EU-Richtlinie 2022/2555
NIS2 rechtssicher umsetzen
Die NIS2-Richtlinie verpflichtet deutlich mehr Unternehmen zu strukturiertem Cyberrisikomanagement, zur Meldung von Sicherheitsvorfällen und zur persönlichen Verantwortung der Geschäftsleitung. In Deutschland wird sie durch das NIS2UmsuCG in nationales Recht überführt.
Betroffenheit
Sind Sie betroffen?
NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Einordnung hängt von Sektor, Unternehmensgröße und weiteren Kriterien ab. Der Self-Check führt Sie in wenigen Fragen zu einer belastbaren Ersteinordnung.
Schwelle
≥ 50 MA oder 10 Mio €
Mittelstandskriterium nach EU-Empfehlung 2003/361/EG; einzelne Einrichtungstypen unterliegen NIS2 unabhängig von der Größe.
Sektoren
18 Sektoren
Energie, Verkehr, Bankwesen, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IKT-Dienste, Post- und Kurierdienste, Chemie, Lebensmittel, verarbeitendes Gewerbe und weitere.
Sanktionen
bis 10 Mio € / 2 %
Wesentliche Einrichtungen: bis 10 Mio € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis 7 Mio € oder 1,4 %.
Pflichten
10 Mindestmaßnahmen nach Art. 21 NIS2
- Risikoanalyse und Konzepte für Informationssicherheit
- Bewältigung von Sicherheitsvorfällen (Incident Handling)
- Business Continuity, Backup und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung
- Konzepte zur Wirksamkeitsbewertung
- Grundlegende Cyberhygiene und Schulung
- Kryptografie und Verschlüsselung
- Personal-, Zugriffs- und Asset-Management
- MFA, gesicherte Kommunikation und Notfallkommunikation
Meldefristen bei Sicherheitsvorfällen
- 24 Stunden: Frühwarnung an das BSI
- 72 Stunden: Vorfallmeldung mit erster Bewertung
- 1 Monat: Abschlussbericht mit Ursachenanalyse
Geschäftsleitungshaftung
Umsetzung
Wie MGMSYS NIS2 abbildet
Jede NIS2-Pflicht hat in MGMSYS einen klaren Ort. Über das Cross-Reporting zählen gepflegte Maßnahmen auch für ISO 27001, TISAX und DSGVO.
| Pflicht | Abbildung in MGMSYS |
|---|---|
| Risikoanalyse und ISMS-Grundlagen | ISMS-Modul mit Risikoregister, Bewertungsskala, Maßnahmenzuordnung |
| Vorfallbewältigung | NIS2-Modul + Vorfallmodul: Ticket, Meldefristen, BSI-Meldetext |
| Business Continuity und Backup | BCM-Funktionen im ISMS, Notfallpläne, Übungsnachweise |
| Lieferkettensicherheit | Vendor Risk: Dienstleisterregister, Risikoprofil, Re-Assessment-Intervalle |
| Wirksamkeitsprüfung | Audit Management: interne Audits, KPI-Cockpit, Managementbewertung |
| Cyberhygiene und Schulung | Schulungen: Pflichtkurse, Nachweis, Wiederholungslogik |
| Meldeverfahren 24 / 72 h / 1 M | NIS2-Modul: geführter Meldeprozess mit Fristenwächter |
| Registrierung beim BSI | Registrierungsdaten zentral, mit Aktualisierungsnachweis |
| Geschäftsleitungsschulung | Eigenes Leitungs-Curriculum mit Teilnahmenachweis |
| Cross-Reporting | Eine Maßnahme, viele Frameworks: ISO 27001, TISAX, DSGVO |
Umsetzung in fünf Schritten
- 1
Betroffenheit feststellen
Sektor, Größe, Sonderfälle – Einordnung als wesentliche oder wichtige Einrichtung dokumentieren.
- 2
Gap-Analyse
Status quo gegen Art. 21 NIS2; MGMSYS liefert Referenzfragen und Maßnahmenvorlagen.
- 3
Maßnahmenplan und Verantwortlichkeiten
Pro Pflicht eine verantwortliche Rolle, ein Zieltermin, ein Wirksamkeitsnachweis.
- 4
Prozesse einrichten
Meldeprozess, Lieferantenbewertung, Schulungsplan, Notfallübung, Managementbewertung.
- 5
Nachweise führen und Meldung vorbereiten
Revisionssichere Dokumentation, Testat-fähiger Stand, fristgerechte Meldebereitschaft.
Häufige Fragen
- Gilt NIS2 auch für KMU?
Ja, sobald ein mittleres Unternehmen erreicht ist – mindestens 50 Beschäftigte oder 10 Mio. Euro Umsatz bzw. Bilanzsumme – und der Sektor in Anhang I oder II fällt. Für bestimmte Einrichtungstypen gilt NIS2 unabhängig von der Größe.
- Welche Fristen gelten bei einem Sicherheitsvorfall?
Frühwarnung innerhalb von 24 Stunden, Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Der genaue Inhalt ist in Art. 23 NIS2 definiert.
- Haftet die Geschäftsleitung persönlich?
Ja. Leitungsorgane sind verpflichtet, die Umsetzung zu billigen und zu überwachen. Sie müssen regelmäßig geschult werden und tragen die Verantwortung auch dann, wenn operative Tätigkeiten delegiert sind.
- Ist eine ISO-27001-Zertifizierung ein ausreichender Nachweis?
Sie ist ein sehr guter Ausgangspunkt, deckt aber NIS2 nicht vollständig ab. Ergänzend erforderlich sind unter anderem Meldeprozesse gegenüber dem BSI, spezifische Anforderungen an die Geschäftsleitungsschulung sowie Lieferkettenpflichten.
- Wie lange dauert die Umsetzung?
Bei systematischem Vorgehen liegt die Projektdauer im Mittelstand erfahrungsgemäß bei drei bis neun Monaten – abhängig von Vorarbeiten, Sektor und Eigenressourcen.
NIS2 ist nicht nur Compliance – es ist Geschäftsleitungsthema
MGMSYS liefert die Struktur, damit die geforderten Nachweise nicht jedes Jahr neu zusammengetragen werden müssen, sondern als gepflegter, jederzeit vorzeigbarer Stand existieren.