Welche Unternehmen sind typischerweise von NIS2 betroffen?

Typischerweise sind mittlere und große Unternehmen betroffen, wenn sie in einem der 18 NIS2-Sektoren tätig sind. Als mittleres Unternehmen gilt, wer mindestens 50 Mitarbeitende beschäftigt oder mindestens 10 Millionen Euro Jahresumsatz erzielt. Als großes Unternehmen gilt, wer mindestens 250 Mitarbeitende hat oder mindestens 50 Millionen Euro Umsatz bei über 43 Millionen Euro Bilanzsumme. Darüber hinaus gibt es Einrichtungen, die unabhängig von ihrer Größe unter NIS2 fallen – etwa qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Resolver-Betreiber und öffentliche elektronische Kommunikationsnetze. Für Konzernstrukturen gilt: Tochterunternehmen werden in der Regel eigenständig bewertet und müssen sich ggf. separat registrieren. Eine rechtlich belastbare Einordnung erfordert drei Schritte: Tätigkeit und angebotene Dienste mit den NIS2-Sektoren abgleichen, Unternehmensgrößen- und Konzernlogik klären, nationale Sonderregelungen prüfen. Das BSI stellt eine kostenlose Betroffenheitsprüfung bereit, die eine erste Orientierung liefert. Nachregistrierungen nach Ablauf der Erstfrist (06.03.2026) sind weiterhin möglich und sollten zeitnah nachgeholt werden.

Welche Pflichten sind der "Kern" von NIS2?

Der Kern besteht aus drei untrennbaren Bereichen: (1) Governance/Verantwortung: Management genehmigt und überwacht die Maßnahmen; (2) Risikomanagementmaßnahmen (Art. 21): Konkrete technische und organisatorische Maßnahmen; (3) Reporting erheblicher Vorfälle (Art. 23): Mehrstufige Meldepflichten. Ohne Governance keine Prioritäten, ohne Maßnahmen keine Resilienz, ohne Reporting kein fristgerechter Umgang mit Vorfällen.

Welche Maßnahmen verlangt NIS2 konkret (in Klartext)?

Art. 21 NIS2 definiert zehn Mindestbereiche für Risikomanagementmaßnahmen: Risikoanalyse und Security-Policies (schriftlich, vom Management genehmigt), Incident Handling (Erkennung, Klassifizierung, Reaktion, Dokumentation), Business Continuity und Disaster Recovery (inkl. getestete Backups), Supply-Chain-Security (Lieferanten-Risikobewertung und Mindestanforderungen), Sichere Entwicklung und Betrieb inkl. Vulnerability Handling (Patch-Management mit definierten SLAs), Wirksamkeitsmessung der eingesetzten Maßnahmen, Basis-Cyberhygiene und Mitarbeiterschulungen, Kryptographie und Verschlüsselung wo angemessen, Asset- und Zugriffsmanagement sowie HR-Security, MFA und sichere interne Kommunikation. Der Schlüsselbegriff ist Verhältnismäßigkeit: Die geforderte Tiefe der Umsetzung richtet sich nach Risiko, Unternehmensgröße und möglichen Auswirkungen eines Ausfalls. Ausgangspunkt ist immer eine dokumentierte Risikoanalyse – sie bestimmt, welche Bereiche sofort angegangen werden müssen und wo ein schrittweiser Aufbau vertretbar ist. Typischerweise starten Unternehmen mit drei Prioritäten: einer dokumentierten Risikoanalyse, einem getesteten Incident-Prozess und einer funktionierenden Backup-Wiederherstellung. Diese Bereiche bilden die Basis und sind bei realen Sicherheitsvorfällen am häufigsten ausschlaggebend.

Verlangt NIS2 eine ISO 27001-Zertifizierung?

NIS2 schreibt keine ISO 27001-Zertifizierung als Pflicht vor, sondern fordert angemessene und verhältnismäßige Sicherheitsmaßnahmen. Unternehmen können sich an anerkannten Standards wie ISO 27001, BSI IT-Grundschutz, SOC 2 oder NIST CSF orientieren – eine Zertifizierungspflicht besteht nicht. In der Praxis kann eine ISO-27001-Zertifizierung dennoch nützlich sein: Sie strukturiert den Umsetzungsprozess, liefert einen auditfähigen Nachweis und erleichtert die Kommunikation gegenüber Kunden, Lieferanten und Behörden. Entscheidend für die NIS2-Konformität ist die reale Wirksamkeit der Maßnahmen und eine funktionierende Governance – nicht das Zertifikat. Unternehmen, die bereits ISO 27001-zertifiziert sind, haben eine gute Ausgangsbasis, müssen aber prüfen, ob NIS2-spezifische Anforderungen – insbesondere zu Meldefristen und Lieferkettensicherheit – vollständig abgedeckt sind. Wer noch nicht zertifiziert ist, sollte pragmatisch starten und die Zertifizierung als mittelfristiges Ziel einplanen, sofern Kunden oder Behörden dies erwarten. Eine dokumentierte Auswahlbegründung erhöht dabei die Auditfähigkeit erheblich.

Was ist ein "significant incident"?

Ein Vorfall gilt nach NIS2 als erheblich, wenn er schwerwiegende betriebliche Störungen verursacht oder verursachen kann, erhebliche finanzielle Verluste zur Folge hat oder andere Personen und Organisationen erheblich schädigt. Entscheidend ist nicht allein ein Datenleck, sondern die Auswirkung auf die Verfügbarkeit, Integrität oder Vertraulichkeit der Dienstleistung. Die EU-Durchführungsverordnung 2024/2690 präzisiert für bestimmte Sektoren zusätzliche Kriterien – etwa Anzahl betroffener Nutzer, Ausfalldauer und Ausmaß geografischer Verbreitung. In der Praxis müssen Unternehmen eine interne Klassifizierungslogik entwickeln: Wer entscheidet, ob ein Vorfall meldepflichtig ist? Auf Basis welcher Kriterien? Mit welcher Eskalationsstufe und in welchem Zeitfenster? Diese Entscheidung muss vor dem Vorfall getroffen sein – denn die 24-Stunden-Frist beginnt mit dem Zeitpunkt der Kenntnis zu laufen, nicht erst nach interner Abklärung. Ein bewährtes Werkzeug ist eine vorab definierte Schwellentabelle mit konkreten Beispielszenarien und klaren Entscheidungspfaden. Diese Tabelle sollte mindestens einmal jährlich auf Aktualität geprüft werden.

Welche Meldefristen gelten nach NIS2?

NIS2 schreibt für erhebliche Sicherheitsvorfälle einen gestuften Meldeprozess an die zuständige Behörde vor – in Deutschland ist das das BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Fristen laufen ab dem Zeitpunkt, zu dem das Unternehmen Kenntnis von dem Vorfall erlangt. Stufe 1 – Frühwarnung binnen 24 Stunden: erster Hinweis, dass ein erheblicher Vorfall vorliegen könnte, mit Angabe vermutlicher Ursachen und möglichem grenzüberschreitendem Impact. Stufe 2 – Vorfallmeldung binnen 72 Stunden: aktualisierter Bericht mit Einschätzung zu Schwere, Auswirkungen und Indikatoren. Stufe 3 – Zwischenberichte auf Anforderung der Behörde bei laufenden Vorfällen. Stufe 4 – Abschlussbericht spätestens einen Monat nach der 72-Stunden-Meldung: detaillierte Analyse mit Ursache, angewandten Gegenmaßnahmen und grenzüberschreitenden Auswirkungen. Voraussetzung für Fristentreue ist Vorbereitung: Wer Rollen, Eskalationswege und Minimal-Templates nicht vorab definiert, kann die Fristen im Ernstfall kaum einhalten. In Deutschland sind Meldungen über das BSI-Portal einzureichen; betroffene Einrichtungen sollten die Zugangsdaten und den Meldeprozess bereits im Regelbetrieb eingerichtet haben.

Was gehört in den Abschlussbericht (Final Report)?

Der Final Report (spätestens nach einem Monat) beinhaltet: Detaillierte Beschreibung von Schwere und Impact; Vermutete Ursache/Threat-Art; Angewandte und laufende Mitigation-Maßnahmen; Grenzüberschreitende Auswirkungen (wenn relevant). Das erfordert, dass während des Incidents ein Logbuch geführt wird, sonst ist es später schwer rekonstruierbar.

Was heißt Supply-Chain-Security in der Praxis?

Supply-Chain-Security nach NIS2 bedeutet, dass betroffene Einrichtungen die Cybersicherheitsrisiken ihrer direkten Lieferanten und Dienstleister systematisch bewerten und steuern müssen. Art. 21 Abs. 2 lit. d NIS2 verlangt explizit Sicherheit in der Lieferkette – einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Lieferanten oder Dienstleistern. In der Praxis umfasst das mindestens fünf Elemente: erstens die Klassifizierung aller Lieferanten nach Kritikalität für die eigene Dienstleistungserbringung; zweitens definierte Mindest-Sicherheitsanforderungen in Verträgen und SLAs; drittens ein wiederholbares Assessment-Verfahren mit Fragebogen und Evidenzprüfung; viertens klare Incident-Meldewege zwischen Lieferant und Einrichtung; fünftens einen definierten Prozess für Abweichungen und Eskalation. Besonders relevant: Ist ein kritischer Lieferant selbst Opfer eines Angriffs, muss die eigene Einrichtung einschätzen können, ob daraus eine eigene Meldepflicht entsteht. Praktisch beginnen die meisten Unternehmen mit einer Kritikalitätsliste ihrer zehn wichtigsten Lieferanten. Für Hochrisiko-Lieferanten empfiehlt sich zusätzlich ein Vor-Ort-Audit oder erweiterter Fragebogen.

Was ist "Vulnerability Handling & Disclosure" unter NIS2?

NIS2 nennt sichere Beschaffung/Entwicklung/Wartung inkl. Umgang mit Schwachstellen und deren Behandlung/Offenlegung. Praktisch umfasst das: Asset-Bezug: welches System ist betroffen; Priorisierung nach Impact und Exploitability; Definierte Patch-SLAs; Ausnahmeprozess (wenn Patch nicht sofort möglich); Lessons Learned. Ohne diese Struktur entstehen Backlogs, die Audit- und Incident-Risiko erhöhen.

Welche Rolle hat das Management nach NIS2?

NIS2 verankert Cybersicherheit explizit auf Governance-Ebene: Nach Art. 20 NIS2 müssen Leitungsorgane – Geschäftsführung, Vorstand oder vergleichbare Gremien – die Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und können bei Pflichtverletzungen persönlich haftbar gemacht werden. Das ist eine zentrale Neuerung gegenüber NIS1. Konkret bedeutet das drei Pflichten für das Management: erstens Risikomanagementmaßnahmen nach Art. 21 zu genehmigen und deren Einhaltung sicherzustellen; zweitens an Schulungen zur Cybersicherheit teilzunehmen und solche im Unternehmen zu fördern; drittens eine NIS-2-Kontaktstelle zu benennen und die fristgerechte Meldung erheblicher Vorfälle zu gewährleisten. Für KMU bedeutet das praktisch: Die Geschäftsführung muss NIS2 aktiv in die Unternehmensführung integrieren. Eine reine Delegation an die IT-Abteilung ohne eigene Governance-Beteiligung schützt nicht vor persönlicher Haftung. Empfehlung: Einen jährlichen Management-Review einführen, der dokumentiert, dass Maßnahmen genehmigt, umgesetzt und überprüft wurden. Dieses Protokoll kann im Prüfungsfall als Nachweis der Governance-Pflicht nach Art. 20 NIS2 dienen.

Wer ist im KMU für NIS2 verantwortlich und welche Rollen brauche ich mindestens?

NIS2 ist nicht nur IT-Aufgabe, sondern verlangt klare Governance. Für KMU funktioniert ein Minimum-Rollenmodell: (1) Geschäftsführung als Sponsor/Entscheider (Prioritäten, Budget, Risikoakzeptanz); (2) Security/IT-Owner (operatives Umsetzen der Maßnahmen); (3) NIS-2-Kontaktstelle (Kommunikation, Portal-Pflege, Vorfallmeldungen); (4) Stellvertretung (24/7-Erreichbarkeit in der Praxis). Zuständigkeiten schriftlich fixieren, Eskalation klar machen – dann erst Controls ausrollen.

Wie bleibt man bei NIS2 "aktuell", wenn sich Leitlinien ändern?

NIS2 wird durch Leitlinien, nationale Auslegung und Anpassungsvorschläge weiter präzisiert. Best Practice ist daher: (1) Policy-Owner festlegen; (2) Quartalsweise Review-Rhythmus einführen; (3) Changes-Log pflegen; (4) Linksammlung zu offiziellen Quellen anlegen; (5) Lessons Learned nach Incidents/Übungen dokumentieren. Ein Letztes Update-Datum und kurze Änderungsnotizen erhöhen Transparenz gegenüber Behörden und Auditoren.

Was muss ich als Erstes tun, wenn ich NIS2-relevant sein könnte?

Der erste Schritt ist eine Betroffenheitsprüfung: Fällt das Unternehmen nach Sektor und Größe unter NIS2? Das BSI stellt hierzu eine kostenlose Online-Prüfung bereit. Ist die Betroffenheit bestätigt, empfiehlt sich ein pragmatischer Fünf-Schritte-Start. Schritt 1: Scope definieren – welche Standorte, Tochtergesellschaften und Services sind betroffen. Schritt 2: Verantwortlichkeiten festlegen – Geschäftsführung als Sponsor, Security-Owner für operative Umsetzung, NIS-2-Kontaktstelle für Behördenkommunikation. Schritt 3: Registrierung im BSI-Portal vorbereiten – Mein-Unternehmenskonto und ELSTER-Zertifikat benötigen Vorlaufzeit. Schritt 4: Kern-Resilienz absichern – Backup- und Wiederherstellungsfähigkeit testen, minimale Incident-Response-Templates erstellen. Schritt 5: Lieferkette priorisieren – die kritischsten Lieferanten identifizieren und Mindestanforderungen formulieren. Diese fünf Schritte schaffen eine handlungsfähige Ausgangsbasis, bevor der vollständige Maßnahmenaufbau nach Art. 21 beginnt. Zeitplan: Betroffenheit und Registrierung sollten in den ersten vier Wochen abgeschlossen sein; Schritte 4 und 5 können parallel in Woche 2–8 laufen. Parallel sollte die erste Risikoanalyse erstellt werden – sie bildet die Grundlage für alle weiteren Maßnahmen nach Art. 21.

Welche Fristen gelten in Deutschland für Registrierung und Vorfallmeldungen?

Registrierung: Innerhalb von 3 Monaten nach Inkrafttreten (06.12.2025), praktisch bis 06.03.2026. Vorfallmeldungen (gestuft): Erste Meldung binnen 24 Stunden; Weitere Meldung binnen 72 Stunden; Abschlussbericht spätestens nach einem Monat. Fristen sind nur haltbar, wenn Rollen, Kommunikationswege und Minimal-Templates vorab definiert sind.

Welche Kosten und welcher Aufwand entstehen bei NIS2 typischerweise?

Offizielle Stellen geben keine pauschalen Kosten an, weil NIS2 risikobasiert und verhältnismäßig umzusetzen ist. Typische Kostentreiber im KMU: Interne Kapazität (IT/Security); Aufbau von Policies/Prozessen; Nachweisführung; Übungen (Incident/BCM); Lieferanten-Assessments. Wichtig: Eine finanzielle Förderung durch den Bund ist laut BSI derzeit nicht vorgesehen. Sinnvoll ist, Aufwand in Wellen zu planen: erst Mindest-Fähigkeiten, dann schrittweise Reifegraderhöhung.

Wo finde ich offizielle Hilfe, Vorlagen und Ansprechpartner für NIS2?

Drei besonders hilfreiche offizielle Wege: (1) BSI: Stellt ein NIS-2-Starterpaket, Orientierung, Einstieg und Webinar-Termine bereit; (2) IHK: Viele Kammern verlinken auf offizielle Ressourcen, FAQ-Sammlungen und BSI-Webinare; (3) Offizielle Kontaktwege: BSI Service-Center/Support-Strukturen für konkrete Fragen zu Portal und Registrierung. Tipp: Legen Sie intern eine NIS2-Quellenliste an (BSI-Seiten, Gesetz, IHK-Hinweise) und prüfen Sie diese quartalsweise.

NIS2 Ratgeber – Wissen & Orientierung

Q: Was ist NIS2 kurz erklärt?

NIS2 (EU-Richtlinie 2022/2555 über die Sicherheit von Netz- und Informationssystemen) ist das überarbeitete europäische Regelwerk für Cybersicherheit in kritischen Sektoren. Sie ersetzt die NIS-Richtlinie von 2016 und erweitert sowohl den betroffenen Unternehmenskreis als auch die inhaltlichen Anforderungen erheblich. In Deutschland trat das Umsetzungsgesetz (NIS2UmsuCG) am 06. Dezember 2025 in Kraft – schätzungsweise 30.000 Unternehmen und Einrichtungen in 18 Sektoren sind betroffen. Die Richtlinie verpflichtet betroffene Organisationen zu zwei Kernbereichen: erstens zur Umsetzung konkreter Risikomanagementmaßnahmen nach Art. 21 (darunter Incident Handling, Supply-Chain-Sicherheit, MFA und Business Continuity) und zweitens zu gestuften Meldepflichten bei erheblichen Sicherheitsvorfällen nach Art. 23 – Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Das Besondere gegenüber NIS1: Verantwortung liegt explizit beim Management – Geschäftsführung und Vorstand können für Verstöße persönlich haftbar gemacht werden. Bußgelder für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Q: Welche Sektoren deckt NIS2 ab?

NIS2 erfasst insgesamt 18 Sektoren, aufgeteilt in zwei Anhänge mit unterschiedlichen Aufsichtsregimen. NIS2 unterscheidet zwischen Sektoren hoher Kritikalität (Annex I) und weiteren kritischen Sektoren (Annex II). Annex I (11 Sektoren): Energie (Strom, Fernwärme/Fernkälte, Öl, Gas, Wasserstoff), Transport (Luft, Schiene, Wasser, Straße), Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (z. B. IXP, DNS, TLD, Cloud, Rechenzentren, CDN, Trust Services, Telekommunikation), ICT Service Management B2B (insbesondere MSP und MSSP), öffentliche Verwaltung sowie Weltraum. Annex II: Post und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, verarbeitendes Gewerbe (u. a. Medizinprodukte, Computer/Elektronik, Maschinenbau, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie Forschungseinrichtungen. Ob ein Unternehmen tatsächlich unter NIS2 fällt, hängt zusätzlich von Größe, Rolle und Sonderregeln ab. Annex-I-Einrichtungen unterliegen grundsätzlich strengerer Aufsicht und höheren Bußgeldrahmen als Annex-II-Einrichtungen. Für bestimmte digitale Infrastruktur-Anbieter gilt NIS2 unabhängig von der Unternehmensgröße. Allein die Sektorzugehörigkeit genügt nicht – die Größenschwellen und mögliche Sonderregeln müssen immer separat geprüft werden.

Betroffenheit & Scope

Prüfen Sie, ob und wie Ihr Unternehmen unter NIS2 fällt.

NIS2 (EU-Richtlinie 2022/2555) ist das überarbeitete europäische Regelwerk für Cybersicherheit in kritischen Sektoren. Es ersetzt die NIS-Richtlinie von 2016 und erweitert sowohl den betroffenen Unternehmenskreis als auch die inhaltlichen Anforderungen erheblich. In Deutschland trat das Umsetzungsgesetz (NIS2UmsuCG) am 06. Dezember 2025 in Kraft – schätzungsweise 30.000 Unternehmen in 18 Sektoren sind betroffen.

Die Richtlinie verpflichtet betroffene Organisationen zu zwei Kernbereichen: erstens zur Umsetzung konkreter Risikomanagementmaßnahmen nach Art. 21 (darunter Incident Handling, Supply-Chain-Sicherheit, MFA und Business Continuity) und zweitens zu gestuften Meldepflichten nach Art. 23 – Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden, Abschlussbericht nach einem Monat.

Das Besondere gegenüber NIS1: Verantwortung liegt explizit beim Management – Geschäftsführung und Vorstand können für Verstöße persönlich haftbar gemacht werden. Bußgelder für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Typischerweise sind mittlere und große Unternehmen betroffen, wenn sie in einem der 18 NIS2-Sektoren tätig sind. Als mittleres Unternehmen gilt, wer mindestens 50 Mitarbeitende beschäftigt oder mindestens 10 Mio. EUR Jahresumsatz erzielt. Als großes Unternehmen gilt, wer mindestens 250 Mitarbeitende hat oder mindestens 50 Mio. EUR Umsatz bei über 43 Mio. EUR Bilanzsumme.

Darüber hinaus gibt es Einrichtungen, die unabhängig von ihrer Größe unter NIS2 fallen – etwa qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Resolver-Betreiber und öffentliche Kommunikationsnetze.

Für Konzernstrukturen gilt: Tochterunternehmen werden in der Regel eigenständig bewertet. Eine belastbare Einordnung erfordert: (1) Sektor-Abgleich, (2) Größen- und Konzernlogik, (3) nationale Sonderregelungen. Das BSI stellt eine kostenlose Betroffenheitsprüfung bereit. Nachregistrierungen nach Ablauf der Erstfrist sind weiterhin möglich.

NIS2 erfasst insgesamt 18 Sektoren in zwei Anhängen mit unterschiedlichen Aufsichtsregimen.

Annex I (11 Sektoren, höhere Kritikalität): Energie (Strom, Fernwärme/Fernkälte, Öl, Gas, Wasserstoff), Transport (Luft, Schiene, Wasser, Straße), Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (z. B. IXP, DNS, TLD, Cloud, Rechenzentren, CDN, Trust Services, Telekommunikation), ICT Service Management B2B (insbesondere MSP und MSSP), öffentliche Verwaltung sowie Weltraum.

Annex II (7 Sektoren, weitere kritische Sektoren): Post und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittel, verarbeitendes Gewerbe (u. a. Medizinprodukte, Computer/Elektronik, Maschinenbau, Kraftfahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie Forschungseinrichtungen.

Annex-I-Einrichtungen unterliegen strengerer Aufsicht und höheren Bußgeldrahmen. Für bestimmte digitale Infrastruktur-Anbieter gilt NIS2 unabhängig von der Unternehmensgröße. Allein die Sektorzugehörigkeit genügt nicht – Größenschwellen und Sonderregeln müssen immer separat geprüft werden.

NIS2 teilt betroffene Organisationen in zwei Kategorien ein, die sich im Bußgeldrahmen und in der Aufsichtsintensität unterscheiden.

Wesentliche Einrichtungen sind in der Regel große Unternehmen ab 250 Mitarbeitenden (oder ab 50 Mio. EUR Jahresumsatz und über 43 Mio. EUR Bilanzsumme) in Annex-I-Sektoren sowie bestimmte Einrichtungen unabhängig von der Größe – etwa qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Resolver-Betreiber. Für sie gilt proaktive Aufsicht: Das BSI kann Prüfungen und Nachweise jederzeit einfordern.

Wichtige Einrichtungen sind typischerweise mittlere Unternehmen (50–249 Mitarbeitende oder 10–50 Mio. EUR Umsatz) in Annex-I-Sektoren sowie große Unternehmen in Annex-II-Sektoren. Für sie gilt reaktive Aufsicht – das BSI handelt in der Regel erst bei konkreten Hinweisen auf Verstöße.

Bußgeldrahmen: Wesentliche Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Jeweils gilt der höhere Betrag.

Für Unternehmen mit ca. 50–500 Mitarbeitenden ist die wichtigste erste Frage: Fallen wir wegen unserer Tätigkeit/Branche in einen NIS2-Sektor und erfüllen wir die Größenlogik? Die kritischen Schwellenwerte: mittlere Unternehmen ab 50 Mitarbeitenden oder ab 10 Mio. EUR Umsatz; große Unternehmen ab 250 Mitarbeitenden oder ab 50 Mio. EUR Umsatz.

Eine pragmatische Vorgehensweise: (1) Tätigkeit und angebotene Dienste mit den NIS2-Sektoren abgleichen, (2) Unternehmensgröße und ggf. Konzern-/Gruppenlogik prüfen – Tochterunternehmen müssen in der Regel eigenständig geprüft werden, (3) klären, ob das Unternehmen als kritischer Digitaldienst/ICT-Dienstleister oder als Teil einer kritischen Wertschöpfungskette erfasst sein könnte, (4) das Ergebnis intern dokumentieren (Datum, Annahmen, Quellen).

Das BSI stellt eine kostenlose Betroffenheitsprüfung bereit, die eine erste Orientierung liefert, aber die rechtlich verbindliche Selbst-Einordnung nicht ersetzt. Empfehlung: Das Prüfergebnis schriftlich dokumentieren und einmal jährlich auf Aktualität prüfen. Unternehmen, die die Erstfrist verpasst haben, sollten die Registrierung umgehend nachholen.

Pflichten & Maßnahmen

Die konkreten Anforderungen aus Art. 21 NIS2 verständlich erklärt.

Der Kern besteht aus drei untrennbaren Bereichen:

(1) Governance/Verantwortung: Management genehmigt und überwacht die Maßnahmen
(2) Risikomanagementmaßnahmen (Art. 21): Konkrete technische und organisatorische Maßnahmen
(3) Reporting erheblicher Vorfälle (Art. 23): Mehrstufige Meldepflichten

Ohne Governance keine Prioritäten, ohne Maßnahmen keine Resilienz, ohne Reporting kein fristgerechter Umgang mit Vorfällen.

Art. 21 NIS2 definiert zehn Mindestbereiche für Risikomanagementmaßnahmen, die verhältnismäßig zum Risiko und zur Unternehmensgröße umzusetzen sind:

Risikoanalyse und Security-Policies (schriftlich, vom Management genehmigt)
Incident Handling (Erkennung, Klassifizierung, Reaktion, Dokumentation)
Business Continuity und Disaster Recovery (inkl. getestete Backups)
Supply-Chain-Security (Lieferanten-Risikobewertung und Mindestanforderungen)
Sichere Entwicklung/Betrieb inkl. Vulnerability Handling (Patch-Management mit SLAs)
Wirksamkeitsmessung der eingesetzten Maßnahmen
Basis-Cyberhygiene und Mitarbeiterschulungen
Kryptographie und Verschlüsselung wo angemessen
Asset- und Zugriffsmanagement sowie HR-Security
MFA und sichere interne Kommunikation

Der Schlüsselbegriff ist Verhältnismäßigkeit: Die geforderte Tiefe richtet sich nach Risiko, Unternehmensgröße und möglichen Auswirkungen eines Ausfalls. Ausgangspunkt ist immer eine dokumentierte Risikoanalyse – sie bestimmt, welche Bereiche sofort angegangen werden müssen und wo ein schrittweiser Aufbau vertretbar ist. Typischerweise starten Unternehmen mit drei Prioritäten: einer dokumentierten Risikoanalyse, einem getesteten Incident-Prozess und einer funktionierenden Backup-Wiederherstellung. Diese Bereiche bilden die Basis und sind bei realen Sicherheitsvorfällen am häufigsten ausschlaggebend.

NIS2 schreibt keine ISO 27001-Zertifizierung als Pflicht vor, sondern fordert angemessene und verhältnismäßige Sicherheitsmaßnahmen. Unternehmen können sich an anerkannten Standards wie ISO 27001, BSI IT-Grundschutz, SOC 2 oder NIST CSF orientieren – eine Zertifizierungspflicht besteht nicht.

In der Praxis kann eine ISO-27001-Zertifizierung dennoch nützlich sein: Sie strukturiert den Umsetzungsprozess, liefert einen auditfähigen Nachweis und erleichtert die Kommunikation gegenüber Kunden, Lieferanten und Behörden.

Entscheidend ist die reale Wirksamkeit der Maßnahmen und eine funktionierende Governance – nicht das Zertifikat. Bereits ISO-27001-zertifizierte Unternehmen haben eine gute Ausgangsbasis, müssen aber prüfen, ob NIS2-spezifische Anforderungen – insbesondere Meldefristen und Lieferkettensicherheit – vollständig abgedeckt sind. Wer noch nicht zertifiziert ist, sollte pragmatisch starten und die Zertifizierung als mittelfristiges Ziel einplanen. Eine dokumentierte Auswahlbegründung erhöht dabei die Auditfähigkeit erheblich.

NIS2 fordert angemessene, verhältnismäßige Maßnahmen. Das heißt: Risiko, Unternehmensgröße, Eintrittswahrscheinlichkeit und potenzieller Schaden beeinflussen, wie tief und breit Maßnahmen umgesetzt werden.

Praktisch ist Proportionalität eine Dokumentations- und Entscheidungslogik: Warum priorisieren wir X vor Y, welche Risiken akzeptieren wir temporär, welche müssen sofort mitigiert werden.

Incident Management & Meldepflichten

Alles zu erheblichen Vorfällen, Meldefristen und Berichtsstruktur.

Ein Vorfall gilt nach NIS2 als erheblich, wenn er schwerwiegende betriebliche Störungen verursacht oder verursachen kann, erhebliche finanzielle Verluste zur Folge hat oder andere Personen und Organisationen erheblich schädigt. Entscheidend ist nicht allein ein Datenleck, sondern die Auswirkung auf die Verfügbarkeit, Integrität oder Vertraulichkeit der Dienstleistung.

Die EU-Durchführungsverordnung 2024/2690 präzisiert für bestimmte Sektoren zusätzliche Kriterien – etwa Anzahl betroffener Nutzer, Ausfalldauer und geografische Verbreitung des Vorfalls.

In der Praxis müssen Unternehmen eine interne Klassifizierungslogik entwickeln: Wer entscheidet, ob ein Vorfall meldepflichtig ist? Auf Basis welcher Kriterien? Diese Entscheidung muss vor dem Vorfall getroffen sein – denn die 24-Stunden-Frist beginnt mit dem Zeitpunkt der Kenntnis zu laufen, nicht erst nach interner Abklärung. Ein bewährtes Werkzeug ist eine vorab definierte Schwellentabelle mit Beispielszenarien und klaren Entscheidungspfaden. Diese Tabelle sollte mindestens einmal jährlich auf Aktualität geprüft werden.

NIS2 schreibt für erhebliche Sicherheitsvorfälle einen gestuften Meldeprozess an die zuständige Behörde vor – in Deutschland das BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Fristen laufen ab dem Zeitpunkt, zu dem das Unternehmen Kenntnis von dem Vorfall erlangt:

Stufe 1 – Frühwarnung binnen 24 Stunden: Erster Hinweis, dass ein erheblicher Vorfall vorliegen könnte, mit Angabe vermutlicher Ursachen und möglichem grenzüberschreitendem Impact
Stufe 2 – Vorfallmeldung binnen 72 Stunden: Aktualisierter Bericht mit Einschätzung zu Schwere, Auswirkungen und Indikatoren
Stufe 3 – Zwischenberichte: Auf Anforderung der Behörde bei laufenden Vorfällen
Stufe 4 – Abschlussbericht (spätestens 1 Monat nach Stufe 2): Detaillierte Analyse mit Ursache, angewandten Gegenmaßnahmen und grenzüberschreitenden Auswirkungen

Voraussetzung für Fristentreue ist Vorbereitung: Wer Rollen, Eskalationswege und Minimal-Templates nicht vorab definiert, kann die Fristen im Ernstfall kaum einhalten. In Deutschland sind Meldungen über das BSI-Portal einzureichen; betroffene Einrichtungen sollten die Zugangsdaten und den Meldeprozess bereits im Regelbetrieb eingerichtet haben.

Die Frühwarnung ist nicht der finale Detailbericht. Sie soll der zuständigen Stelle früh signalisieren, dass ein erheblicher Vorfall vorliegen könnte, inkl. Hinweis auf mögliche Ursachen und potenziellen grenzüberschreitenden Impact.

In der Praxis hilft ein vorbereitetes Minimal-Template: Zeitpunkt/Entdeckung, betroffene Services, erste Auswirkungen, erste Hypothese, Kontaktperson, nächste Updates.

Der Final Report (spätestens nach einem Monat) beinhaltet:

Detaillierte Beschreibung von Schwere und Impact
Vermutete Ursache/Threat-Art
Angewandte und laufende Mitigation-Maßnahmen
Grenzüberschreitende Auswirkungen (wenn relevant)

Das erfordert, dass während des Incidents ein „Logbuch" geführt wird, sonst ist es später schwer rekonstruierbar.

NIS2 und DSGVO sind zwei eigenständige Regelwerke mit unterschiedlichen Schutzzielen, die bei Sicherheitsvorfällen gleichzeitig greifen können. Die DSGVO schützt personenbezogene Daten und verlangt eine Meldung an die Datenschutzaufsichtsbehörde binnen 72 Stunden. NIS2 fokussiert auf Verfügbarkeit und Integrität von Systemen und verlangt bereits eine Frühwarnung binnen 24 Stunden.

Bei einem Ransomware-Angriff, der Systeme lahmlegt und Daten abfließen lässt, laufen beide Meldepflichten parallel – mit unterschiedlichen Fristen und an unterschiedliche Behörden. NIS2 sieht vor, dass zuständige Behörden und Datenschutzaufsichtsbehörden zusammenarbeiten, wenn ein Vorfall beide Bereiche betrifft.

In der Praxis: Der Incident-Response-Prozess muss von Anfang an prüfen, ob DSGVO-Meldepflichten parallel ausgelöst werden, damit beide Meldewege und Fristen synchronisiert ablaufen. Empfehlung: Im Incident-Log festhalten, welche Meldepflichten geprüft und welche Entscheidungen mit welcher Begründung getroffen wurden. So lässt sich lückenlos belegen, dass alle Fristen eingehalten wurden.

Lieferkette & Drittparteien

Supply Chain Security und Umgang mit Schwachstellen bei Lieferanten.

Supply-Chain-Security nach NIS2 (Art. 21 Abs. 2 lit. d) bedeutet, dass betroffene Einrichtungen die Cybersicherheitsrisiken ihrer direkten Lieferanten und Dienstleister systematisch bewerten und steuern müssen – nicht nur einmalig, sondern als wiederholbaren Prozess. Dazu gehören mindestens:

Klassifizierung aller Lieferanten nach Kritikalität für die eigene Dienstleistungserbringung
Definierte Mindest-Sicherheitsanforderungen in Verträgen und SLAs
Wiederholbares Assessment-Verfahren (Fragebogen + Evidenzprüfung)
Klare Incident-Meldewege zwischen Lieferant und Einrichtung
Definierter Prozess für Abweichungen und Eskalation (Mitigation, Wechsel, Restriktion)

Besonders relevant: Ist ein kritischer Lieferant selbst Opfer eines Angriffs, muss die eigene Einrichtung einschätzen können, ob daraus eine eigene Meldepflicht entsteht. Praktisch beginnen die meisten Unternehmen mit einer Kritikalitätsliste ihrer zehn wichtigsten Lieferanten. Für Hochrisiko-Lieferanten empfiehlt sich zusätzlich ein Vor-Ort-Audit oder erweiterter Fragebogen.

NIS2 nennt sichere Beschaffung/Entwicklung/Wartung inkl. Umgang mit Schwachstellen und deren Behandlung/Offenlegung. Praktisch umfasst das:

Asset-Bezug: welches System ist betroffen
Priorisierung nach Impact und Exploitability
Definierte Patch-SLAs
Ausnahmeprozess (wenn Patch nicht sofort möglich)
Lessons Learned

Ohne diese Struktur entstehen Backlogs, die Audit- und Incident-Risiko erhöhen.

Governance & Rollen

Verantwortlichkeiten, Managementhaftung und Bußgeldrahmen.

NIS2 verankert Cybersicherheit explizit auf Governance-Ebene: Nach Art. 20 NIS2 müssen Leitungsorgane – Geschäftsführung, Vorstand oder vergleichbare Gremien – Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und können bei Pflichtverletzungen persönlich haftbar gemacht werden. Das ist eine zentrale Neuerung gegenüber NIS1.

Konkret bedeutet das drei Pflichten für das Management:

Risikomanagementmaßnahmen nach Art. 21 genehmigen und deren Einhaltung sicherstellen
An Cybersicherheitsschulungen teilnehmen und diese im Unternehmen fördern
Eine NIS-2-Kontaktstelle benennen und fristgerechte Vorfallmeldungen gewährleisten

Für KMU bedeutet das: Die Geschäftsführung muss NIS2 aktiv in die Unternehmensführung integrieren. Eine reine Delegation an die IT-Abteilung ohne eigene Governance-Beteiligung schützt nicht vor persönlicher Haftung. Empfehlung: Einen jährlichen Management-Review einführen, der dokumentiert, dass Maßnahmen genehmigt, umgesetzt und überprüft wurden. Dieses Protokoll dient im Prüfungsfall als Nachweis der Governance-Pflicht.

Für Verstöße gegen NIS2-Pflichten sieht die Richtlinie bindende Mindest-Bußgeldrahmen vor, die Mitgliedstaaten nicht unterschreiten dürfen. In Deutschland setzt das NIS2UmsuCG diese Rahmen verbindlich um. Die Richtlinie nennt als Mindest-Strafen:

Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Es gilt jeweils der höhere Betrag. Bußgelder sind jedoch nicht das einzige Sanktionsinstrument: Für wesentliche Einrichtungen kann das BSI bei schwerwiegenden Verstößen auch die Tätigkeit von Führungspersonen vorübergehend untersagen.

Hinzu kommt die persönliche Managementhaftung nach Art. 20 NIS2: Leitungsorgane müssen Cybersicherheitsmaßnahmen genehmigen und überwachen – bei nachgewiesener Pflichtverletzung können Mitglieder der Geschäftsleitung persönlich haftbar gemacht werden. Die tatsächliche Sanktionshöhe hängt von Schwere, Dauer und Kooperationsbereitschaft ab. Behörden können zudem anordnen, dass Einrichtungen öffentlich über Sicherheitsverstöße informieren, wenn dies im öffentlichen Interesse liegt.

NIS2 ist nicht nur „IT-Aufgabe", sondern verlangt klare Governance. Für KMU funktioniert ein Minimum-Rollenmodell:

(1) Geschäftsführung als Sponsor/Entscheider (Prioritäten, Budget, Risikoakzeptanz)
(2) Security/IT-Owner (operatives Umsetzen der Maßnahmen)
(3) NIS-2-Kontaktstelle (Kommunikation, Portal-Pflege, Vorfallmeldungen)
(4) Stellvertretung (24/7-Erreichbarkeit in der Praxis)

Zuständigkeiten schriftlich fixieren, Eskalation klar machen – dann erst Controls ausrollen.

Nachweise & Auditfähigkeit

Wie Sie Maßnahmen dokumentieren und Wirksamkeit nachweisen.

NIS2 wird durch Leitlinien, nationale Auslegung und Anpassungsvorschläge weiter präzisiert. Best Practice ist daher:

(1) „Policy-Owner" festlegen
(2) Quartalsweise Review-Rhythmus einführen
(3) Changes-Log pflegen
(4) Linksammlung zu offiziellen Quellen anlegen
(5) Lessons Learned nach Incidents/Übungen dokumentieren

Ein „Letztes Update"-Datum und kurze Änderungsnotizen erhöhen Transparenz gegenüber Behörden und Auditoren.

Excel kann für KMU am Anfang helfen (Inventar, Maßnahmenliste, Zuständigkeiten) – aber NIS2 verlangt mehr als „eine Liste": wiederholbare Prozesse, fristfähiges Melden, Lieferketten-Kontrollen und Wirksamkeitsnachweise.

Spätestens wenn Sie mehrere Standorte, viele Systeme oder häufige Changes haben, wird Excel schwierig: Versionschaos, fehlender Audit-Trail, unklare Ownership, manuelle Erinnerungen, brüchige Nachweise.

Empfehlung: Starten Sie pragmatisch, definieren Sie aber früh ein Zielbild, damit Sie nicht in Insellösungen festlaufen.

Deutschland-Umsetzung & KMU

Fristen, BSI-Portal, Registrierung und praxisnahe Hinweise für den Mittelstand.

Das Umsetzungsgesetz zur NIS-2-Richtlinie in Deutschland ist am 06.12.2025 in Kraft getreten. Damit gelten verbindliche Anforderungen, u. a. Sicherheitsanforderungen und Meldepflichten.

Für die praktische Umsetzung gilt eine Registrierungsfrist von drei Monaten nach Inkrafttreten – praktisch also bis 06.03.2026.

Zuerst: Betroffenheit bestätigen. Fällt das Unternehmen nach Sektor und Größe unter NIS2? Das BSI stellt hierzu eine kostenlose Online-Betroffenheitsprüfung bereit. Ist die Betroffenheit bestätigt, empfiehlt sich ein pragmatischer 5-Schritte-Start:

(1) Scope definieren: Welche Standorte, Tochtergesellschaften und Services sind betroffen
(2) Verantwortlichkeiten festlegen: GF als Sponsor, Security-Owner für operative Umsetzung, NIS-2-Kontaktstelle für Behördenkommunikation
(3) BSI-Registrierung vorbereiten: Mein-Unternehmenskonto und ELSTER-Zertifikat benötigen Vorlaufzeit
(4) Kern-Resilienz absichern: Backup-Wiederherstellung testen, minimale Incident-Templates erstellen
(5) Lieferkette priorisieren: Kritischste Lieferanten identifizieren, Mindestanforderungen formulieren

Diese fünf Schritte schaffen eine handlungsfähige Ausgangsbasis, bevor der vollständige Maßnahmenaufbau nach Art. 21 beginnt. Zeitplan: Betroffenheit und Registrierung in den ersten vier Wochen; Schritte 4 und 5 können parallel in Woche 2–8 laufen. Parallel sollte die erste Risikoanalyse erstellt werden – sie bildet die Grundlage für alle weiteren Maßnahmen nach Art. 21.

Die Registrierung ist zweistufig: Zuerst Anmeldung über Mein Unternehmenskonto (MUK) als Identitätsdienst, anschließend die eigentliche Registrierung im BSI-Portal.

Planen Sie Vorlauf ein: Für MUK wird in der Regel ein ELSTER-Organisationszertifikat benötigt – Bestellung und Erhalt erfordern zusätzliche Zeit.

Im Portal werden Stammdaten, Einordnung/Angaben zur Einrichtung sowie Kontaktangaben hinterlegt. Legen Sie intern fest, wer administriert und wer als NIS-2-Kontaktstelle fungiert.

Das BSI stellt eine Schritt-für-Schritt-Anleitung bereit.

Registrierung: Innerhalb von 3 Monaten nach Inkrafttreten (06.12.2025), praktisch bis 06.03.2026.

Vorfallmeldungen (gestuft):

Erste Meldung binnen 24 Stunden
Weitere Meldung binnen 72 Stunden
Abschlussbericht spätestens nach einem Monat

Fristen sind nur haltbar, wenn Rollen, Kommunikationswege und Minimal-Templates vorab definiert sind.

Offizielle Stellen geben keine pauschalen Kosten an, weil NIS2 risikobasiert und verhältnismäßig umzusetzen ist. Typische Kostentreiber im KMU:

Interne Kapazität (IT/Security)
Aufbau von Policies/Prozessen
Nachweisführung
Übungen (Incident/BCM)
Lieferanten-Assessments

Wichtig: Eine finanzielle Förderung durch den Bund ist laut BSI derzeit nicht vorgesehen. Sinnvoll ist, Aufwand in Wellen zu planen: erst Mindest-Fähigkeiten, dann schrittweise Reifegraderhöhung.

Drei besonders hilfreiche offizielle Wege:

(1) BSI: Stellt ein NIS-2-Starterpaket, Orientierung, Einstieg und Webinar-Termine bereit
(2) IHK: Viele Kammern verlinken auf offizielle Ressourcen, FAQ-Sammlungen und BSI-Webinare
(3) Offizielle Kontaktwege: BSI Service-Center/Support-Strukturen für konkrete Fragen zu Portal und Registrierung

Tipp: Legen Sie intern eine „NIS2-Quellenliste" an (BSI-Seiten, Gesetz, IHK-Hinweise) und prüfen Sie diese quartalsweise.

Begriffe

NIS2 Glossar

Die wichtigsten Fachbegriffe rund um NIS2 kompakt erklärt.

All Hazards Ansatz

Ansatz im Risikomanagement, bei dem nicht nur Cyberangriffe betrachtet werden, sondern alle relevanten Gefahren, z. B. technische Ausfälle, menschliche Fehler oder physische Ereignisse.

Asset Inventar

Verzeichnis aller IT- und OT-Systeme, Anwendungen, Geräte, Daten und Dienste. Grundlage für Risikoanalyse, Schutzmaßnahmen und Nachweise.

Assets

IT- und OT-Ressourcen wie Hardware, Software, Daten, Cloud-Dienste und Systeme.

Awareness

Sicherheitsbewusstsein der Mitarbeitenden, z. B. im Umgang mit Phishing, Passwörtern, Social Engineering oder Datenfreigaben.

AVV (Auftragsverarbeitungsvertrag)

Vertrag nach DSGVO, wenn ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet.

BCP (Business Continuity Plan)

Notfallplan zur Aufrechterhaltung des Geschäftsbetriebs bei Störungen oder Ausfällen.

BCMS (Business Continuity Management System)

Das übergeordnete Managementsystem hinter dem BCP. Regelt Planung, Tests und Verbesserung der Notfallfähigkeit.

Business Continuity

Fähigkeit eines Unternehmens, auch bei Störungen handlungsfähig zu bleiben und kritische Prozesse weiterzuführen.

BSI (Bundesamt für Sicherheit in der Informationstechnik)

Zentrale deutsche Cybersicherheitsbehörde und wichtige Anlaufstelle für NIS2-Registrierung, Meldungen und Orientierung.

BSI Portal

Portal des BSI für NIS2-Registrierung und Meldungen.

Controls

Sicherheitsmaßnahmen zur Risikoreduzierung, z. B. MFA, Backup-Tests, Rechtekonzepte, Monitoring oder Freigabeprozesse.

CSIRT (Computer Security Incident Response Team)

Stelle für die Bearbeitung und Koordination von Sicherheitsvorfällen. Kann bei NIS2-Meldungen relevant sein.

Cyberhygiene

Grundlegende Sicherheitsmaßnahmen im Alltag, z. B. Patchen, sichere Passwörter, MFA, Updates und Schulungen.

Cybersecurity / Cybersicherheit

Schutz von IT-Systemen, Daten und Diensten vor Angriffen, Ausfällen und Missbrauch.

DNS (Domain Name System)

System, das Domainnamen in technische Adressen übersetzt.

DNS Service Provider

Anbieter, die DNS-Dienste für Nutzer oder andere Unternehmen bereitstellen.

DRP (Disaster Recovery Plan)

Wiederherstellungsplan für Systeme, Daten und IT-Infrastruktur nach einem größeren Ausfall oder Angriff.

Early Warning

Erste Meldestufe bei einem erheblichen Sicherheitsvorfall. Muss unter NIS2 binnen 24 Stunden erfolgen.

Einrichtung (Entity)

Begriff für ein betroffenes Unternehmen oder eine Organisation im NIS2-Kontext.

ENISA

EU-Agentur für Cybersicherheit. Unterstützt Koordination und Austausch auf EU-Ebene.

Essential Entity / Wesentliche Einrichtung

Besonders kritische Einrichtung im NIS2-System mit strengeren Regularien und höherem Bußgeldrahmen.

Final Report (Abschlussbericht)

Abschlussmeldung nach einem erheblichen Sicherheitsvorfall, in der Ursache, Auswirkungen und Maßnahmen dokumentiert werden.

Frameworks

Regelwerke oder Standards, nach denen Sicherheit und Compliance strukturiert werden, z. B. NIS2 oder ISO 27001.

Governance

Unternehmensführung, Verantwortlichkeiten und Entscheidungsstrukturen für Sicherheit und Compliance. Unter NIS2 ausdrücklich ein Management-Thema.

GRC (Governance, Risk and Compliance)

Bereich für Unternehmensführung, Risikomanagement und Regelkonformität.

Incident

Sicherheitsvorfall, der Daten, Systeme oder Dienste beeinträchtigt.

Incident Handling

Strukturierter Umgang mit Sicherheitsvorfällen von Erkennung bis Wiederherstellung.

Incident Notification

Zweite Meldestufe nach der Early Warning mit erster Bewertung des Vorfalls (binnen 72 Stunden).

Incident Response

Praktische Reaktion auf Sicherheitsvorfälle, inklusive Analyse, Eindämmung und Wiederherstellung.

Incident Response Plan (IRP)

Vorfallsplan mit klaren Rollen, Abläufen und Entscheidungen für den Ernstfall.

Indicators of Compromise (IoCs)

Technische Hinweise auf eine Kompromittierung, z. B. IP-Adressen, Hashes oder verdächtige Domains.

Important Entity / Wichtige Einrichtung

Einrichtung, die unter NIS2 fällt, aber nicht als wesentliche Einrichtung eingeordnet ist.

ISMS (Information Security Management System)

Managementsystem für Informationssicherheit, häufig nach ISO 27001 aufgebaut.

ISO 27001

Internationaler Standard für Informationssicherheitsmanagement.

KMU

Kleine und mittlere Unternehmen.

Krisenmanagement

Organisation und Steuerung des Unternehmens im Ernstfall, damit Entscheidungen, Kommunikation und Maßnahmen funktionieren.

Lieferkettensicherheit / Supply Chain Security

Sicherheitsanforderungen für Lieferanten, Dienstleister und Partner in der Wertschöpfungskette.

Management Body / Leitungsorgan

Unternehmensleitung mit Verantwortung für die Freigabe und Überwachung von Sicherheitsmaßnahmen.

Meldepflicht

Pflicht zur Meldung erheblicher Sicherheitsvorfälle an die zuständigen Stellen.

MFA (Multi Factor Authentication)

Anmeldung mit mehreren Faktoren, z. B. Passwort plus App oder Token.

Near Miss

Beinahe-Vorfall, der fast zu einem Sicherheitsvorfall geworden wäre, aber ohne Schaden blieb.

NIS2

EU-Richtlinie zur Cybersicherheit mit Anforderungen an Risikomanagement, Meldepflichten und Verantwortlichkeiten.

NIS2 Umsetzungsgesetz (Deutschland)

Deutsche gesetzliche Umsetzung der NIS2-Richtlinie. In Kraft seit 06.12.2025.

Policies

Unternehmensrichtlinien, die festlegen, wie Sicherheit, Zugriffe, Prozesse und Verantwortlichkeiten geregelt sind.

Registrierung (BSI)

Registrierung betroffener Unternehmen beim BSI über das BSI-Portal. Frist: 06.03.2026.

Risikomanagement

Systematisches Erkennen, Bewerten und Behandeln von Risiken. Kernbestandteil von NIS2.

Schwachstellen

Sicherheitslücken in Systemen, Anwendungen oder Prozessen, die ausgenutzt werden können.

Significant Cyber Threat / Erhebliche Cyberbedrohung

Cyberbedrohung mit hohem Schadenspotenzial für Systeme, Dienste oder Nutzer.

Significant Incident / Erheblicher Vorfall

Sicherheitsvorfall mit erheblicher Auswirkung auf Dienste, Betrieb oder Betroffene, der meldepflichtig sein kann.

Single Point of Contact (SPOC)

Nationale Koordinationsstelle für den Austausch zwischen Behörden und Mitgliedstaaten.

Supply Chain

Lieferkette aus Lieferanten, Dienstleistern und Partnern mit Einfluss auf Betrieb und Sicherheit.

TOMs (Technische, operative und organisatorische Maßnahmen)

Gesamtheit der Sicherheitsmaßnahmen in Technik, Prozessen und Organisation.

Third Party Risk

Risiken durch externe Dienstleister, Partner oder Lieferanten.

TLD Registry (Top Level Domain Registry)

Betreiber einer Top-Level-Domain wie Länder- oder generische Domains.

VIVA – Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität

Zentrale Schutzwerte der Informationssicherheit. Vorfälle betreffen meist einen oder mehrere dieser Werte.

Vulnerability / Schwachstelle

Technische oder organisatorische Schwäche, die ausgenutzt werden kann.

Wiederherstellung

Rückkehr zum Normalbetrieb nach einem Vorfall oder Ausfall, meist über DRP und BCP geregelt.

Zuständige Behörde (Competent Authority)

Nationale Aufsichts- oder Meldestelle, die je nach Sektor und Land zuständig ist.

NIS2 – Wissen & Orientierung
für Ihr Unternehmen

Betroffenheit & Scope

Pflichten & Maßnahmen

Incident Management & Meldepflichten

Lieferkette & Drittparteien

Governance & Rollen

Nachweise & Auditfähigkeit

Deutschland-Umsetzung & KMU

In 30 Tagen zur NIS2-Basis

NIS2 Glossar

NIS2 – Wissen & Orientierungfür Ihr Unternehmen

Betroffenheit & Scope

Pflichten & Maßnahmen

Incident Management & Meldepflichten

Lieferkette & Drittparteien

Governance & Rollen

Nachweise & Auditfähigkeit

Deutschland-Umsetzung & KMU

In 30 Tagen zur NIS2-Basis

NIS2 Glossar

NIS2 – Wissen & Orientierung
für Ihr Unternehmen