NIS-2

Jetzt verbindlich - sind Sie vorbereitet?

Die NIS-2-Richtlinie

Die NIS-2-Richtlinie (Network and Information Security 2, NIS-2) verpflichtet alle EU-Mitgliedsstaaten, ein einheitlich hohes Niveau an Cybersicherheit für kritische und wichtige Einrichtungen sicherzustellen. Mit dieser Richtlinie rückt die EU neben Kritischen Infrastrukturen weitere "wichtige und besonders wichtige Einrichtungen" in den Fokus ihrer Cyber-Security-Offensive.

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetz (NIS2UmsuCG) und des novellierten BSIG ist die Vorbereitungsphase vorbei. Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen die Anforderungen ab sofort vollständig erfüllen. Wer noch nicht vorbereitet ist, steht unter Druck: Meldeprozesse, Risikomanagement und technische Sicherheitsmaßnahmen sind jetzt zwingend erforderlich.

Wir lassen Sie dabei nicht allein. Wir unterstützen Sie bei der abschließenden Implementierung der Anforderungen und bei der Überprüfung bereits umgesetzter Maßnahmen. 

 

Seit wann gilt das NIS-2-Umsetzungsgesetz?

Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie ist am 6. Dezember 2025 in Kraft getreten. Der erste Schritt für betroffene Unternehmen ist die fristgerechte Registrierung als NIS‑2‑Einrichtung beim BSI über das neue BSI‑Portal bis spätestens zum 6. März 2026. Anschließend gelten die erweiterten Anforderungen an das Risikomanagement und die Meldepflichten für erhebliche Sicherheitsvorfälle, die der Aufsicht des BSI unterliegen.

 

Welche Anforderungen müssen Unternehmen erfüllen?

Betroffene Unternehmen sind durch NIS-2 verpflichtet, ein nachvollziehbares Informationssicherheitsmanagementsystem (ISMS) zu betreiben. Sie müssen darauf basierend geeignete technische, betriebliche und organisatorische Maßnahmen ergreifen, um Cybersicherheitsrisiken zu kontrollieren, Sicherheitsvorfälle zu verhindern und potenzielle Auswirkungen zu minimieren. Die Anforderungen von NIS-2 beziehen sich dabei auf das gesamte Unternehmen, nicht nur auf als kritisch eingestufte Anlagen oder Dienste.

 

Welche Unternehmen sind betroffen?

Die NIS-2-Richtlinie gilt für Unternehmen ab 50 Mitarbeiter*innen oder einem Jahresumsatz und einer Jahresbilanzsumme von mindestens 10 Mio. Euro in 13 Sektoren, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind.

NIS-2: Sind Sie betroffen?

Machen Sie den Check!

Zum Check

Was müssen Unternehmen bei der Meldung von Sicherheitsvorfällen beachten?

Unternehmen, die unter NIS‑2 fallen, melden erhebliche Sicherheitsvorfälle an das BSI über das zentrale BSI‑Portal. Die früheren KRITIS‑Meldewege (MIP/MIP2) gelten für NIS‑2‑Unternehmen nicht mehr. Diese Meldewege werden nur übergangsweise noch von KRITIS‑Betreibern und Bundesbehörden genutzt bzw. greifen ausnahmsweise, wenn vor der Portal‑Registrierung eine Meldung notwendig ist. Das gesetzliche Melderegime ist dreistufig: Die frühe Erstmeldung innerhalb 24 Stunden, die Folgemeldung innerhalb 72 Stunden und die Abschlussmeldung spätestens ein Monat nach Meldung.

Mehr Informationen zu NIS-2

NIS-2-Umsetzungsgesetz tritt offiziell in Kraft

Neuer NIS-2-Gesetzesentwurf auf dem Prüfstand

NIS-2 und DORA: Warum zwei EU-Rechtsvorschriften für Cybersicherheit

Die NIS-2-Richtlinie und ihre Auswirkungen auf die Cyberresilienz kritischer Infrastrukturen

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
S/MIME
Kontaktformular

 

Felix Schmidt
Vorstand usd Security Consulting