Die NIS2-Richtlinie der EU verpflichtet deutlich mehr Unternehmen zu Cybersecurity-Standards als zuvor. Die nationale Umsetzung in Deutschland (NIS2-UmsuCG) betrifft schätzungsweise 30.000 Unternehmen. Wer dazugehört, hat in der Regel noch nicht angefangen. Hier ist der Fahrplan.
Wer betroffen ist
NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentlich sind große Unternehmen aus Sektoren mit hoher Kritikalität (Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur). Wichtige Einrichtungen sind mittlere Unternehmen aus diesen plus weiteren Sektoren (Post, Lebensmittel, Chemie, digitale Anbieter).
Schwellwerte:
- Mittelgroßes Unternehmen: 50–249 Mitarbeiter oder Jahresumsatz 10–50 Mio. €
- Großes Unternehmen: 250+ Mitarbeiter oder Jahresumsatz > 50 Mio. €
Die Pflichten im Überblick
1. Risikomanagement-Maßnahmen (Art. 21)
- Konzept für Risikoanalyse und Sicherheit der Informationssysteme
- Bewältigung von Cybersecurity-Vorfällen
- Aufrechterhaltung des Geschäftsbetriebs (BCM)
- Sicherheit der Lieferkette
- Sicherheit beim Erwerb, Entwicklung und Wartung von IT-Systemen
- Konzepte zur Bewertung der Wirksamkeit der Maßnahmen
- Konzepte für Kryptografie und Verschlüsselung
- Personalsicherheit (Awareness, Zugangskontrolle)
- Multi-Faktor-Authentifizierung
2. Meldepflichten (Art. 23)
- Frühwarnung: 24 Stunden nach Kenntnis eines erheblichen Cybersicherheits-Vorfalls
- Meldung: 72 Stunden nach Kenntnis — mit erster Bewertung
- Abschlussbericht: Spätestens 1 Monat nach Meldung
3. Geschäftsleiter-Verantwortung
Die Geschäftsleitung muss die Cybersecurity-Maßnahmen billigen und ihre Umsetzung überwachen. Schulungspflicht für Geschäftsleiter. Persönliche Haftung bei Verstoß.
Bei Verstoß drohen Bußgelder bis 10 Mio. € oder 2% des weltweiten Jahresumsatzes (für wesentliche Einrichtungen). Für wichtige Einrichtungen 7 Mio. € oder 1,4% des Umsatzes. Plus persönliche Sanktionen für Geschäftsleiter.
Der 6-Monats-Fahrplan
Monat 1: Betroffenheits-Assessment
- Prüfung: Sektor + Größe ⇒ wesentlich/wichtig/nicht betroffen
- Bei Betroffenheit: Registrierungspflicht beim BSI
- Bestandsaufnahme bestehender Sicherheitsmaßnahmen
Monate 2–3: Gap-Analyse & Konzept
- Lücken-Analyse gegen NIS2-Anforderungen
- Risikoanalyse mit Bedrohungsmodellierung
- Maßnahmen-Roadmap mit Priorisierung
- Geschäftsleiter-Workshop
Monate 4–5: Umsetzung der Kern-Maßnahmen
- MFA-Einführung für alle Zugänge
- EDR/XDR-Endpoint-Protection
- Backup-Strategie + Disaster-Recovery-Übung
- Incident-Response-Plan dokumentieren
- Awareness-Schulungen für alle Mitarbeiter
Monat 6: Dokumentation & Audit
- ISMS-Dokumentation
- Internes Audit der Maßnahmen
- Nachweis-Sammlung für BSI-Prüfung
- Laufende Awareness-Mechanismen aktiviert
Was wir bei TABAK tun
Für jeden NIS2-betroffenen Mandanten erstellen wir ein komplettes NIS2-Paket: Betroffenheitsprüfung, Gap-Analyse, Roadmap, Umsetzung der technischen Maßnahmen, ISMS-Dokumentation. Wir koordinieren mit dem Rechenzentrum-Partner DAVINCIRechenzentrum für technische Umsetzung. Typische Projektdauer: 4–6 Monate. Typische Kosten: 25.000–80.000 € je nach Größe.
NIS2-Betroffenheit prüfen.
Wir klären in einem kostenfreien Erstgespräch, ob Sie unter NIS2 fallen und wie aufwendig die Umsetzung in Ihrem Fall wäre.
NIS2-Check anfragen →