NIS-2: Pflicht oder Chance, in jedem Fall Handlungsbedarf
NIS-2 bringt verbindliche Anforderungen an die Informationssicherheit, Meldepflichten und persönliche Verantwortung der Geschäftsleitung. Wer betroffen ist, muss handeln. Wir helfen dabei, die richtigen Maßnahmen strukturiert umzusetzen.
Warum das wichtig ist
NIS-2 erweitert den Kreis der betroffenen Unternehmen erheblich. Nicht nur kritische Infrastrukturen, sondern auch viele mittelständische Unternehmen in bestimmten Sektoren fallen unter die neuen Anforderungen. Wer betroffen ist, muss Sicherheitsmaßnahmen nachweisbar umsetzen, Vorfälle melden und die Geschäftsleitung trägt persönliche Verantwortung. Die Konsequenzen bei Verstößen sind empfindlich.
Was wir tun
Unser Fokus liegt auf dem Aufbau eines Informationssicherheitsmanagementsystems, das die Anforderungen der NIS-2-Richtlinie erfüllt. Wir analysieren zunächst den aktuellen Stand Ihrer Sicherheitsmaßnahmen und gleichen diesen mit den NIS-2-Anforderungen ab. Was ist bereits vorhanden? Wo bestehen Lücken? Was muss prioritär angegangen werden?
Auf dieser Grundlage begleiten wir Sie durch die Umsetzung:
- Entwicklung eines Maßnahmenkatalogs mit klaren Prioritäten
- Aufbau oder Weiterentwicklung Ihres ISMS gemäß NIS-2-Anforderungen
- Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen
- Aufbau von Prozessen für Meldepflichten und Incident Management
- Schulung der Geschäftsleitung und relevanter Mitarbeitender
- Dokumentation und Nachweisführung gegenüber Behörden
Für die laufende Steuerung Ihres ISMS steht Ihnen unser Management-Tool SIKKER ASSISTENT zur Verfügung, mit dem Sie Maßnahmen, Meldeprozesse und die gesamte Nachweisdokumentation zentral verwalten können. Auf Wunsch übernehmen wir auch die Rolle des externen Informationssicherheitsbeauftragten und begleiten Sie in der Regelbetriebsbetreuung.
Das Ergebnis
Ihre Sicherheitsmaßnahmen erfüllen nachweisbar und dokumentiert die Anforderungen der NIS-2-Richtlinie. Die relevanten Prozesse sind etabliert, Meldepflichten sind geregelt und Ihre Mitarbeitenden wissen, was im Fall eines Vorfalls zu tun ist. Die Geschäftsleitung ist nicht nur informiert, sondern auch in der Lage, ihrer Verantwortung aktiv nachzukommen. Gegenüber Behörden und Geschäftspartnern können Sie zeigen, dass Informationssicherheit bei Ihnen kein Papiertiger ist, sondern gelebte Praxis.
Sprechen Sie uns an. Gemeinsam finden wir die passende Lösung.
Häufig gestellte Fragen
Bin ich als Unternehmen von NIS-2 betroffen?
Sie sind betroffen, wenn Ihr Unternehmen mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von mehr als 10 Mio. EUR erzielt und in einem der rund 18 NIS-2-Sektoren tätig ist. Dazu zählen unter anderem Energie, Gesundheitswesen, Verkehr, Bankwesen, digitale Infrastruktur und Lebensmittelproduktion. Kleinere Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie betreiben kritische Infrastruktur.
Wir sind Zulieferer eines NIS-2-pflichtigen Unternehmens. Sind wir indirekt mit betroffen?
Ja, zumindest vertraglich. NIS-2 verpflichtet betroffene Unternehmen ausdrücklich zur Absicherung ihrer Lieferkette (§30 Abs. 2 Nr. 4 BSIG). Das bedeutet: Ihre Kunden werden Sicherheitsnachweise, Auditrechte und vertragliche Zusicherungen von Ihnen einfordern, auch wenn Sie selbst nicht direkt unter NIS-2 fallen. Wer hier nicht liefern kann, verliert Aufträge.
Reicht unsere bestehende ISO-27001-Zertifizierung für NIS-2 aus?
Ein ISMS nach ISO 27001 deckt den Großteil der zehn §30-BSIG-Maßnahmen bereits ab. Spezifisch für NIS-2 bleiben: die Registrierung beim BSI, die 24-Stunden-Meldepflicht bei Sicherheitsvorfällen und ergänzende Nachweise zur Lieferkettensicherheit. Eine gezielte Gap-Analyse zeigt, welche Lücken konkret zu schließen sind. Meist ist der Aufwand überschaubar.
Was passiert, wenn wir einen Sicherheitsvorfall nicht rechtzeitig ans BSI melden?
Die Meldefristen sind gesetzlich fixiert: Erstmeldung binnen 24 Stunden, qualifizierte Folgemeldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Verstöße können mit Bußgeldern geahndet werden und ziehen verstärkte Aufsicht durch das BSI nach sich. Eingespielte Meldeprozesse, klare Verantwortlichkeiten und vorbereitete Templates sind daher Pflicht, nicht Kür.
Wann muss die NIS-2-Umsetzung abgeschlossen sein?
Die EU-Frist war der 17. Oktober 2024. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist in Kraft, das BSI ist als Aufsichtsbehörde aktiv. Es gibt keine Übergangsfrist mehr. Unternehmen, die jetzt noch nicht mit der Umsetzung begonnen haben, sollten das zeitnah strukturiert angehen.
Welche Strafen drohen bei Nichteinhaltung der NIS-2-Anforderungen?
Wesentliche Einrichtungen riskieren Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt der Rahmen bei 7 Mio. EUR oder 1,4 %. Zusätzlich haftet die Geschäftsleitung persönlich für nachgewiesene Pflichtverletzungen und kann bei schwerwiegenden Verstößen vorübergehend von Leitungsfunktionen ausgeschlossen werden.
Verwandte Leistungen
NIS-2 steht nicht isoliert. Diese Leistungen ergänzen die NIS-2-Umsetzung sinnvoll.
ISMS & ISO 27001
Ein ISMS nach ISO 27001 ist der effizienteste Weg zur NIS-2-Konformität und stärkt gleichzeitig Ihr gesamtes Sicherheitsniveau.
Mehr erfahrenBusiness Continuity Management
BCM ist eine Kernpflicht nach §30 BSIG. Wir entwickeln Notfallpläne und Wiederanlaufstrategien, die NIS-2-konform dokumentiert sind.
Mehr erfahrenKRITIS & BSIG
Betreiber kritischer Infrastruktur unterliegen zusätzlichen Pflichten nach dem BSIG. Wir prüfen Überschneidungen und Synergien mit NIS-2.
Mehr erfahrenIhr Partner für NIS-2-Beratung
Die SIKKER GmbH mit Sitz in Leipzig begleitet Unternehmen bundesweit bei der NIS-2-Umsetzung. Unser Schwerpunkt liegt auf ISMS-Projekten nach ISO 27001, Business Continuity Management und Compliance nach BSIG. Dadurch setzen wir NIS-2 nicht isoliert um, sondern integrieren die Anforderungen in ein tragfähiges Sicherheitssystem, auf dem Sie aufbauen können.
Von der Betroffenheitsprüfung über die Gap-Analyse bis zur laufenden Betreuung arbeiten Sie mit einem festen Ansprechpartner aus unserem Team. Mehr über unser Team erfahren.
SIKKER GmbH
Informationssicherheit, Datenschutz & Compliance
NIS-2-Betroffenheit prüfen lassen
Wir analysieren, ob und in welchem Umfang die NIS-2-Richtlinie für Ihr Unternehmen gilt, und entwickeln einen praxistauglichen Umsetzungsfahrplan.
Jetzt Erstberatung anfragen