Compliance Compass NIS2 Ratgeber
Wissen & Orientierung

NIS2 – Wissen & Orientierung
für Ihr Unternehmen

Seit dem 06.12.2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft. Damit sind Cybersicherheits-Maßnahmen und Meldepflichten für tausende Unternehmen keine Option mehr, sondern eine verbindliche gesetzliche Anforderung.

Unsere FAQ dienen als neutraler Wissensbereich, um Ihnen den Weg durch die regulatorischen Anforderungen zu ebnen. Wir haben die komplexen Vorgaben der EU-Richtlinie in praxisnahe Antworten übersetzt, damit Sie sich auf das Wesentliche konzentrieren können: die Resilienz Ihres Unternehmens.

Gültig ab 06.12.2025
28 FAQ + Glossar
Registrierungsfrist: 06.03.2026
Was Sie in diesem Ratgeber erwartet
6 Kapitel — von der Betroffenheitsprüfung bis zum 30-Tage-Aktionsplan
01
Betroffenheit & Sektoren
Prüfen Sie, ob Ihr Unternehmen als „wesentliche" oder „wichtige" Einrichtung fällt.
02
Kernpflichten im Klartext
Governance, Risikomanagement und die mehrstufigen Meldepflichten verständlich erklärt.
03
Pragmatische Umsetzung
Konkrete technische Maßnahmen wie MFA, Backup und Supply Chain Security.
04
Fokus Deutschland & KMU
Registrierung im BSI-Portal via ELSTER und Fristen bis März 2026.
05
Governance & Haftung
Warum NIS2 zur Chefsache wird und welche Schulungspflichten bestehen.
06
30-Tage-Startplan
Von der ersten Bestandsaufnahme bis zur Absicherung der Lieferkette.

Betroffenheit & Scope

Prüfen Sie, ob und wie Ihr Unternehmen unter NIS2 fällt.

NIS2 ist eine EU-Richtlinie, die in vielen kritischen Sektoren ein höheres, einheitlicheres Cybersicherheitsniveau erreichen soll. Dazu verpflichtet sie betroffene Organisationen vor allem zu (a) Cybersecurity-Risikomanagementmaßnahmen und (b) Meldepflichten bei erheblichen Vorfällen.

Ziel ist, dass Sicherheitsniveau, Zusammenarbeit und Durchsetzung in der EU konsistenter werden.

Typischerweise sind mittlere und große Organisationen betroffen, wenn sie in den in NIS2 definierten kritischen Sektoren tätig sind. Es gibt außerdem Ausnahmen und Erweiterungen (z. B. bestimmte digitale Infrastruktur-Dienste unabhängig von Größe, je nach nationaler Umsetzung und Auslegung).

Eine saubere Einordnung erfordert daher: (1) Sektor/Art der Tätigkeit, (2) Größen-/Schwellenlogik, (3) nationale Regelungen.

NIS2 unterscheidet zwischen Sektoren hoher Kritikalität (Annex I) und weiteren kritischen Sektoren (Annex II).

Annex I: Energie (Strom, Fernwärme/Fernkälte, Öl, Gas, Wasserstoff), Transport (Luft, Schiene, Wasser, Straße), Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (z. B. IXP, DNS, TLD, Cloud, Rechenzentren, CDN, Trust Services, Telekommunikation), ICT Service Management B2B (insbesondere MSP und MSSP), öffentliche Verwaltung sowie Weltraum.

Annex II: Post und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, verarbeitendes Gewerbe (u. a. Medizinprodukte, Computer/Elektronik, Maschinenbau, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie Forschungseinrichtungen.

Ob ein Unternehmen tatsächlich unter NIS2 fällt, hängt zusätzlich von Größe, Rolle und teils Sonderregeln ab.

NIS2 unterscheidet Einrichtungen in zwei Hauptkategorien, die in der Praxis unterschiedliche Aufsichts- und Sanktionslogiken haben können. Für beide Kategorien gelten Risikomanagement- und Meldepflichten, aber Bußgeldrahmen und Aufsichtsinstrumente sind in der Richtlinie unterschiedlich ausgestaltet.

Die genaue Einordnung hängt von Sektor, Größe und nationaler Umsetzung ab.

Für Unternehmen mit ca. 50–500 Mitarbeitenden ist die wichtigste erste Frage: Fallen wir wegen unserer Tätigkeit/Branche in einen NIS2-Sektor und erfüllen wir die Größenlogik?

Eine pragmatische Vorgehensweise ist: (1) Tätigkeit und angebotene Dienste mit den NIS2-Sektoren abgleichen, (2) Unternehmensgröße und ggf. Konzern-/Gruppenlogik prüfen – Tochterunternehmen müssen in der Regel eigenständig geprüft werden, (3) klären, ob ihr als kritischer Digitaldienst/ICT-Dienstleister oder als Teil einer kritischen Wertschöpfungskette erfasst sein könnt, (4) das Ergebnis intern dokumentieren (Datum, Annahmen, Quellen).

Das BSI stellt eine NIS-2-Betroffenheitsprüfung bereit, die eine erste Orientierung liefert, aber die rechtlich verbindliche Selbst-Einordnung nicht ersetzt.

Pflichten & Maßnahmen

Die konkreten Anforderungen aus Art. 21 NIS2 verständlich erklärt.

Der Kern besteht aus drei untrennbaren Bereichen:

  • (1) Governance/Verantwortung: Management genehmigt und überwacht die Maßnahmen
  • (2) Risikomanagementmaßnahmen (Art. 21): Konkrete technische und organisatorische Maßnahmen
  • (3) Reporting erheblicher Vorfälle (Art. 23): Mehrstufige Meldepflichten

Ohne Governance keine Prioritäten, ohne Maßnahmen keine Resilienz, ohne Reporting kein fristgerechter Umgang mit Vorfällen.

NIS2 nennt Mindestbereiche für Risikomanagementmaßnahmen:

  • Risikoanalyse- und Security-Policies
  • Incident Handling
  • Business Continuity (inkl. Backups/Disaster Recovery)
  • Supply-Chain-Security
  • Sichere Entwicklung/Betrieb inkl. Vulnerability Handling
  • Wirksamkeitsmessung
  • Basishygiene & Training
  • Kryptographie/Encryption (wo angemessen)
  • Asset-/Access-/HR-Security
  • MFA/Continuous Authentication und sichere Kommunikation

Die konkrete Ausgestaltung soll verhältnismäßig zum Risiko sein.

NIS2 schreibt nicht pauschal „ISO-Zertifizierung" als Pflicht vor, sondern fordert angemessene Maßnahmen und ermöglicht, sich an Standards zu orientieren.

In der Praxis können Standards helfen, Maßnahmen strukturiert umzusetzen und nachweisbar zu machen – entscheidend ist aber die reale Wirksamkeit und Governance, nicht das Label.

NIS2 fordert angemessene, verhältnismäßige Maßnahmen. Das heißt: Risiko, Unternehmensgröße, Eintrittswahrscheinlichkeit und potenzieller Schaden beeinflussen, wie tief und breit Maßnahmen umgesetzt werden.

Praktisch ist Proportionalität eine Dokumentations- und Entscheidungslogik: Warum priorisieren wir X vor Y, welche Risiken akzeptieren wir temporär, welche müssen sofort mitigiert werden.

Incident Management & Meldepflichten

Alles zu erheblichen Vorfällen, Meldefristen und Berichtsstruktur.

Ein Vorfall gilt als „significant", wenn er schwere betriebliche Störungen oder finanzielle Verluste verursacht (oder verursachen kann) oder wenn er andere Personen/Organisationen erheblich schädigt.

Wichtig: Es geht nicht nur um „Datenleck", sondern um die Auswirkungen auf die Dienstleistung/Operation. Deshalb müssen Unternehmen im Vorfeld Kriterien definieren, wer wann „significant" entscheidet.

NIS2 sieht eine mehrstufige Meldung vor:

  • Frühwarnung: binnen 24 Stunden nach Kenntnis
  • Vorfallmeldung: binnen 72 Stunden nach Kenntnis
  • Zwischenberichte: auf Anforderung der Behörde
  • Abschlussbericht: spätestens einen Monat nach der 72-Stunden-Meldung

Bei laufenden Vorfällen sind Fortschritts- und Abschlusslogiken vorgesehen.

Die Frühwarnung ist nicht der finale Detailbericht. Sie soll der zuständigen Stelle früh signalisieren, dass ein erheblicher Vorfall vorliegen könnte, inkl. Hinweis auf mögliche Ursachen und potenziellen grenzüberschreitenden Impact.

In der Praxis hilft ein vorbereitetes Minimal-Template: Zeitpunkt/Entdeckung, betroffene Services, erste Auswirkungen, erste Hypothese, Kontaktperson, nächste Updates.

Der Final Report (spätestens nach einem Monat) beinhaltet:

  • Detaillierte Beschreibung von Schwere und Impact
  • Vermutete Ursache/Threat-Art
  • Angewandte und laufende Mitigation-Maßnahmen
  • Grenzüberschreitende Auswirkungen (wenn relevant)

Das erfordert, dass während des Incidents ein „Logbuch" geführt wird, sonst ist es später schwer rekonstruierbar.

NIS2-Incidents können parallel Datenschutz-Incidents sein (z. B. Datenabfluss). NIS2 benennt, dass Aufsichtsbehörden zusammenarbeiten sollen, wenn ein Verstoß auch zu einer Datenschutzverletzung führen kann.

Praktisch heißt das: Der Incident-Prozess muss beide Meldepfade berücksichtigen (Security-Meldung + ggf. Datenschutz-Meldung), damit Fristen nicht kollidieren.

Lieferkette & Drittparteien

Supply Chain Security und Umgang mit Schwachstellen bei Lieferanten.

Supply-Chain-Security bedeutet, dass Unternehmen die Security-Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern berücksichtigen müssen. Dazu gehören mindestens:

  • Kritikalität der Supplier bewerten
  • Definierte Mindestanforderungen festlegen
  • Wiederholbares Assessment (Fragebogen + Evidenz)
  • Klare Incident-Kontaktwege
  • Fähigkeit, Abweichungen zu behandeln (Mitigation/Wechsel/Restriktion)

NIS2 verlangt explizit, Supplier-Vulnerabilities zu berücksichtigen und Ergebnisse koordinierter Risk-Assessments einzubeziehen.

NIS2 nennt sichere Beschaffung/Entwicklung/Wartung inkl. Umgang mit Schwachstellen und deren Behandlung/Offenlegung. Praktisch umfasst das:

  • Asset-Bezug: welches System ist betroffen
  • Priorisierung nach Impact und Exploitability
  • Definierte Patch-SLAs
  • Ausnahmeprozess (wenn Patch nicht sofort möglich)
  • Lessons Learned

Ohne diese Struktur entstehen Backlogs, die Audit- und Incident-Risiko erhöhen.

Governance & Rollen

Verantwortlichkeiten, Managementhaftung und Bußgeldrahmen.

NIS2 verankert Cybersicherheit auf Governance-Ebene: Management-Gremien sollen Maßnahmen genehmigen und deren Umsetzung überwachen – und können für Verstöße haftbar gemacht werden (im Rahmen nationaler Haftungsregeln).

Zusätzlich ist vorgesehen, dass Mitglieder der Management-Gremien Trainings absolvieren sollen. Das macht NIS2 explizit zur „Chefsache".

NIS2 verpflichtet Mitgliedstaaten, wirksame Bußgeldrahmen vorzusehen. Die Richtlinie nennt als Mindest-Strafen:

  • Wesentliche Einrichtungen: bis mind. 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis mind. 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Es gilt jeweils der höhere Betrag. Die konkrete Anwendung hängt vom nationalen Recht und der Aufsichtspraxis ab.

NIS2 ist nicht nur „IT-Aufgabe", sondern verlangt klare Governance. Für KMU funktioniert ein Minimum-Rollenmodell:

  • (1) Geschäftsführung als Sponsor/Entscheider (Prioritäten, Budget, Risikoakzeptanz)
  • (2) Security/IT-Owner (operatives Umsetzen der Maßnahmen)
  • (3) NIS-2-Kontaktstelle (Kommunikation, Portal-Pflege, Vorfallmeldungen)
  • (4) Stellvertretung (24/7-Erreichbarkeit in der Praxis)

Zuständigkeiten schriftlich fixieren, Eskalation klar machen – dann erst Controls ausrollen.

Nachweise & Auditfähigkeit

Wie Sie Maßnahmen dokumentieren und Wirksamkeit nachweisen.

NIS2 wird durch Leitlinien, nationale Auslegung und Anpassungsvorschläge weiter präzisiert. Best Practice ist daher:

  • (1) „Policy-Owner" festlegen
  • (2) Quartalsweise Review-Rhythmus einführen
  • (3) Changes-Log pflegen
  • (4) Linksammlung zu offiziellen Quellen anlegen
  • (5) Lessons Learned nach Incidents/Übungen dokumentieren

Ein „Letztes Update"-Datum und kurze Änderungsnotizen erhöhen Transparenz gegenüber Behörden und Auditoren.

Excel kann für KMU am Anfang helfen (Inventar, Maßnahmenliste, Zuständigkeiten) – aber NIS2 verlangt mehr als „eine Liste": wiederholbare Prozesse, fristfähiges Melden, Lieferketten-Kontrollen und Wirksamkeitsnachweise.

Spätestens wenn Sie mehrere Standorte, viele Systeme oder häufige Changes haben, wird Excel schwierig: Versionschaos, fehlender Audit-Trail, unklare Ownership, manuelle Erinnerungen, brüchige Nachweise.

Empfehlung: Starten Sie pragmatisch, definieren Sie aber früh ein Zielbild, damit Sie nicht in Insellösungen festlaufen.

Deutschland-Umsetzung & KMU

Fristen, BSI-Portal, Registrierung und praxisnahe Hinweise für den Mittelstand.

Das Umsetzungsgesetz zur NIS-2-Richtlinie in Deutschland ist am 06.12.2025 in Kraft getreten. Damit gelten verbindliche Anforderungen, u. a. Sicherheitsanforderungen und Meldepflichten.

Für die praktische Umsetzung gilt eine Registrierungsfrist von drei Monaten nach Inkrafttreten – praktisch also bis 06.03.2026.

Ein KMU-tauglicher Start in 5 Schritten:

  • (1) Betroffenheit klären und Scope definieren (welche Standorte/Services)
  • (2) Verantwortlichkeiten festlegen (Owner, Stellvertretung, Eskalation)
  • (3) Kontaktstelle/Meldeprozess vorbereiten
  • (4) Kern-Resilienz absichern (Backup-/Wiederherstellung testen, Krisenkommunikation)
  • (5) Lieferkette priorisieren (Top-Dienstleister identifizieren, Mindestanforderungen)

Die Registrierung ist zweistufig: Zuerst Anmeldung über Mein Unternehmenskonto (MUK) als Identitätsdienst, anschließend die eigentliche Registrierung im BSI-Portal.

Planen Sie Vorlauf ein: Für MUK wird in der Regel ein ELSTER-Organisationszertifikat benötigt – Bestellung und Erhalt erfordern zusätzliche Zeit.

Im Portal werden Stammdaten, Einordnung/Angaben zur Einrichtung sowie Kontaktangaben hinterlegt. Legen Sie intern fest, wer administriert und wer als NIS-2-Kontaktstelle fungiert.

Das BSI stellt eine Schritt-für-Schritt-Anleitung bereit.

Registrierung: Innerhalb von 3 Monaten nach Inkrafttreten (06.12.2025), praktisch bis 06.03.2026.

Vorfallmeldungen (gestuft):

  • Erste Meldung binnen 24 Stunden
  • Weitere Meldung binnen 72 Stunden
  • Abschlussbericht spätestens nach einem Monat

Fristen sind nur haltbar, wenn Rollen, Kommunikationswege und Minimal-Templates vorab definiert sind.

Offizielle Stellen geben keine pauschalen Kosten an, weil NIS2 risikobasiert und verhältnismäßig umzusetzen ist. Typische Kostentreiber im KMU:

  • Interne Kapazität (IT/Security)
  • Aufbau von Policies/Prozessen
  • Nachweisführung
  • Übungen (Incident/BCM)
  • Lieferanten-Assessments

Wichtig: Eine finanzielle Förderung durch den Bund ist laut BSI derzeit nicht vorgesehen. Sinnvoll ist, Aufwand in Wellen zu planen: erst Mindest-Fähigkeiten, dann schrittweise Reifegraderhöhung.

Drei besonders hilfreiche offizielle Wege:

  • (1) BSI: Stellt ein NIS-2-Starterpaket, Orientierung, Einstieg und Webinar-Termine bereit
  • (2) IHK: Viele Kammern verlinken auf offizielle Ressourcen, FAQ-Sammlungen und BSI-Webinare
  • (3) Offizielle Kontaktwege: BSI Service-Center/Support-Strukturen für konkrete Fragen zu Portal und Registrierung

Tipp: Legen Sie intern eine „NIS2-Quellenliste" an (BSI-Seiten, Gesetz, IHK-Hinweise) und prüfen Sie diese quartalsweise.

Pragmatischer Startplan

In 30 Tagen zur NIS2-Basis

Von der ersten Bestandsaufnahme bis zur Absicherung Ihrer Lieferkette – strukturiert und realistisch.

1
Schritt 1
Betroffenheit & Scope
Einordnung in NIS2-Sektor klären, Größenlogik prüfen, Tochterunternehmen berücksichtigen. Ergebnis intern dokumentieren.
2
Schritt 2
BSI-Registrierung
ELSTER-Zertifikat beantragen, MUK-Konto einrichten und Registrierung im BSI-Portal durchführen. Frist: 06.03.2026.
3
Schritt 3
Assets & Services
Kritische Services und Assets identifizieren, priorisieren und in ein Inventar überführen – Basis für alle weiteren Maßnahmen.
4
Schritt 4
Incident-Rollen
Rollen definieren (Owner, Kontaktstelle, Stellvertretung), Kommunikationswege festlegen und Minimal-Templates erstellen.
5
Schritt 5
Backup & Recovery
Backup-Prozesse überprüfen, Wiederherstellungstest durchführen und Business-Continuity-Szenarien dokumentieren.
6
Schritt 6
Lieferkette
Kritische Supplier identifizieren, Mindestanforderungen definieren und erste Assessments durchführen oder einplanen.
7
Schritt 7
Basis-Policies
Minimum-Richtlinien erstellen: Passwort-/Zugangsregelung, Incident-Prozess, Acceptable Use Policy.
8
Schritt 8
Awareness & Training
Erste Schulungsmaßnahmen starten – Management und IT zuerst. Grundlagen: Phishing, Passwörter, Incident-Erkennung.
Begriffe

NIS2 Glossar

Die wichtigsten Fachbegriffe rund um NIS2 kompakt erklärt.

A
All Hazards Ansatz
Ansatz im Risikomanagement, bei dem nicht nur Cyberangriffe betrachtet werden, sondern alle relevanten Gefahren, z. B. technische Ausfälle, menschliche Fehler oder physische Ereignisse.
Asset Inventar
Verzeichnis aller IT- und OT-Systeme, Anwendungen, Geräte, Daten und Dienste. Grundlage für Risikoanalyse, Schutzmaßnahmen und Nachweise.
Assets
IT- und OT-Ressourcen wie Hardware, Software, Daten, Cloud-Dienste und Systeme.
Awareness
Sicherheitsbewusstsein der Mitarbeitenden, z. B. im Umgang mit Phishing, Passwörtern, Social Engineering oder Datenfreigaben.
AVV (Auftragsverarbeitungsvertrag)
Vertrag nach DSGVO, wenn ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet.
B
BCP (Business Continuity Plan)
Notfallplan zur Aufrechterhaltung des Geschäftsbetriebs bei Störungen oder Ausfällen.
BCMS (Business Continuity Management System)
Das übergeordnete Managementsystem hinter dem BCP. Regelt Planung, Tests und Verbesserung der Notfallfähigkeit.
Business Continuity
Fähigkeit eines Unternehmens, auch bei Störungen handlungsfähig zu bleiben und kritische Prozesse weiterzuführen.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Zentrale deutsche Cybersicherheitsbehörde und wichtige Anlaufstelle für NIS2-Registrierung, Meldungen und Orientierung.
BSI Portal
Portal des BSI für NIS2-Registrierung und Meldungen.
C
Controls
Sicherheitsmaßnahmen zur Risikoreduzierung, z. B. MFA, Backup-Tests, Rechtekonzepte, Monitoring oder Freigabeprozesse.
CSIRT (Computer Security Incident Response Team)
Stelle für die Bearbeitung und Koordination von Sicherheitsvorfällen. Kann bei NIS2-Meldungen relevant sein.
Cyberhygiene
Grundlegende Sicherheitsmaßnahmen im Alltag, z. B. Patchen, sichere Passwörter, MFA, Updates und Schulungen.
Cybersecurity / Cybersicherheit
Schutz von IT-Systemen, Daten und Diensten vor Angriffen, Ausfällen und Missbrauch.
D
DNS (Domain Name System)
System, das Domainnamen in technische Adressen übersetzt.
DNS Service Provider
Anbieter, die DNS-Dienste für Nutzer oder andere Unternehmen bereitstellen.
DRP (Disaster Recovery Plan)
Wiederherstellungsplan für Systeme, Daten und IT-Infrastruktur nach einem größeren Ausfall oder Angriff.
E
Early Warning
Erste Meldestufe bei einem erheblichen Sicherheitsvorfall. Muss unter NIS2 binnen 24 Stunden erfolgen.
Einrichtung (Entity)
Begriff für ein betroffenes Unternehmen oder eine Organisation im NIS2-Kontext.
ENISA
EU-Agentur für Cybersicherheit. Unterstützt Koordination und Austausch auf EU-Ebene.
Essential Entity / Wesentliche Einrichtung
Besonders kritische Einrichtung im NIS2-System mit strengeren Regularien und höherem Bußgeldrahmen.
F
Final Report (Abschlussbericht)
Abschlussmeldung nach einem erheblichen Sicherheitsvorfall, in der Ursache, Auswirkungen und Maßnahmen dokumentiert werden.
Frameworks
Regelwerke oder Standards, nach denen Sicherheit und Compliance strukturiert werden, z. B. NIS2 oder ISO 27001.
G
Governance
Unternehmensführung, Verantwortlichkeiten und Entscheidungsstrukturen für Sicherheit und Compliance. Unter NIS2 ausdrücklich ein Management-Thema.
GRC (Governance, Risk and Compliance)
Bereich für Unternehmensführung, Risikomanagement und Regelkonformität.
I
Incident
Sicherheitsvorfall, der Daten, Systeme oder Dienste beeinträchtigt.
Incident Handling
Strukturierter Umgang mit Sicherheitsvorfällen von Erkennung bis Wiederherstellung.
Incident Notification
Zweite Meldestufe nach der Early Warning mit erster Bewertung des Vorfalls (binnen 72 Stunden).
Incident Response
Praktische Reaktion auf Sicherheitsvorfälle, inklusive Analyse, Eindämmung und Wiederherstellung.
Incident Response Plan (IRP)
Vorfallsplan mit klaren Rollen, Abläufen und Entscheidungen für den Ernstfall.
Indicators of Compromise (IoCs)
Technische Hinweise auf eine Kompromittierung, z. B. IP-Adressen, Hashes oder verdächtige Domains.
Important Entity / Wichtige Einrichtung
Einrichtung, die unter NIS2 fällt, aber nicht als wesentliche Einrichtung eingeordnet ist.
ISMS (Information Security Management System)
Managementsystem für Informationssicherheit, häufig nach ISO 27001 aufgebaut.
ISO 27001
Internationaler Standard für Informationssicherheitsmanagement.
K
KMU
Kleine und mittlere Unternehmen.
Krisenmanagement
Organisation und Steuerung des Unternehmens im Ernstfall, damit Entscheidungen, Kommunikation und Maßnahmen funktionieren.
L
Lieferkettensicherheit / Supply Chain Security
Sicherheitsanforderungen für Lieferanten, Dienstleister und Partner in der Wertschöpfungskette.
M
Management Body / Leitungsorgan
Unternehmensleitung mit Verantwortung für die Freigabe und Überwachung von Sicherheitsmaßnahmen.
Meldepflicht
Pflicht zur Meldung erheblicher Sicherheitsvorfälle an die zuständigen Stellen.
MFA (Multi Factor Authentication)
Anmeldung mit mehreren Faktoren, z. B. Passwort plus App oder Token.
N
Near Miss
Beinahe-Vorfall, der fast zu einem Sicherheitsvorfall geworden wäre, aber ohne Schaden blieb.
NIS2
EU-Richtlinie zur Cybersicherheit mit Anforderungen an Risikomanagement, Meldepflichten und Verantwortlichkeiten.
NIS2 Umsetzungsgesetz (Deutschland)
Deutsche gesetzliche Umsetzung der NIS2-Richtlinie. In Kraft seit 06.12.2025.
P
Policies
Unternehmensrichtlinien, die festlegen, wie Sicherheit, Zugriffe, Prozesse und Verantwortlichkeiten geregelt sind.
R
Registrierung (BSI)
Registrierung betroffener Unternehmen beim BSI über das BSI-Portal. Frist: 06.03.2026.
Risikomanagement
Systematisches Erkennen, Bewerten und Behandeln von Risiken. Kernbestandteil von NIS2.
S
Schwachstellen
Sicherheitslücken in Systemen, Anwendungen oder Prozessen, die ausgenutzt werden können.
Significant Cyber Threat / Erhebliche Cyberbedrohung
Cyberbedrohung mit hohem Schadenspotenzial für Systeme, Dienste oder Nutzer.
Significant Incident / Erheblicher Vorfall
Sicherheitsvorfall mit erheblicher Auswirkung auf Dienste, Betrieb oder Betroffene, der meldepflichtig sein kann.
Single Point of Contact (SPOC)
Nationale Koordinationsstelle für den Austausch zwischen Behörden und Mitgliedstaaten.
Supply Chain
Lieferkette aus Lieferanten, Dienstleistern und Partnern mit Einfluss auf Betrieb und Sicherheit.
T
TOMs (Technische, operative und organisatorische Maßnahmen)
Gesamtheit der Sicherheitsmaßnahmen in Technik, Prozessen und Organisation.
Third Party Risk
Risiken durch externe Dienstleister, Partner oder Lieferanten.
TLD Registry (Top Level Domain Registry)
Betreiber einer Top-Level-Domain wie Länder- oder generische Domains.
V
VIVA – Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität
Zentrale Schutzwerte der Informationssicherheit. Vorfälle betreffen meist einen oder mehrere dieser Werte.
Vulnerability / Schwachstelle
Technische oder organisatorische Schwäche, die ausgenutzt werden kann.
W
Wiederherstellung
Rückkehr zum Normalbetrieb nach einem Vorfall oder Ausfall, meist über DRP und BCP geregelt.
Z
Zuständige Behörde (Competent Authority)
Nationale Aufsichts- oder Meldestelle, die je nach Sektor und Land zuständig ist.
Compliance Compass
Wissen reicht nicht – handeln Sie jetzt.

Compliance Compass automatisiert alle NIS2-Anforderungen – von der Risikoanalyse bis zur Meldepflicht. In 2–4 Wochen compliant.

Kostenlose Demo buchen Zurück zu den FAQ