitglieder der Geschäftsleitung verhängt werden.

Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland erfolgt dies über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

NIS2 schreibt kein bestimmtes Managementsystem vor. Standards wie ISO 27001 decken jedoch einen Großteil der geforderten Maßnahmen ab und erleichtern den Nachweis der Compliance erheblich. Trustlinks ordnet bestehende Maßnahmen automatisch den relevanten NIS2-Anforderungen zu.

Je nach Größe und Reifegrad der Organisation dauert die erste Umsetzung meist mehrere Monate. Eine Gap-Analyse ist häufig innerhalb von zwei bis vier Wochen abgeschlossen, während die eigentliche Umsetzung und Nachweiserbringung deutlich mehr Zeit in Anspruch nehmen. Mit Trustlinks steuern Sie alle Aufgaben – von Gap-Analyse und Risikobewertung bis hin zu Lieferantenmanagement und Nachweisdokumentation – zentral auf einer Plattform.

Wir besprechen gemeinsam, ob NIS2 voraussichtlich auf Ihre Organisation Anwendung findet, welche Kategorie für Sie relevant sein könnte, wo typische Handlungsfelder liegen und wie ein realistischer Weg zur Compliance aussehen kann. Das Gespräch dient ausschließlich der Information und ersetzt keine Rechtsberatung. Für eine verbindliche rechtliche Bewertung empfehlen wir die Konsultation eines spezialisierten Rechtsberaters.

WIR SIND BEREIT, WENN SIE ES SIND

In nur 15 Minuten Klarheit über NIS2 – kostenlos und unverbindlich

Sprechen Sie mit einem lokalen Trustlinks-Experten. Keine Vorbereitung erforderlich – bringen Sie einfach Ihre Fragen mit. Gemeinsam besprechen wir, ob NIS2 bzw. das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) voraussichtlich auf Ihre Organisation Anwendung findet und wie sinnvolle nächste Schritte aussehen können. Das Gespräch dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar.

Dieses Beratungsgespräch dient ausschließlich Informationszwecken. Es stellt keine Rechtsberatung dar und begründet kein Mandatsverhältnis. Für eine verbindliche rechtliche Bewertung Ihrer Pflichten wenden Sie sich bitte an eine qualifizierte Rechtsberatung.

Philipp Garz, Territory Manager.

Philipp Garz

Compliance specialist, Trustlinks

Telefon: +49 800 1816067
philipp.garz@trustlinks.com

Trustlinks Logo weiß.

Sprechen Sie mit dem Vertrieb

Haben Sie Fragen zu Preisen, Frameworks oder dazu, wie Trustlinks in Ihre Organisation passt? Unser Team hilft Ihnen gerne, die passende Lösung zu finden.

→ Oder erkunden Sie unsere häufig gestellten Fragen (FAQ)

Produktsupport erhalten

Benötigen Sie Hilfe bei der Nutzung der Plattform oder haben Sie ein Problem? Unser Support-Team unterstützt Sie gerne.

Kontaktieren Sie uns

Demo buchen

Senden Sie uns eine Nachricht – unser Team meldet sich in Kürze bei Ihnen.