NIS-2
Steht Ihr Unternehmen vor den neuen Anforderungen von NIS-2? Finden Sie heraus, wie Sie die Cybersicherheit Ihres Unternehmens effektiv stärken und sich auf die kommenden Änderungen vorbereiten können. Lassen Sie sich von uns auf dem Weg zur Konformität begleiten.
Wir unterstützen Sie bei der Vorbereitung auf NIS-2
Was ist NIS-2?
NIS‑2 ist eine EU‑Richtlinie (EU 2022/2555), verabschiedet am 14. Dezember 2022. Ziel ist es, in der EU ein einheitlich hohes Cybersicherheitsniveau zu etablieren. Ursprünglich sollte die Richtlinie bis 17. Oktober 2024 in nationales Recht umgesetzt werden und ab dem 18. Oktober 2024 gelten.
Für wen gilt NIS-2?
NIS-2 gilt für Unternehmen und Organisationen aus diesen Sektoren:
- Energie
- Verkehr
- Bankwesen / Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser / Abwasser
- digitale Infrastruktur / digitale Dienste
- öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- verarbeitendes Gewerbe (z. B. Maschinenbau, Fahrzeugbau)
- Forschung
Ausgenommen sind kleine Unternehmen, also mit weniger als 50 Mitarbeitenden und maximal 10 Mio € Jahresumsatz bzw. Bilanz. Ausnahmen bestehen jedoch, z. B. wenn ein KMU als Dienstleister für eine betroffene Einrichtung agiert.
Was bedeutet Konformität mit NIS2?
Betroffene Einrichtungen müssen u. a.:
- Informationssicherheitsvorfälle melden (innerhalb 24 Stunden nach Erstmeldung, 72 Stunden Konkretisierung)
- Risikoanalysen zu Informationssystemen durchführen
- Incident-Management-Pläne entwickeln
- Notfallmanagement zur Sicherstellung der Geschäftskontinuität einrichten
- Sicherheitsmaßnahmen in der Lieferkette etablieren
- Mitarbeitende in Cybersicherheit schulen
Verstöße können mit Bußgeldern bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes geahndet werden. Außerdem haften Geschäftsleitungen persönlich.
Stand der Umsetzung in Deutschland
Deutschland hat die Frist verpasst. Der Entwurf des NIS‑2‑UmsG lag seit Juli 2024 vor, aber nach der ersten Lesung im Oktober 2024 verzögerte sich das Verfahren stark.
Schlüsselereignisse:
- 13. Nov 2025: Bundestag verabschiedet NIS‑2‑Umsetzungsgesetz (NIS2UmsuCG)
- 21. Nov 2025: Bundesrat stimmt dem Gesetz zu
- Dez 2025 – Jan 2026: Veröffentlichung im Bundesgesetzblatt erwartet, damit tritt das Gesetz in Kraft
Mit Annahme durch Bundestag und Bundesrat ist das neue BSIG‑Gesetz in Kraft getreten – das BSI wird künftig etwa 29.000 bis 30.000 Einrichtungen beaufsichtigen. Ab Veröffentlichung im BGBl starten die sofortigen Fristen (z. B. Registrierungspflicht bei BSI innerhalb von drei Monaten, Meldepflichten). Es gibt keine generellen Übergangsfristen.
Empfehlung für Unternehmen
- Anwendbarkeit prüfen: Sektorzugehörigkeit + Schwellenwerte (≥50 Mitarbeitende oder >10 Mio € Umsatz).
- Gap-Analyse durchführen: Gegen NIS‑2-Anforderungen (z. B. techn. & org. Sicherheit, Vorfall-Reporting, Incident Response etc.).
- Registrierung beim BSI: Innerhalb 3 Monaten nach Inkrafttreten.
- Meldeprozesse implementieren: Erste Meldung innerhalb 24 Std., detaillierte Meldung innerhalb 72 Std.
- Governance sicherstellen: Geschäftsleitung haftet, Schulung und Awareness etablieren.
- Lieferketten & Notfallmanagement: Integrieren und testen.
BSI und das Bundesministerium für Wirtschaft und Energie bieten – z. B. den „FitNIS2‑Navigator“ für KMU – Unterstützung, Self‑Assessments und konkrete Aktionspläne an.
Unsere Unterstützung
Dank umfassender Erfahrung im Aufbau und Betrieb von ISMS (z. B. ISO/IEC 27001) bieten wir Ihnen:
- Einsatz individueller Gap‑Analysen
- Entwicklung passgenauer Roadmaps zur NIS‑2‑Konformität
- Begleitung bei Risiko‑ & Lieferketten‑Management
- Unterstützung beim Aufbau von Reporting‑ und Incident‑Management‑Prozessen
- Schulungen für Mitarbeitende sowie Geschäftsleitung
- Hilfestellung bei Registrierung, Dokumentation und Auditorien
Beginnen Sie frühzeitig mit der Planung – spätestens mit Beginn der ersten Gesetzespublikation. Kontaktieren Sie uns gern per E‑Mail oder Telefon (siehe Impressum – AURISCON GmbH). Wir melden uns umgehend bei Ihnen zurück.