Mehr Cybersicherheit für Unternehmen
NIS2
Sie suchen erfahrene Experten, die regulatorische Anforderungen in praxisnahe Sicherheitsprozesse übersetzen?
Mit technischer Expertise, regulatorischem Know-how und pragmatischem Vorgehen unterstützen wir Sie ganzheitlich bei der Umsetzung der NIS2-Richtlinie.
Ob GAP-Analyse, Maßnahmenplanung oder operative Umsetzung: Wir bringen Struktur in komplexe Anforderungen – praxisnah, nachhaltig und auf Ihr Geschäftsmodell ausgerichtet.
Sind Sie von NIS2 betroffen?
NIS2 Quick Check der Betroffenheit
Sind Sie auf das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vorbereitet?
Oder wissen Sie womöglich noch gar nicht, dass Ihr Unternehmen betroffen sein könnte?
Unsere Expertise im Überblick
Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise zu geben, haben wir einige anonymisierte Referenzen für Sie zusammengestellt.
Sie möchten mehr darüber erfahren, wie wir Unternehmen in den Bereichen Cyber Security, DORA, ISO27001, BCM und weiteren Themen erfolgreich unterstützen?
Entdecken Sie hier weitere ausgewählte Referenzprojekte aus verschiedenen Branchen:
Referenzprojekte NIS2
Branche:
Mittelstand
Funktion:
Projektverantwortlicher
Verantwortungsbereiche:
- Cyber Security Reifegrad Analyse gemäß NIST + NIS2 Draft
- Regelmäßiges Reporting und Vorstellung des Reifegrades an Geschäftsführung
- Abstimmungen der Reifegrade mit Geschäftsführung
- Erstellung von Road Maps sowie Empfehlungen in Form von Projektpaketen zur Erhöhung des Reifegrades
- Unterstützung bei der operativen Umsetzung / Behebung der identifizierten GAPs
Branche:
Banken / Finanzwesen
Funktion:
Projektverantwortlicher
Verantwortungsbereiche:
- Cyber Security Reifegradanalyse:
Durchführung einer umfassenden Reifegradanalyse gemäß DORA und NIS2-Draft. - Stakeholder-Kommunikation & Reporting:
Regelmäßige Vorstellung der Analyseergebnisse an Vorstände, Aufsichtsräte, Regulatoren, Behörden und Betriebsräte. - Abstimmung mit Kontrollinstanzen:
Enge Zusammenarbeit und Reifegradabgleich mit der First und Second Line of Defense. - Management-Empfehlungen & Maßnahmenplanung:
Entwicklung konkreter Handlungsempfehlungen, Management Action Pläne und definierter Projektpakete zur Erhöhung des Reifegrads. - Operative Unterstützung & Behebung der identifizierten GAPs:
Verbesserung der Schwachstellenscans auf authentifizierte Scans; Review und Detailierung (Threat based) von Playbooks im SIEM Umfeld; Bewertung von Frameworks und Prozessen zur Risikobewertung; Strategische Betrachtung und Beurteilung weiterer Technologien zur Verbesserung der Netzwerksicherheit (IDS / IPS), EDR-Konfiguration und Verteilung; Konzepte zu Data at Rest und Data in Transit.
Network and Information Security
Was ist NIS2?
NIS2 ist eine richtungsweisende Cybersicherheitsrichtlinie der Europäischen Union, die darauf abzielt, ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU zu etablieren, Sicherheitsvorfälle transparenter zu machen und die Resilienz der europäischen Wirtschaft gegenüber digitalen Risiken signifikant zu erhöhen. Seit ihrem Inkrafttreten am 16. Januar 2023 stellt NIS2 eine Weiterentwicklung der ursprünglichen „Network and Information Security“ Richtlinie (NIS) dar.
Der Geltungsbereich wurde ausgeweitet und setzt deutlich strengere Anforderungen an Unternehmen in wichtigen Sektoren – betroffen sind nun auch mittlere Unternehmen in zentralen Wirtschafts- und Versorgungssektoren. Die Richtlinie formuliert verbindliche Anforderungen an Risikomanagement, Vorfallmeldung, Business Continuity sowie den Umgang mit Drittanbietern.
Die drei Hauptsäulen von NIS2
NIS2 basiert auf drei strategischen Säulen, die zusammen ein robustes Fundament für ein hohes Cybersicherheitsniveau in Europa bilden:
Verantwortlichkeiten der Mitgliedstaaten
Staatliche Rahmenbedingungen für effektive Cybersicherheit:
- Aufbau nationaler Strategien und Behörden
- Krisenmanagement-Rahmen & CVD-Prozesse
- Koordination auf EU-Ebene
Risikomanagement & Unternehmenspflichten
Verbindliche Vorgaben für Unternehmen:
- Technische & organisatorische Sicherheitsmaßnahmen
- Verantwortung der Führungsebene
- Pflicht zur Vorfallmeldung innerhalb definierter Fristen
Zusammenarbeit & Informationsaustausch
EU-weite Kooperation zur Stärkung der Resilienz:
- CSIRTs-Netzwerk & CyCLONe
- Europäisches Schwachstellenregister & Peer Reviews
- ENISA-Cybersicherheitsberichte
Die zentralen Ziele der NIS2
Warum NIS2 für Sie relevant ist
Die NIS2-Richtlinie stärkt die Cybersicherheit in der EU, indem sie einheitliche Standards, schnellere Reaktionen auf Vorfälle und eine engere Zusammenarbeit zwischen Mitgliedstaaten etabliert. Für Ihr Unternehmen bedeutet dies klare Verpflichtungen, die sowohl Schutz als auch Wettbewerbsvorteile bieten.
Mit unserer Expertise setzen Sie diese Anforderungen pragmatisch und nachhaltig um – und minimieren gleichzeitig Risiken und Sanktionen.
Ziele der NIS2:
- Erhöhung der Cybersicherheit: Einheitliche Standards schützen kritische Infrastrukturen und Dienstleistungen vor digitalen Bedrohungen.
- Transparenz durch CSIRTs: Der Aufbau von EU-weit vernetzten Computer Security Incident Response Teams (CSIRTs) ermöglicht die Überwachung, schnelle Reaktion und Koordination bei Cybervorfällen sowie die Bereitstellung von Warnungen und Informationen für Stakeholder.
- Verstärkte Resilienz: Unternehmen werden durch robuste Risikomanagement- und Notfallpläne widerstandsfähiger gegen Angriffe.
- Harmonisierung in der EU: Einheitliche Anforderungen fördern die Zusammenarbeit und den Informationsaustausch zwischen Mitgliedstaaten.
Anwendungs- und Geltungsbereich
Die NIS2-Richtlinie betrifft eine breite Gruppe von Unternehmen, die kritische oder wichtige Dienste innerhalb der EU bereitstellen – unabhängig von ihrem Geschäftsmodell. Die folgende Übersicht zeigt, welche Unternehmen unter den vollen NIS2-Rahmen fallen und wer aufgrund seiner Kritikalität oder Größe besondere Bedingungen erfüllen muss.
| Wesentliche Einrichtungen (Essential Entities) | Wichtige Einrichtungen (Important Entities) |
|---|---|
|
Gilt für Sektoren gemäß Anhang I:
– Energie (Strom, Öl, Gas) – Verkehr (Luft, Schiene, Straße, Wasser) – Bankwesen & Finanzmarktinfrastruktur – Gesundheitswesen & Trinkwasser – Digitale Infrastruktur (z. B. Cloud, DNS) – Öffentliche Verwaltung – Weltraum Voraussetzungen: – > 50 Mitarbeitende oder – Jahresumsatz oder Bilanzsumme > 10 Mio. € |
Gilt für Sektoren gemäß Anhang II:
– Post- & Kurierdienste – Abfallwirtschaft – Lebensmittel, Chemie, Medizinprodukte – Hersteller von IKT-Geräten – Forschungseinrichtungen Voraussetzungen: – > 50 Mitarbeitende oder – Jahresumsatz oder Bilanzsumme > 10 Mio. € |
Sonderregelungen:
Auch kleinere Organisationen können unter die NIS2-Richtlinie fallen, wenn sie:
- der einzige Anbieter eines essenziellen Dienstes im Land sind,
- eine wichtige Rolle für öffentliche Sicherheit oder Gesundheit spielen,
- eine besondere systemische Bedeutung haben.
Sicherheitsvorfälle melden
Meldung von Vorfällen
Die NIS2-Richtlinie verschärft die Anforderungen an die Meldung von Sicherheitsvorfällen erheblich. Betroffene Unternehmen müssen ein (vier-) dreistufiges Meldeverfahren einhalten.
Was muss gemeldet werden?
Alle Vorfälle, die erhebliche Auswirkungen auf die Bereitstellung von Diensten haben. Insbesondere, wenn sie durch mutmaßlich böswillige Handlungen verursacht wurden oder grenzüberschreitende Folgen haben könnten.
Wohin wird gemeldet?
An das nationale CSIRT (Computer Security Incident Response Team) oder die zuständige Aufsichtsbehörde im jeweiligen Mitgliedstaat.
NIS2-Compliance sichern
NIS2 Analyse
Wir prüfen detailliert, ob und in welchem Umfang Ihr Unternehmen von der NIS2-Richtlinie betroffen ist. Dabei identifizieren wir gezielt Bereiche, in denen Sie mit geringem Aufwand und einfachen Maßnahmen bereits wesentliche Fortschritte in Richtung NIS2-Compliance erzielen können.
Unsere NIS2-Analyse bietet einen strukturierten High-Level-Überblick über Ihre aktuelle NIS2-Konformität – inklusive einer GAP-Analyse mit konkreten Handlungsempfehlungen zur Verbesserung. Eine Ergebnispräsentation mit einer Übersicht des Compliance-Status gehört natürlich dazu.
Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 5-15 Personentage (PT).
Nachhaltige Analyse & gezielte Roadmap
NIS2 Deep Check
Bei einem NIS2 Deep Check handelt es sich um eine tiefgreifende Prüfung der GAPs zu NIS2 inkl. Abstimmung und Erstellung eines Mitigationsplans bzw. einer Roadmap zur Priorisierung und Behebung der aufgeworfenen GAPs.
Alle Abweichungen zu NIS2 werden einer Risikobewertung sowie einer Aufwandsindikation zur Behebung unterzogen.
Darüberhinausgehend werden Best Practice Maßnahmen in Anlehnung an den Risikoappetit Ihrer Organisation empfohlen.
Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 15-80 Personentage (PT).
FAQs
Die EU-Mitgliedstaaten sind verpflichtet, die NIS2-Richtlinie bis spätestens Ende 2024 in nationales Recht umzusetzen. Deutschland hat diese Frist eingehalten und die NIS2-Richtlinie zum Jahreswechsel 2024/2025 in deutsches Recht überführt. Zum heutigen Stand gilt die NIS2-Umsetzung weitestgehend, weshalb betroffene Unternehmen und Organisationen nun vollumfänglich die neuen Anforderungen erfüllen müssen, um rechtskonform zu bleiben.
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union (L333) veröffentlicht. Sie ist über das offizielle EUR-Lex-Portal der EU abrufbar.
Die nationale Umsetzung in Deutschland erfolgt durch das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Aufgrund vorgezogener Neuwahlen im Jahr 2024 konnte das parlamentarische Verfahren bislang nicht vollständig abgeschlossen werden. Ein endgültiges Umsetzungsgesetz ist zum heutigen Stand noch nicht verabschiedet. Solange kein nationales Umsetzungsgesetz vorliegt, gilt weiterhin das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) als rechtlicher Rahmen für Cybersecurity-Anforderungen in Deutschland.
Aktuelle Informationen zum Gesetzgebungsverfahren und zur Umsetzung der NIS2-Richtlinie in Deutschland finden Sie auf der Website des Bundesministeriums des Innern und für Heimat (BMI).
Die NIS2-Richtlinie betrifft sogenannte wesentliche Einrichtungen und wichtige Einrichtungen (siehe Anwendungs- und Geltungsbereich). Dazu zählen Unternehmen aus den Bereichen:
- Energie, Transport, Wasser, Gesundheitswesen, Raumfahrt, digitale Infrastruktur, Finanz- und Versicherungswesen
- Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion
- Digitale Dienste: Rechenzentren, Cloud-Services, Content-Delivery-Netzwerke, DNS-Anbieter, Domainregistrare, Online-Marktplätze
Auch bestimmte öffentliche Verwaltungen unterliegen der NIS2-Richtlinie. Entscheidend sind u. a. Unternehmensgröße, Marktrolle und Kritikalität der Dienste.
Gegenüber der ursprünglichen NIS-Richtlinie von 2016 bringt NIS2 wesentliche Neuerungen:
- Erweiterter Geltungsbereich: Deutlich mehr Branchen und Unternehmen unterliegen der Regulierung.
- Strengere Sicherheitsanforderungen: Einführung eines verbindlichen Risikomanagements, einschließlich Maßnahmen zur IT-Sicherheit, Business Continuity und Lieferkettenkontrolle.
- Angepasste Meldepflichten: Sicherheitsvorfälle müssen nun in mehreren Stufen gemeldet werden – erste Benachrichtigung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht nach spätestens einem Monat.
- Informationspflicht gegenüber Dritten: Je nach Vorfall müssen auch betroffene Kunden, Geschäftspartner oder Behörden informiert werden.
- Haftung & Governance: Geschäftsleitungen werden explizit in die Verantwortung genommen – inklusive persönlicher Haftungsrisiken bei Pflichtverletzungen.
Da die NIS2-Richtlinie in einigen Punkten bewusst allgemein formuliert ist, liegt die konkrete Ausgestaltung der Umsetzungsanforderungen im Ermessen der einzelnen EU-Mitgliedstaaten. Zum aktuellen Zeitpunkt ist das entsprechende deutsche Umsetzungsgesetz bzw. das veröffentlichte Amtsblatt noch nicht final verfügbar.
Betroffene Organisationen müssen ein umfassendes Informationssicherheitsmanagement etablieren, das folgende Punkte adressiert:
- Risikomanagement nach dem Stand der Technik
- Präventive Maßnahmen zur Abwehr von Cyberbedrohungen
- Regelmäßige Sicherheitsüberprüfungen und Schwachstellenmanagement
- Vorfallmanagement inklusive Eskalations- und Meldeprozess
- Notfall- und Wiederherstellungspläne
- Schulungen und Sensibilisierungsmaßnahmen
- Dokumentation und Nachweisführung gegenüber Behörden
Die Umsetzung kann auf bestehenden Standards wie ISO/IEC 27001 oder dem BSI IT-Grundschutz aufbauen, muss jedoch spezifisch an die Anforderungen der NIS2 angepasst werden.
Zertifizierungen wie ISO/IEC 27001 oder der BSI IT-Grundschutz können als Grundlage dienen, um die Anforderungen der NIS2-Richtlinie zu erfüllen. Allerdings müssen Unternehmen sicherstellen, dass alle spezifischen Anforderungen der Richtlinie abgedeckt sind, da eine Zertifizierung allein nicht automatisch die vollständige Compliance garantiert.
Der Nachweis der Compliance erfolgt durch die Dokumentation und Umsetzung der geforderten Sicherheitsmaßnahmen. Dies umfasst unter anderem Risikobewertungen, Sicherheitsrichtlinien, Notfallpläne und Schulungsnachweise. Ein umfassendes ISMS kann dabei helfen, die erforderlichen Nachweise zu erbringen.
Verstöße gegen die NIS2-Pflichten können empfindliche Geldbußen nach sich ziehen. Die Richtlinie sieht für wesentliche Einrichtungen Geldstrafen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen beträgt das Maximum 7 Mio. € oder 1,4 % des Umsatzes. Zusätzlich drohen behördliche Anordnungen, Reputationsschäden sowie Einschränkungen der Geschäftstätigkeit.
Die Verantwortung für die Einhaltung der NIS2-Anforderungen liegt beim Unternehmen selbst. Neu ist jedoch die ausdrückliche Pflicht der Geschäftsleitung, für eine wirksame Umsetzung der Sicherheitsmaßnahmen zu sorgen. Bei Pflichtverletzungen können Führungskräfte persönlich haftbar gemacht werden. Dies umfasst sowohl zivilrechtliche als auch ggf. strafrechtliche Konsequenzen. Insbesondere bei nachweisbarer Fahrlässigkeit oder unterlassener Compliance.
