Zum Inhalt springen
Home » NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen

NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen

NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen

 

Mit der deutschen Umsetzung der EU-NIS2-Richtlinie gelten für viele Unternehmen neue Anforderungen an Cybersicherheit, Risikomanagement, Meldeprozesse, Registrierung und Geschäftsleitungsverantwortung.

NIS2 erweitert die bisherigen Vorgaben deutlich. Betroffen sind nicht mehr nur klassische Kritische Infrastrukturen. Auch viele mittelständische Unternehmen aus regulierten Branchen müssen prüfen, ob sie unter die neuen Pflichten fallen.

Dieser Artikel erklärt, wer betroffen ist, welche Anforderungen gelten und wie Unternehmen sich sinnvoll vorbereiten.

Das Wichtigste in Kürze

  • NIS2 gilt in Deutschland seit dem 6. Dezember 2025. Grundlage ist das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG.
  • Deutlich mehr Unternehmen sind betroffen. Neben klassischen KRITIS-Betreibern müssen auch viele mittelständische Unternehmen, IT-Dienstleister, Produktionsunternehmen und Zulieferer ihre Betroffenheit prüfen.
  • Registrierung und Meldepflichten sind zeitkritisch. Betroffene Einrichtungen müssen sich registrieren und erhebliche Sicherheitsvorfälle innerhalb kurzer Fristen melden.
  • Cybersicherheit ist Leitungsthema. Geschäftsführung und Vorstand müssen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und ihre Befassung dokumentieren.

NIS2-Beratung für Unternehmen

Unsicher, ob Ihr Unternehmen NIS2-betroffen ist?

Lassen Sie Ihre Betroffenheit prüfen und erhalten Sie eine klare Einschätzung zu Pflichten, Fristen und nächsten Schritten.

NIS2-Betroffenheit prüfen lassen Unverbindlich · Persönliche Ersteinschätzung

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist die europäische Grundlage für ein höheres gemeinsames Cybersicherheitsniveau. Sie ersetzt die erste NIS-Richtlinie und erweitert den Kreis der regulierten Einrichtungen deutlich.

In Deutschland wurde NIS2 durch das NIS2-Umsetzungsgesetz umgesetzt. Dabei wurde insbesondere das BSI-Gesetz überarbeitet. Für betroffene Unternehmen bedeutet das: Cybersicherheit ist nicht mehr nur eine technische Schutzmaßnahme, sondern eine verbindliche Compliance-Pflicht.

Im Kern geht es um drei Fragen:

  1. Welche Risiken bestehen für IT-Systeme, Daten, Dienste und Geschäftsprozesse?
  2. Welche technischen, organisatorischen und personellen Maßnahmen schützen das Unternehmen angemessen?
  3. Wie schnell kann das Unternehmen auf einen erheblichen Sicherheitsvorfall reagieren und diesen melden?

Praxisbeispiel:
Ein Produktionsunternehmen mit 180 Mitarbeitenden und digital gesteuerter Lieferkette kann NIS2-betroffen sein, auch wenn es bisher nicht als Kritische Infrastruktur eingestuft wurde. Genau solche Unternehmen geraten durch NIS2 stärker in den regulatorischen Fokus.

Mehr zur praktischen Umsetzung finden Sie auf unserer Seite Informationssicherheit & NIS2-Beratung.

Wer ist von NIS2 betroffen?

Von NIS2 betroffen sind Unternehmen und Einrichtungen, die in bestimmten Sektoren tätig sind und gesetzliche Größen- oder Sonderkriterien erfüllen. Entscheidend sind Branche, konkrete Tätigkeit, Unternehmensgröße und die Einordnung als wichtige oder besonders wichtige Einrichtung.

Typische betroffene Bereiche sind unter anderem:

  • Energie,
  • Verkehr und Transport,
  • Gesundheit,
  • digitale Infrastruktur,
  • IT-Dienstleistungen,
  • Wasser und Abwasser,
  • Abfallwirtschaft,
  • Lebensmittel,
  • Forschung,
  • bestimmte Teile des verarbeitenden Gewerbes,
  • Finanz- und Versicherungswesen, wobei für viele Finanzunternehmen DORA als spezielleres Regelwerk vorrangig ist.

Als grobe Orientierung gilt: Viele Unternehmen müssen NIS2 prüfen, wenn sie einem relevanten Sektor zuzuordnen sind und mindestens 50 Mitarbeitende beschäftigen oder die im BSI-Gesetz genannten finanziellen Schwellen erreichen.

Für sonstige wichtige Einrichtungen nennt § 28 BSIG insbesondere die Schwelle von mindestens 50 Mitarbeitendenoder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro. Für besonders wichtige Einrichtungen gelten in vielen Fällen höhere Schwellen, insbesondere mindestens 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Mio. Euro.

Wichtig: Die Größenprüfung darf nicht schematisch erfolgen. Das BSI-Gesetz verweist bei Mitarbeitendenzahl, Jahresumsatz und Jahresbilanzsumme auf die europäische KMU-Empfehlung. Bei Partnerunternehmen, verbundenen Unternehmen und Unternehmensgruppen muss deshalb geprüft werden, welche Werte einzubeziehen sind.

Wenn Sie unsicher sind, ob Ihr Unternehmen betroffen ist, lesen Sie ergänzend: Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen 

Welche Unternehmen übersehen ihre NIS2-Betroffenheit häufig?

Viele Unternehmen denken bei NIS2 zuerst an Krankenhäuser, Energieversorger oder große Telekommunikationsanbieter. Das greift zu kurz. NIS2 reicht deutlich weiter als die bisherige KRITIS-Regulierung.

In der Praxis übersehen vor allem diese Unternehmen ihre mögliche Betroffenheit:

  • mittelständische Produktionsunternehmen
  • IT-Dienstleister und Managed Service Provider
  • Zulieferer in kritischen Lieferketten
  • Hersteller von Maschinen, Fahrzeugteilen oder elektronischen Komponenten
  • Unternehmen mit mehreren Gesellschaften im Konzern
  • digitale Plattformen oder Anbieter technischer Infrastruktur
  • Unternehmen, die Teil regulierter Liefer- oder Wertschöpfungsketten sind

Der häufigste Fehler ist eine zu grobe Prüfung nach dem Motto: „Wir sind keine KRITIS, also betrifft uns NIS2 nicht.“ Diese Annahme ist riskant. Viele Unternehmen, die bislang nicht unter die klassische KRITIS-Regulierung fielen, können nach NIS2 trotzdem neue Pflichten haben.

Mehr dazu: NIS2 Mittelstand: Was gilt für kleine und mittlere Unternehmen?

Was gilt für Finanzunternehmen und DORA?

Für viele Unternehmen aus dem Finanz- und Versicherungssektor ist neben NIS2 vor allem DORA relevant. DORA steht für Digital Operational Resilience Act und regelt die digitale operationelle Resilienz im Finanzsektor unmittelbar auf EU-Ebene.

DORA gilt unter anderem für Banken, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, bestimmte Krypto-Dienstleister, Versicherungen und Rückversicherungen. In den Bereichen IKT-Risikomanagement und Meldung schwerwiegender IKT-Vorfälle ist DORA regelmäßig das speziellere Regelwerk.

Das bedeutet aber nicht, dass Finanzunternehmen NIS2 pauschal ignorieren sollten. In der Praxis muss geprüft werden, ob DORA vorrangig ist, welche NIS2-Pflichten daneben relevant bleiben und ob einzelne Gruppengesellschaften oder IT-Dienstleister eigenständig unter NIS2 fallen.

Welche Pflichten hat mein Unternehmen?

Betroffene Unternehmen müssen ein Risikomanagement für Cybersicherheit einführen. Das bedeutet: Risiken müssen erkannt, bewertet, reduziert und regelmäßig überprüft werden.

Außerdem müssen Maßnahmen dokumentiert und im Ernstfall nachweisbar sein.

Zu den wichtigsten Pflichten gehören:

  • Sicherheitskonzept für IT-Systeme, Dienste und Geschäftsprozesse,
  • klare Zuständigkeiten für Informationssicherheit,
  • Schutz vor Angriffen, Ausfällen, Datenverlust und unbefugtem Zugriff,
  • Notfall- und Wiederanlaufplanung für Cyberangriffe und IT-Störungen,
  • Meldeprozess für erhebliche Sicherheitsvorfälle,
  • Registrierung bei der zuständigen Stelle,
  • regelmäßige Schulungen und Sensibilisierung von Mitarbeitenden,
  • Einbindung und Schulung der Geschäftsleitung,
  • Prüfung von Dienstleistern, Lieferanten und relevanten Lieferketten,
  • Dokumentation der getroffenen Maßnahmen,
  • regelmäßige Überprüfung und Verbesserung des Sicherheitsniveaus.

Ein Informationssicherheits-Managementsystem, kurz ISMS, kann dabei helfen. Gemeint ist ein geordnetes System aus Regeln, Rollen, Verantwortlichkeiten, Kontrollen und Nachweisen. Es zeigt, wie ein Unternehmen Informationssicherheit dauerhaft steuert.

Standards wie ISO 27001 oder BSI IT-Grundschutz können als Orientierung dienen. Eine Zertifizierung ist aber nicht automatisch für jedes Unternehmen der erste oder einzige richtige Schritt. Entscheidend ist, dass die Maßnahmen zum Risiko, zur Größe und zur Tätigkeit des Unternehmens passen.

Mehr Details zu typischen Maßnahmen finden Sie auf unserer Seite Informationssicherheit & NIS2-Beratung.

Was bedeutet NIS2 für Dienstleister und Lieferketten?

NIS2 betrifft nicht nur die eigene IT. Betroffene Einrichtungen müssen auch die Sicherheit der Lieferkette berücksichtigen.

Das betrifft insbesondere:

  • IT-Dienstleister,
  • Cloud-Anbieter,
  • Managed Service Provider,
  • Softwareanbieter,
  • Wartungsdienstleister,
  • kritische Zulieferer,
  • konzerninterne IT-Gesellschaften.

In der Praxis sollten Sicherheitsanforderungen vertraglich weitergegeben werden. Dazu gehören etwa Anforderungen an Zugriffsschutz, Meldewege, Subdienstleister, Verfügbarkeit, Schwachstellenmanagement, Auditrechte und Unterstützung bei Sicherheitsvorfällen.

Praxisbeispiel: Ein Unternehmen kann seine eigenen Meldefristen kaum einhalten, wenn ein IT-Dienstleister Sicherheitsvorfälle nicht rechtzeitig meldet. Deshalb sollten Meldepflichten und Eskalationswege in Dienstleisterverträgen konkret geregelt werden.

Welche Behörde ist für NIS2 zuständig?

Das BSI ist die zentrale Aufsichtsbehörde für viele NIS2-Pflichten in Deutschland. In vielen Fällen ist das BSI daher die wichtigste Anlaufstelle für Registrierung, Meldungen, Nachweise und Aufsichtsmaßnahmen.

Der Zusatz „in vielen Fällen“ ist wichtig. In bestimmten Sektoren gelten besondere Zuständigkeiten oder zusätzliche Aufsichtsstrukturen. Beispiele sind:

  • Finanzunternehmen, bei denen DORA und die Finanzaufsicht eine zentrale Rolle spielen,
  • Telekommunikationsunternehmen, bei denen die Bundesnetzagentur relevant sein kann,
  • Energieunternehmen, bei denen energierechtliche Vorgaben und die Bundesnetzagentur zu berücksichtigen sein können.

Unternehmen sollten deshalb nicht nur prüfen, ob sie NIS2-pflichtig sind. Sie sollten auch klären, welche Behörde im konkreten Fall zuständig oder einzubeziehen ist.

Wie muss sich mein Unternehmen registrieren?

Betroffene Unternehmen müssen sich grundsätzlich selbst identifizieren und registrieren. Die Registrierung ist keine freiwillige Formalität, sondern Teil der gesetzlichen Pflichten.

Wichtig ist: Unternehmen müssen ihre Betroffenheit selbst prüfen. Das BSI oder eine andere zuständige Stelle schreibt Unternehmen in der Regel nicht zuerst an. Wer betroffen ist, muss aktiv werden.

Die Registrierung muss spätestens drei Monate erfolgen, nachdem ein Unternehmen erstmals oder erneut NIS2-betroffen ist. Für Unternehmen, die bereits seit Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 betroffen waren, ist die reguläre Registrierungsfrist am 6. März 2026 abgelaufen. Wer die Registrierung noch nicht vorgenommen hat, sollte die Prüfung und Registrierung unverzüglich nachholen und die internen Entscheidungswege dokumentieren.

Bei der Registrierung werden unter anderem Angaben zum Unternehmen, zur Einrichtungsart, zu relevanten Diensten und zu Kontaktpersonen benötigt. Diese Informationen sollten intern vorbereitet und aktuell gehalten werden.

Praxisempfehlung: Legen Sie früh fest, wer für die Registrierung verantwortlich ist. Benennen Sie außerdem eine fachliche und eine organisatorische Kontaktperson. So vermeiden Sie Verzögerungen, wenn das BSI Nachfragen stellt oder ein Sicherheitsvorfall gemeldet werden muss.

Mehr dazu im Folgebeitrag: NIS2-Registrierung beim BSI: So melden Sie sich richtig an.

Welche Meldepflichten gelten bei Sicherheitsvorfällen?

Bei einem erheblichen Sicherheitsvorfall müssen betroffene Unternehmen schnell handeln. NIS2 sieht ein mehrstufiges Meldeverfahren vor.

In der Praxis sind vor allem diese Fristen wichtig:

  • frühe Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung,
  • weitere Meldung innerhalb von 72 Stunden nach Kenntniserlangung mit Bestätigung oder Aktualisierung und erster Bewertung,
  • Zwischenmeldung auf Ersuchen des BSI,
  • Abschlussmeldung spätestens einen Monat nach der 72-Stunden-Meldung,
  • Fortschrittsmeldung, wenn der Sicherheitsvorfall zu diesem Zeitpunkt noch andauert.

Die erste Meldung muss nicht perfekt sein. Wichtig ist, dass das Unternehmen schnell reagiert. Spätere Informationen können ergänzt werden.

Praxisempfehlung: Unternehmen sollten vorab festlegen, wer einen Vorfall bewertet, wer die Geschäftsleitung informiert und wer gegenüber dem BSI oder einer anderen zuständigen Stelle meldet. Ohne klaren Ablauf gehen wertvolle Stunden verloren.

Mehr dazu im Beitrag: NIS2-Meldepflicht: Was muss bei einem Sicherheitsvorfall gemeldet werden?

Wie verhalten sich NIS2-Meldepflichten zur DSGVO?

NIS2 und DSGVO können bei einem Sicherheitsvorfall gleichzeitig relevant sein. Das gilt vor allem, wenn ein Cyberangriff nicht nur IT-Systeme betrifft, sondern auch personenbezogene Daten.

In solchen Fällen können mehrere Pflichten nebeneinander entstehen:

  • Meldung eines erheblichen Sicherheitsvorfalls nach dem BSI-Gesetz,
  • Meldung einer Datenschutzverletzung nach Art. 33 DSGVO,
  • Information betroffener Personen nach Art. 34 DSGVO,
  • interne Dokumentation des Vorfalls,
  • Abstimmung zwischen IT, Datenschutz, Geschäftsleitung und Kommunikation.

Unternehmen sollten ihre Vorfallprozesse deshalb so gestalten, dass NIS2- und DSGVO-Meldewege gemeinsam funktionieren. Wer im Ernstfall zwei Meldeprozesse parallel improvisieren muss, verliert wertvolle Zeit.

Welche Strafen drohen bei Verstößen gegen NIS2?

Bei Verstößen gegen NIS2-Pflichten drohen hohe Bußgelder. Für besonders wichtige Einrichtungen können Sanktionen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes relevant werden. Für wichtige Einrichtungen liegen die Höchstbeträge bei bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Neben Bußgeldern kann das BSI Maßnahmen anordnen, Nachweise verlangen und Kontrollen durchführen. Für Unternehmen ist deshalb nicht nur die technische Umsetzung wichtig, sondern auch die saubere Dokumentation.

Bei schweren Pflichtverstößen kann als besonders scharfes Aufsichtsinstrument auch eine vorübergehende Untersagung der Ausübung von Leitungsaufgaben in Betracht kommen. Das zeigt: NIS2 ist nicht nur ein IT-Thema, sondern auch ein Leitungs- und Governance-Thema.

Besonders relevant ist die Geschäftsleiterverantwortung. Geschäftsführung und Vorstand müssen Cybersicherheitsmaßnahmen nicht nur kennen. Sie müssen diese billigen, überwachen und sich angemessen schulen lassen.

Mehr dazu: NIS2-Bußgelder: Welche Strafen drohen Unternehmen bei Verstößen?

Mehr dazu: NIS2-Haftung: Pflichten für Geschäftsführer und Vorstände.

Wie setzen Unternehmen NIS2 am besten um?

Unternehmen sollten NIS2 in klaren Schritten angehen. Ein unstrukturierter Maßnahmenkatalog führt häufig zu hohen Kosten, aber nicht zu echter Compliance.

Ein praxistaugliches Vorgehen sieht so aus:

  1. Betroffenheit prüfen
    Klären Sie, ob Ihr Unternehmen nach Branche, Größe, Tätigkeit oder Sonderregel unter NIS2 fällt.
  2. Zuständige Behörde und Sonderregime klären
    Prüfen Sie, ob neben dem BSI weitere Behörden oder Spezialregelungen wie DORA oder DSGVO relevant sind.
  3. Registrierung vorbereiten
    Erfassen Sie Einrichtungsart, Kontaktstellen, relevante Dienste und zuständige Stellen.
  4. Lückenanalyse durchführen
    Prüfen Sie, welche Sicherheitsmaßnahmen, Meldewege, Dienstleisterregelungen und Nachweise bereits bestehen.
  5. Verantwortlichkeiten festlegen
    Bestimmen Sie, wer intern für Informationssicherheit, Recht, Compliance, Datenschutz, IT und Geschäftsleitung zuständig ist.
  6. Maßnahmen priorisieren
    Beginnen Sie mit den größten Risiken: Zugriffsschutz, Backups, Notfallplan, Dienstleister, Lieferkette und Meldeprozess.
  7. Geschäftsleitung einbinden
    Entscheidungen, Budgets, Risiken und Schulungen müssen auf Leitungsebene dokumentiert werden.
  8. Meldewege testen
    Simulieren Sie einen Sicherheitsvorfall. Nur so zeigt sich, ob die 24- und 72-Stunden-Fristen realistisch eingehalten werden können.
  9. Dokumentation aufbauen
    Was nicht dokumentiert ist, lässt sich im Streitfall schwer nachweisen. Halten Sie deshalb Zuständigkeiten, Entscheidungen, Maßnahmen, Schulungen und Kontrollen nachvollziehbar fest.

Praktische Umsetzung: NIS2-Checkliste: Diese Maßnahmen müssen Unternehmen jetzt umsetzen.

Was sollte die Geschäftsleitung jetzt entscheiden?

Die Geschäftsleitung sollte NIS2 nicht vollständig an die IT-Abteilung delegieren. Technische Umsetzung kann delegiert werden. Verantwortung, Steuerung und Kontrolle bleiben aber auf Leitungsebene.

Geschäftsführer und Vorstände sollten kurzfristig diese Fragen klären:

  • Ist unser Unternehmen NIS2-betroffen?
  • Welche Gesellschaften der Gruppe sind betroffen?
  • Gilt ein Spezialregime wie DORA?
  • Welche Behörde ist zuständig oder einzubeziehen?
  • Wer verantwortet die Umsetzung intern?
  • Welche Risiken bestehen für Betrieb, Kunden, Daten und Lieferketten?
  • Welche Sicherheitsmaßnahmen fehlen noch?
  • Ist der Meldeprozess vorbereitet und getestet?
  • Werden Dienstleister und Lieferanten ausreichend geprüft?
  • Sind Entscheidungen, Budgets und Restrisiken dokumentiert?
  • Wurde die Geschäftsleitung angemessen geschult?

Der beste Zeitpunkt für diese Entscheidungen ist nicht erst nach einem Angriff oder einer Anfrage des BSI. Wer dann beginnt, arbeitet unter Zeitdruck und mit erhöhtem Haftungs- und Reputationsrisiko.

Was ist jetzt der nächste Schritt?

Der nächste Schritt ist eine belastbare NIS2-Betroffenheitsprüfung. Erst danach lässt sich sinnvoll entscheiden, welche Pflichten konkret gelten und welche Maßnahmen Priorität haben.

Wir unterstützen Sie bei:

  • Prüfung der NIS2-Betroffenheit,
  • rechtlicher Einordnung als wichtige oder besonders wichtige Einrichtung,
  • Prüfung von DORA- und DSGVO-Schnittstellen,
  • Klärung zuständiger Behörden,
  • Gap-Analyse bestehender Sicherheitsmaßnahmen,
  • Aufbau von Melde- und Notfallprozessen,
  • Prüfung von Dienstleister- und Lieferkettenpflichten,
  • Schulung der Geschäftsleitung,
  • Vorbereitung der Registrierung,
  • Dokumentation der Umsetzung,
  • Priorisierung konkreter Sicherheitsmaßnahmen.

NIS2-Beratung für Unternehmen

Machen Sie Ihr Unternehmen jetzt NIS2-konform

Klären Sie, ob Ihr Unternehmen betroffen ist, welche Pflichten gelten und welche Maßnahmen jetzt priorisiert werden sollten.

Kostenlose Erstberatung sichern Unverbindlich · Persönliche Ersteinschätzung

Häufige Fragen zu NIS2

Gilt NIS2 in Deutschland bereits?

Ja. Das deutsche NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025. Unternehmen sollten deshalb nicht mehr von einer bloßen Vorbereitungspflicht ausgehen, sondern ihre konkrete Betroffenheit prüfen.

Betrifft NIS2 nur Kritische Infrastrukturen?

Nein. NIS2 betrifft deutlich mehr Unternehmen als die klassische KRITIS-Regulierung. Auch viele mittelständische Unternehmen aus relevanten Sektoren können betroffen sein.

Welche Schwellenwerte sind für die NIS2-Betroffenheit wichtig?

Für viele wichtige Einrichtungen sind mindestens 50 Mitarbeitende oder bestimmte finanzielle Schwellen relevant. Das BSI-Gesetz nennt für sonstige wichtige Einrichtungen einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro. Bei der Berechnung sind die Regeln der europäischen KMU-Empfehlung zu beachten, insbesondere bei Unternehmensgruppen.

Müssen Finanzunternehmen NIS2 beachten?

Finanzunternehmen müssen prüfen, ob DORA als spezielleres Regelwerk vorrangig ist. DORA ersetzt in vielen Fällen NIS2-Vorgaben zu IKT-Risikomanagement und Vorfallmeldungen. Trotzdem können NIS2-Schnittstellen relevant bleiben, etwa bei Gruppengesellschaften oder IT-Dienstleistern.

Wer ist für NIS2 zuständig?

In Deutschland ist das BSI die zentrale Aufsichtsbehörde für viele NIS2-Pflichten. Je nach Sektor können aber weitere Behörden oder Spezialregime relevant sein, etwa im Finanz-, Telekommunikations- oder Energiesektor.

Muss jedes betroffene Unternehmen ein ISMS einführen?

Betroffene Unternehmen müssen Informationssicherheit systematisch steuern. Ein ISMS ist dafür häufig der richtige Weg. Wie umfangreich es sein muss, hängt von Größe, Risiko und Tätigkeit des Unternehmens ab.

Muss sich jedes betroffene Unternehmen registrieren?

Ja, betroffene wichtige und besonders wichtige Einrichtungen müssen sich registrieren. Die Registrierung muss spätestens drei Monate erfolgen, nachdem das Unternehmen erstmals oder erneut NIS2-betroffen ist.

Was passiert, wenn die Registrierungsfrist verpasst wurde?

Unternehmen sollten die Registrierung unverzüglich nachholen und dokumentieren, wann und wie die Betroffenheit intern geprüft wurde. Eine verspätete Registrierung ist in der Regel besser als weiteres Abwarten.

Welche Meldefristen gelten bei Sicherheitsvorfällen?

Bei erheblichen Sicherheitsvorfällen sind insbesondere diese Fristen wichtig: frühe Erstmeldung innerhalb von 24 Stunden, weitere Meldung innerhalb von 72 Stunden und Abschlussmeldung spätestens einen Monat nach der 72-Stunden-Meldung. Bei andauernden Vorfällen kann zunächst eine Fortschrittsmeldung erforderlich sein.

Welche Rolle spielen Dienstleister und Lieferketten?

Betroffene Unternehmen müssen auch Risiken aus der Lieferkette berücksichtigen. Sicherheitsanforderungen sollten deshalb vertraglich an wichtige Dienstleister weitergegeben werden, insbesondere bei IT-, Cloud- und Managed-Service-Verträgen.

Was passiert, wenn ein Vorfall auch personenbezogene Daten betrifft?

Dann können NIS2- beziehungsweise BSIG-Meldepflichten und DSGVO-Meldepflichten parallel ausgelöst werden. Unternehmen sollten Vorfallprozesse so gestalten, dass beide Meldewege koordiniert werden.

Wer haftet bei Verstößen gegen NIS2?

Zunächst haftet das Unternehmen. Zusätzlich können Geschäftsführung und Vorstand persönlich in den Fokus geraten, wenn Pflichten nicht angemessen organisiert, überwacht oder dokumentiert wurden.

Was sollten Unternehmen zuerst tun?

Der erste Schritt ist eine Betroffenheitsprüfung. Danach sollten Unternehmen eine Lückenanalyse durchführen, Verantwortlichkeiten festlegen und die wichtigsten Maßnahmen priorisieren.

Hinweis

Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine rechtliche oder technische Einzelfallprüfung. Ob und in welchem Umfang Ihr Unternehmen von NIS2 betroffen ist, hängt von Branche, Größe, Tätigkeit, Konzernstruktur und möglichen Sonderregelungen ab.