NIS-2-Richtlinie

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die EU-Richtlinie und das deutsche Umsetzungsgesetz im Überblick

Was ist NIS-2?

Mit der NIS-2-Richtlinie gelten für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. Viele sind zudem als Lieferanten möglicherweise indirekt betroffen. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS2 Directive drohen hohe Geldstrafen.

Was bedeutet NIS?

NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.

Wann tritt NIS-2 in Kraft?

Die NIS-2-Richtlinie (EU) 2022/2555 ist seit 2023 auf EU-Ebene in Kraft.
Als Richtlinie nicht direkt anwendbar, sondern erst in nationales Recht umzusetzen.
Die EU hatte den Stichtag 17. Oktober 2024 vorgegeben, den Deutschland nicht eingehalten hat (Vertragsverletzungsverfahren).
Das deutsche NIS-2-Umsetzungsgesetz samt Änderungsantrag wurde am 13. November 2025 vom Bundestag beschlossen.
Voraussichtlich in wenigen Wochen tritt es in Kraft.

Es gibt keine Übergangsfrist. Die Pflichten und Sanktionen gelten sofort ab Inkrafttreten des deutschen Gesetzes. Unternehmen müssen die Nachweise zur Umsetzung zwar normalerweise erst nach 3 Jahren einreichen. Aber wer auffällt oder besonders relevant ist, muss schon vorher damit rechnen, dass unabhängige Stellen die Umsetzung prüfen. Für Unternehmen wird es also höchste Zeit.
Dr. Matthias Zuchowski
Regulatory Compliance Manager, G DATA CyberDefense AG

Wie hängen NIS-2 und BSI-Gesetz zusammen?

Das deutsche NIS-2-Umsetzungsgesetz enthält selbst keine neuen inhaltlichen Bestimmungen, sondern ändert bestehende Gesetze ab. In Artikel 1 fasst es das BSI-Gesetz (BSIG) neu. Die Referenzen auf dieser Webseite beziehen sich daher auf das „BSI-Gesetz (neu)“. Die weiteren Artikel ändern andere Gesetze. Beispiel: Artikel 17 ändert das Energiewirtschaftsgesetz (EnWG), das Maßnahmen für die Energiewirtschaft enthält.

NIS-2: Wer ist betroffen?

Die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Ihnen eine erste Orientierung, ob Ihr Unternehmen von der EU-weiten NIS-2-Richtlinie betroffen ist.

Die NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben. „Vernachlässigbare Geschäftstätigkeiten“ können dabei unberücksichtigt bleiben.

Öffentliche und private Einrichtungen in 18 Sektoren mit mindestens 50 Beschäftigten oder mindestens 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme

Einige Sonderfälle unabhängig von ihrer Größe

Übersicht der 18 betroffenen Sektoren

Das vom NIS-2-Gesetz geänderte BSI-Gesetz (neu) betrifft Einrichtungen aus 18 Sektoren, die in Anlage 1 und 2 stehen. Im Folgenden finden Sie eine grobe Übersicht (Beispiel: „Elektrizitätsunternehmen“). Diese Einrichtungarten werden aber im Gesetz noch genauer definiert (Beispiel: „Stromlieferanten nach § 3 Nummer 31c EnWG“). Wenn Sie in der folgenden Übersicht enthalten sind, schauen Sie danach in Anlage 1 und 2 nach, ob Sie unter die genauer definierte „Einrichtungsart“ fallen.

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

Energie

Teilsektor	Art der Einrichtung
Elektrizität	Elektrizitätsunternehmen Verteilernetzbetreiber Übertragungsnetzbetreiber Erzeuger nominierte Strommarktbetreiber Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten Betreiber von Ladepunkten für Elektromobilität
Fernwärme und -kälte	Betreiber von Fernwärme oder Fernkälte
Erdöl	Betreiber von Erdöl-Fernleitungen Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen zentrale Bevorratungsstellen
Erdgas	Versorgungsunternehmen Verteilernetzbetreiber Fernleitungsnetzbetreiber Betreiber einer Speicheranlage Betreiber einer LNG-Anlage Erdgasunternehmen Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas
Wasserstoff	Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

Verkehr

Bankwesen
Teilsektor Art der Einrichtung
–
Kreditinstitute
Finanzmarktinfrastrukturen
Teilsektor Art der Einrichtung
–
Betreiber von Handelsplätzen
zentrale Gegenparteien

Teilsektor	Art der Einrichtung
Luftverkehr	Luftfahrtunternehmen Flughafenleitungsorgane Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
Schienenverkehr	Infrastrukturbetreiber Eisenbahnunternehmen
Schifffahrt	Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben Betreiber von Schiffsverkehrsdiensten
Straßenverkehr	Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind (außer öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist) Betreiber intelligenter Verkehrssysteme

Teilsektor	Art der Einrichtung
–	Kreditinstitute

Teilsektor	Art der Einrichtung
–	Betreiber von Handelsplätzen zentrale Gegenparteien

Gesundheitswesen

Teilsektor	Art der Einrichtung
–	Gesundheitsdienstleister EU-Referenzlaboratorien Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben Einrichtungen, die bestimmte pharmazeutische Erzeugnisse herstellen Einrichtungen, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen

Trinkwasser

Teilsektor	Art der Einrichtung
–	Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ außer Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

Abwasser

Teilsektor	Art der Einrichtung
–	Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln außer Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

Digitale Infrastruktur

Verwaltung von IKT-Diensten (B2B)
Teilsektor Art der Einrichtung
–
Anbieter verwalteter Dienste
Anbieter verwalteter Sicherheitsdienste

Teilsektor	Art der Einrichtung
–	Betreiber von Internet-Knoten DNS-Dienstanbieter, ausgenommen Betreiber von Root-Namenservern TLD-Namenregister Anbieter von Cloud-Computing-Diensten Anbieter von Rechenzentrumsdiensten Betreiber von Inhaltszustellnetzen Vertrauensdiensteanbieter Anbieter öffentlicher elektronischer Kommunikationsnetze Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

Teilsektor	Art der Einrichtung
–	Anbieter verwalteter Dienste Anbieter verwalteter Sicherheitsdienste

Öffentliche Verwaltung

Teilsektor	Art der Einrichtung
–	Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht

Weltraum

Teilsektor	Art der Einrichtung
–	Betreiber von Bodeninfrastrukturen, die sich im Eigentum von EU-Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen außer Anbieter öffentlicher elektronischer Kommunikationsnetze

Sonstige kritische Sektoren (Anhang II der NIS-2):

Post- und Kurierdienste
Teilsektor Art der Einrichtung
–
Anbieter von Postdiensten
einschließlich Anbieter von Kurierdiensten
Abfallbewirtschaftung
Teilsektor Art der Einrichtung
–
Unternehmen der Abfallbewirtschaftung
ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
Produktion, Herstellung und Handel mit chemischen Stoffen
Teilsektor Art der Einrichtung
–
Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln
Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Teilsektor Art der Einrichtung
–
Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Teilsektor	Art der Einrichtung
–	Anbieter von Postdiensten einschließlich Anbieter von Kurierdiensten

Teilsektor	Art der Einrichtung
–	Unternehmen der Abfallbewirtschaftung ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

Teilsektor	Art der Einrichtung
–	Unternehmen, die chemische Stoffe herstellen und mit Stoffen oder Gemischen handeln Unternehmen, die Erzeugnisse aus diesen Stoffen oder Gemischen produzieren

Teilsektor	Art der Einrichtung
–	Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

Verarbeitendes Gewerbe/Herstellung von Waren

Anbieter digitaler Dienste
Teilsektor Art der Einrichtung
–
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für Dienste sozialer Netzwerke
Forschung
Teilsektor Art der Einrichtung
–
Forschungseinrichtungen

Teilsektor	Art der Einrichtung
Herstellung von Medizinprodukten und In-vitro-Diagnostika	Einrichtungen, die Medizinprodukte herstellen Einrichtungen, die In-vitro-Diagnostika herstellen außer Einrichtungen aus Anhang I, die kritische Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit herstellen
Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von elektrischen Ausrüstungen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Maschinenbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
Herstellung von Kraftwagen und Kraftwagenteilen	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind
sonstiger Fahrzeugbau	Unternehmen, die in diesem Wirtschaftszweig gemäß NACE Rev. 2 tätig sind

Teilsektor	Art der Einrichtung
–	Anbieter von Online-Marktplätzen Anbieter von Online-Suchmaschinen Anbieter von Plattformen für Dienste sozialer Netzwerke

Teilsektor	Art der Einrichtung
–	Forschungseinrichtungen

Was müssen von NIS-2 betroffene Unternehmen und Organisationen tun?

Maßnahmen zum Risikomanagement für Cybersicherheit

§ 30 BSI-Gesetz (neu)

Laut NIS2 müssen Sie mindestens die folgenden Cybersecurity-Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

Policies: Konzepte für Risikoanalyse und Sicherheit für Informationssysteme
Vorfallsbewältigung: Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle
Business Continuity: Backup-Management und Wiederherstellung, Krisenmanagement
Supply Chain: Sicherheit in der Lieferkette
Einkauf: Sicherheit bei Erwerb, Entwicklung und Wartung der IT-Systeme, einschließlich Management und Offenlegung von Schwachstellen
Wirksamkeit: Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
Cyberhygiene, Schulung: Cyberhygiene (z.B. Updates) und Schulungen in Cyber Security
Kryptografie: Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Personal, Zugriffe, Assets: Personalsicherheit, Zugriffskontrolle und Asset Management
Authentifizierung: Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
Kommunikation: Sichere Sprach-, Video- und Text-Kommunikation, ggf. auch im Notfall

Verantwortung der Geschäftsführung

§ 38 BSI-Gesetz (neu)

muss die Maßnahmen umsetzen und die Umsetzung überwachen
haftet für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts
muss an Schulungen teilnehmen (vorläufige Handreichung des BSI für die Empfehlung zur Schulungspflicht für Geschäftsleitungen)

Meldepflicht von Sicherheitsvorfällen

§ 32 BSI-Gesetz (neu)

Die EU NIS2 Directive schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Die Richtlinie sieht diese Fristen vor, um den Vorfall der Behörde zu melden:

Frühwarnung innerhalb von 24 h ab Kenntnis:
Verdacht, ob der Vorfall auf rechtswidriger oder böswilliger Handlung beruht und ob grenzüberschreitend.
Ausführlicher Bericht innerhalb von 72 h ab Kenntnis:
Erste Bewertung des Sicherheitsvorfalls, inklusive Schweregrad, Auswirkungen und ggf. die Kompromittierungsindikatoren.
Fortschritts-/Abschlussbericht ein Monat nach Meldung:
Ausführliche Beschreibung, Angaben zur Art der Bedrohung, Ursachen, Abhilfemaßnahmen, ggf. die grenzüberschreitenden Auswirkungen.

Registrierung

§ 33-34 BSI-Gesetz (neu)

Wenn NIS-2 für Sie gilt, müssen Sie sich bei der nationalen Behörde registrieren – wie genau, wird noch festgelegt und auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht.

Folgende Informationen sind einzureichen:

Name der Einrichtung, einschließlich der Rechtsform und soweit einschlägig der Handelsregisternummer
Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse
öffentliche IP-Adressbereiche und Telefonnummern
relevanter in Anlage 1 oder 2 genannter Sektor oder soweit einschlägig Branche
Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringen
die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder
ggf. weitere Informationen je nach Einrichtungsart, insbesondere für Betreiber kritischer Anlagen und weitere besonders kritische Einrichtungsarten

Im Webinar „NIS-2: Die Würfel sind gefallen – was Sie jetzt wissen müssen“ erfahren Sie alles zum kürzlich beschlossenen Gesetz.

Webinar-Aufzeichnung ansehen

Was passiert, wenn Sie die NIS-2 Vorschriften nicht einhalten?

Bei Verstößen gegen die Risikomanagementmaßnahmen (§ 30 BSI-Gesetz (neu)) oder Meldepflicht von Sicherheitsvorfällen (§ 32 BSI-Gesetz (neu)) drohen hohe Geldstrafen. Der Gesetz trifft eine Einteilung in besonders wichtige und wichtige Einrichtungen. Während die Pflichten grundsätzlich gleich sind, unterscheiden sie sich darin, wie streng die Aufsicht ist und wie hoch die Geldstrafen bei Non-Compliance ausfallen.

	Besonders wichtige Einrichtungen (= „wesentliche Einrichtungen“ in der NIS-2-Richtlinie)	Wichtige Einrichtungen (= „wichtige Einrichtungen“ in der NIS-2-Richtlinie)
Aufsicht durch Behörden (§ 61-62)	Proaktive Aufsicht ohne vorige Hinweise auf Verstöße, zum Beispiel (nach Ermessen des BSI): Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern) Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten, bei Krankenhäusern nach 5 Jahren) direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung	Reaktive Aufsicht nur nach Hinweisen auf Verstöße, zum Beispiel (nach Ermessen des BSI): Anordnung, dass unabhängige Stellen die Umsetzung prüfen (keine freie Wahl von Prüfern) Anforderung von Nachweisen (erst ab 3 Jahren nach Inkrafttreten, bei Krankenhäusern nach 5 Jahren) direkte Prüfungen vor Ort und durch vom BSI beauftragte Dritte Sanktionen bis hin zur vorübergehenden Abberufung der Geschäftsleitung und Entzug der Betriebsgenehmigung
Geldstrafen bei Verstößen (§ 65)	Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist	Höchstbetrag von mindestens 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist
Wer zählt dazu?	Große Unternehmen aus Anlage 1 im BSI-Gesetz (neu): > 249 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz Größenunabhängige Sonderfälle	Große Unternehmen aus Anlage 2 im BSI-Gesetz (neu): > 249 Beschäftigte, oder > 50 Mio. EUR Umsatz und > 43 Mio. EUR Bilanz Mittlere Unternehmen aus Anlage 1 oder Anlage 2 im BSI-Gesetz (neu): mind. 50 Beschäftigte, oder > 10 Mio. EUR Umsatz und > 10 Mio. EUR Bilanz kein großes Unternehmen Größenunabhängige Sonderfälle Hinweis: Die Einstufung als „besonders wichtig“ geht immer vor.

Wie G DATA Lösungen Ihnen helfen, die NIS-2-Vorschriften zu erfüllen

§ 38 BSI-Gesetz (neu): Schulungspflicht der Geschäftsleitung

Vorgaben im BSI-Gesetz (neu)	G DATA Lösungen
§ 38 (3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.	Security Awareness Trainings Mit spannenden E-Learning-Angeboten schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit. → IT Security Trainings Incident Readiness Trainings Bereiten Sie sich optimal auf Cyberangriffe vor – um im Ernstfall Zeit und Kosten zu sparen. → Incident Response Retainer

§ 30 BSI-Gesetz (neu): Risikomanagementmaßnahmen

Vorgaben im BSI-Gesetz (neu)	G DATA Lösungen
§ 30 (1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die in Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (...). (2) Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen: 1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik	IT-Security Assessment Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels. → Security Assessment Penetration Test Finden Sie Ihre Sicherheitslücken, bevor Cyberkriminelle es tun. → Penetration Test
(2) 2. Bewältigung von Sicherheitsvorfällen [d.h. Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon];	Managed Extended Detection and Response Ihr 24/7-Expertenschutz: Wir erkennen und stoppen Cyberangriffe für Sie. → MXDR Incident Response Vertrauen Sie auf Sofort-Hilfe bei Sicherheitsvorfällen durch unser erfahrenes Notfallteam. → Incident Response Retainer Incident Response Rahmenvertrag Ihre optimale Kombination aus Prävention und Sofort-Hilfe. → Incident Response Retainer
(2) 6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik	IT-Security Assessment Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels. → Security Assessment
(2) 7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik	Security Awareness Trainings Mit spannenden Online-Kursen schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit. → IT Security Trainings

Vorgaben im BSI-Gesetz (neu)

G DATA Lösungen

§ 30

(1)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die in Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (...).

(2)

Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Folgendes umfassen:

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik

IT-Security Assessment

Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels.

→ Security Assessment

Penetration Test

Finden Sie Ihre Sicherheitslücken, bevor Cyberkriminelle es tun.

→ Penetration Test

(2)

2. Bewältigung von Sicherheitsvorfällen [d.h. Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen oder die Reaktion darauf und die Erholung davon];

Managed Extended Detection and Response

Ihr 24/7-Expertenschutz: Wir erkennen und stoppen Cyberangriffe für Sie.

→ MXDR

Incident Response

Vertrauen Sie auf Sofort-Hilfe bei Sicherheitsvorfällen durch unser erfahrenes Notfallteam.

→ Incident Response Retainer

Incident Response Rahmenvertrag

Ihre optimale Kombination aus Prävention und Sofort-Hilfe.

→ Incident Response Retainer

(2)

6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik

IT-Security Assessment

Erhalten Sie eine objektive Risikoeinschätzung und Beurteilung Ihres Cybersecurity Levels.

→ Security Assessment

(2)

7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik

Security Awareness Trainings

Mit spannenden Online-Kursen schulen Sie Ihre Geschäftsführung und Mitarbeitenden in IT-Sicherheit.

→ IT Security Trainings

§ 32 BSI-Gesetz (neu): Meldepflichten

Vorgaben im BSI-Gesetz (neu)	G DATA Lösungen
§ 32 (1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, folgende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden: 1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte	Managed Extended Detection and Response Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten. → MXDR
(1) 2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden. 3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktualisierungen	Managed Extended Detection and Response Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten. → MXDR
(1) 4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält: a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.	Incident Response Die Hilfe unseres Notfallteams ermöglicht Ihnen, die Pflicht zum Abschlussbericht (Ursachenanalyse etc.) einzuhalten. → Incident Response Retainer Incident Response Rahmenvertrag Ihre optimale Kombination aus Prävention und Sofort-Hilfe im Notfall – zur Einhaltung des Abschlussberichts. → Incident Response Retainer

Vorgaben im BSI-Gesetz (neu)

G DATA Lösungen

§ 32

(1)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, folgende Informationen an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden:

1. unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte

Managed Extended Detection and Response

Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten.

→ MXDR

(1)

2. unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über diesen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden.

3. auf Ersuchen des Bundesamtes eine Zwischenmeldung über relevante Statusaktualisierungen

Managed Extended Detection and Response

Dank gemanagter Angriffserkennung und -abwehr in Ihrer IT-Umgebung können Sie kurze Meldefristen im Ernstfall einhalten.

→ MXDR

(1)

4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

a) eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen

b) Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat

c) Angaben zu den getroffenen und laufenden Abhilfemaßnahmen

d) gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls

Die Verpflichtung nach Satz 1 gilt frühestens ab Einrichtung des Meldewegs.

Incident Response

Die Hilfe unseres Notfallteams ermöglicht Ihnen, die Pflicht zum Abschlussbericht (Ursachenanalyse etc.) einzuhalten.

→ Incident Response Retainer

Incident Response Rahmenvertrag

Ihre optimale Kombination aus Prävention und Sofort-Hilfe im Notfall – zur Einhaltung des Abschlussberichts.

→ Incident Response Retainer

Webinare, Podcasts & Co.

Mehr Wissenswertes zur NIS-2

Webinare

Erfahren Sie, was für Unternehmen wichtig ist – von IT-Sicherheitsexperten und gebündelt in je einer Stunde.

Zu den NIS-2-Webinaren

Podcasts

Unsere Podcasts aus der Zeit kurz nach Inkrafttreten der NIS-2-Richtlinie der EU vermitteln die Basics zu den Vorgaben.

NIS-2-Podcasts anhören

Flyer

Erhalten Sie professionelle Unterstützung auf dem Weg zur NIS-2-Compliance. Im Flyer erhalten Sie eine Übersicht zur Beratung.

NIS-2-Beratung kennenlernen

Sie sind noch unsicher, wie Sie die NIS2 Directive umsetzen? Wir helfen Ihnen.

NIS-2-Beratung unverbindlich anfragen

Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.

NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist

Die EU-Richtlinie und das deutsche Umsetzungsgesetz im Überblick

Was ist NIS-2?

Maßnahmen zum Risikomanagement für Cybersicherheit

Verantwortung der Geschäftsführung

Meldepflicht von Sicherheitsvorfällen

Registrierung

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Mehr Wissenswertes zur NIS-2

Webinar-Reihe zu NIS-2

NIS-2-Podcasts

NIS-2-Beratung

Diese Einrichtungen fallen unabhängig von ihrer Größe unter die NIS-2:

Risikobasierter Ansatz: Welche Maßnahmen sind angemessen?

Supply Chain: Was bedeutet „Sicherheit in der Lieferkette“?

Ein Sicherheitsvorfall gilt als „erheblich“, wenn:

Diese Einrichtungen gelten gemäß BSI-Gesetz (neu) unabhängig von ihrer Größe als „besonders wichtige Einrichtungen“:

Diese Einrichtungen gelten gemäß BSI-Gesetz (neu) unabhängig von ihrer Größe als „wichtige Einrichtungen“: