NIS2 EU-weit in Kraft

NIS2-Compliance-Software für kleine und mittlere Unternehmen

Die NIS2-Richtlinie wird bereits durchgesetzt. Bußgelder bis 10 Mio. € oder 2 % des Umsatzes — plus persönliche Haftung der Geschäftsführung. ComplyOne hilft KMU, jede Anforderung zu erfüllen, ohne dediziertes Compliance-Team.

NIS2-Bereitschaft kostenlos prüfen

Was NIS2 von Ihrem Unternehmen verlangt

NIS2 ist die aktualisierte EU-Cybersicherheitsrichtlinie. Sie ist umfassender und strenger als NIS1 — mehr Sektoren, kürzere Fristen und Verantwortung der Geschäftsführung.

Vorfallsmeldung

Bedeutende Vorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständiger Bericht) gemeldet werden. Versäumte Fristen sind selbst ein Verstoß.

Lieferkettensicherheit

Sie sind für die Sicherheitspraktiken Ihrer Lieferanten und Dienstleister verantwortlich. NIS2 erfordert dokumentierte Lieferantenrisikobewertungen.

Haftung der Geschäftsführung

Geschäftsführer und Führungskräfte können für NIS2-Verstöße persönlich haftbar gemacht werden — einschließlich vorübergehender Berufsverbote.

Welche Sektoren sind betroffen

Wesentliche Einrichtungen (strengere Regeln)

  • Energie (Strom, Gas, Öl, Wasserstoff)
  • Transport (Luft, Schiene, Straße, Schifffahrt)
  • Banken und Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser & Abwasser
  • Digitale Infrastruktur & ICT-Dienste
  • Öffentliche Verwaltung

Wichtige Einrichtungen (ebenfalls erfasst)

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Herstellung
  • Lebensmittelproduktion
  • Hersteller von Medizinprodukten
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen)
  • Forschungseinrichtungen

Unsicher, welche Kategorie auf Sie zutrifft? Kostenlosen Compliance-Check starten — dauert 5 Minuten.

Wie ComplyOne NIS2 für Sie übernimmt

Bildet Ihre NIS2-Pflichten ab

Beantworten Sie einige Fragen zu Ihrer Organisation. ComplyOne identifiziert genau, welche NIS2-Artikel gelten — kein manuelles Lesen von über 100 Seiten Richtlinientext.

Verfolgt den Status Ihrer Kontrollen

Jede NIS2-Kontrolle (Risikomanagement, Zugriffskontrolle, Vorfallsreaktion, Lieferkette) wird in einem Live-Dashboard mit klarer Bereitschaftsbewertung verfolgt.

Vorlagen für die Vorfallsmeldung

Vorgefertigte Vorlagen für die 24-Stunden-Erstmeldung und den 72-Stunden-Vollbericht — damit Sie im Ernstfall nicht improvisieren müssen.

Lieferantenrisikobewertungen

Integrierte Lieferantenfragebögen und Risikobewertung zur Dokumentation Ihrer Lieferkettensicherheit — eine Kernanforderung von NIS2.

Bußgelder

10 Mio. €

oder 2 % des weltweiten Umsatzes

Wesentliche Einrichtungen. Der höhere Betrag gilt.

7 Mio. €

oder 1,4 % des weltweiten Umsatzes

Wichtige Einrichtungen — plus persönliche Haftung der Geschäftsführung.

NIS2-Compliance praktisch angehen: erste Schritte

NIS2 kann überwältigend wirken. In der Praxis erreichen die meisten Organisationen in 8–12 Wochen eine solide Basis, wenn sie strukturiert vorgehen.

1

Anwendungsbereich klären

Prüfen Sie, ob Ihre Organisation als wesentliche oder wichtige Einrichtung gilt. Größe (50+ Mitarbeitende oder 10+ Mio. € Umsatz) und Sektor sind beide relevant. Auch die Position in der Lieferkette zählt — selbst kleinere Lieferanten können erfasst werden.

2

Entitätstyp einstufen

Wesentliche Einrichtungen unterliegen strengerer Aufsicht und proaktiver Kontrolle. Wichtige Einrichtungen unterliegen reaktiver Aufsicht. Die Einstufung beeinflusst den Audit-Zeitplan und die Intensität der erforderlichen Kontrollen.

3

Gap-Analyse durchführen

Ordnen Sie Ihre bestehenden Sicherheitskontrollen den 10 Mindestmaßnahmen von NIS2 zu: Risikomanagement, Vorfallsbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Netzwerksicherheit, Zugriffskontrolle, Kryptografie, HR-Sicherheit, Asset Management und Multi-Faktor-Authentifizierung.

4

Vorfallsmeldung einrichten

Etablieren Sie interne Prozesse, damit Sie bei einem bedeutenden Vorfall die 24-Stunden-Erstmeldung und den 72-Stunden-Vollbericht ohne Hektik einreichen können. Legen Sie fest, wer meldet, an welche nationale Behörde und in welchem Format.

5

Alles dokumentieren

NIS2 verlangt, dass die Geschäftsführung Cybersicherheit aktiv steuert und diese Governance dokumentiert wird. Richtlinien, Risikoregister, Lieferantenbewertungen und Schulungsnachweise dienen als Nachweis.

Ihren NIS2-Bereitschaftswert in 5 Minuten erhalten

Kostenloser Compliance-Check. Keine Kreditkarte. Sehen Sie genau, wo Sie stehen — bevor es ein Prüfer tut.

Kostenlosen NIS2-Check starten

NIS2 — FAQ

Gilt NIS2 für mein Unternehmen?

NIS2 gilt für mittlere und große Organisationen in kritischen Sektoren — Energie, Transport, Banken, digitale Infrastruktur, Gesundheitswesen und Managed IT Services. Die Pflichten erstrecken sich auch auf Lieferkettenpartner erfasster Einrichtungen. Unser kostenloser Compliance-Check zeigt, ob Sie betroffen sind.

Wann ist NIS2 in Kraft getreten?

Die NIS2-Richtlinie trat im Januar 2023 in Kraft. Die EU-Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die meisten Länder setzen sie inzwischen aktiv durch, und die nationalen Aufsichtsbehörden geben Leitlinien heraus.

Welche Bußgelder drohen bei NIS2-Verstößen?

Für wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Die Haftung der Geschäftsführung ist eine zentrale Neuerung — Führungskräfte können persönlich haftbar gemacht werden.

Was verlangt NIS2 konkret von uns?

Kernanforderungen: Risikomanagementmaßnahmen, Vorfallsmeldung innerhalb von 24 Stunden (initial) und 72 Stunden (detailliert), Geschäftskontinuitätsplanung, Lieferkettensicherheit, Zugriffskontrolle, Schwachstellenmanagement und Cybersicherheitsschulungen. ComplyOne strukturiert all dies in nachverfolgbare Aufgaben.

Wir haben bereits ISO 27001 — sind wir abgedeckt?

Teilweise. ISO 27001 überschneidet sich erheblich mit NIS2, aber NIS2 ergänzt spezifische Pflichten zu Meldefristen, Verantwortlichkeit der Geschäftsführung und Lieferkettensorgfalt, die ISO 27001 nicht vollständig abdeckt. ComplyOne zeigt Ihnen genau, wo die Lücken sind.

Was sind die 10 Mindestsicherheitsmaßnahmen unter NIS2?

Artikel 21 von NIS2 nennt 10 Pflichtbereiche: (1) Risikoanalyse und Sicherheitsrichtlinien, (2) Vorfallsbehandlung, (3) Geschäftskontinuität und Krisenmanagement, (4) Lieferkettensicherheit, (5) Sicherheit beim Erwerb von Netz- und Informationssystemen, (6) Richtlinien zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen, (7) grundlegende Cyber-Hygiene und Schulung, (8) Richtlinien zur Kryptografie, (9) Personalsicherheit und Zugriffskontrollrichtlinien, (10) Multi-Faktor-Authentifizierung. ComplyOne ordnet jeden Punkt nachverfolgbaren Kontrollen zu.

Kann NIS2 auch gelten, wenn wir nicht in einem kritischen Sektor sind?

Ja — über die Lieferkette. Wenn Sie IT-Dienste, Managed Security, Cloud-Infrastruktur oder Software für eine wesentliche oder wichtige Einrichtung bereitstellen, können NIS2-Pflichten vertraglich an Sie weitergegeben werden. Viele KMU entdecken die NIS2-Anforderungen über Enterprise-Verträge, nicht über direkte Behördenkommunikation.

Verwandte Compliance-Bereiche

DORA-Compliance EU-KI-Verordnung Cyber Resilience Act DSGVO-Compliance