Datenschutz & Compliance

NIS2-Checkliste: Was betroffene Unternehmen jetzt prüfen müssen

7 Min. Lesezeit
Kurze Antwort

Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in kritischen Sektoren müssen Risikomanagement, Meldepflichten und technische Schutzmaßnahmen nach NIS2 nachweisen.

NIS2 gilt ab 50 Mitarbeitern ODER 10 Millionen Euro Jahresumsatz in bestimmten Sektoren – und Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Umsatzes sind möglich.

Was ist NIS2 und wen betrifft es?

NIS2-Checkliste: Was Unternehmen prüfen müssen

  • Betroffenheitsprüfung: Fällt das Unternehmen nach Größe und Sektor unter NIS2?
  • Registrierung beim BSI: Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren
  • Risikomanagement implementieren: Risikoanalyse, Sicherheitsrichtlinien, Business-Continuity-Plan
  • Technische Schutzmaßnahmen: Verschlüsselung, Zugriffskontrollen, Patch-Management, Multi-Faktor-Authentifizierung
  • Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Folgemeldung) dem BSI gemeldet werden
  • Supply-Chain-Sicherheit: Auch Lieferanten und Dienstleister müssen auf Sicherheitsstandards geprüft werden
  • Schulungen: Geschäftsführung und Mitarbeiter müssen nachweislich in Cybersicherheit geschult werden
  • Dokumentation: Alle Maßnahmen müssen nachvollziehbar dokumentiert und auf Anfrage nachgewiesen werden

NIS2-Umsetzung strukturiert angehen

  1. Schritt 1: Betroffenheitsanalyse

    Prüfen Sie anhand der Sektoren-Liste des BSI, ob Ihr Unternehmen unter NIS2 fällt. Beim Zweifel: Juristen oder spezialisierte IT-Sicherheitsberater einschalten. Das BSI stellt einen Selbsttest bereit.

  2. Schritt 2: Gap-Analyse der bestehenden Maßnahmen

    Vergleichen Sie Ihre bestehenden IT-Sicherheitsmaßnahmen mit den NIS2-Anforderungen. Typische Lücken: fehlende Meldeprozesse, kein Patch-Management-System, unzureichende Lieferantenbewertung.

  3. Schritt 3: Risikomanagement-System aufbauen

    Implementieren Sie ein systematisches Risikomanagement: Risikoidentifikation, Bewertung, Behandlung und regelmäßige Überprüfung. ISO 27001 ist eine anerkannte Grundlage.

  4. Schritt 4: Meldeprozess für Sicherheitsvorfälle einrichten

    Definieren Sie intern, wer bei einem Vorfall benachrichtigt wird, wer die BSI-Meldung erstellt und wer die Kommunikation nach außen übernimmt. Die 24-Stunden-Frist ist sportlich – ohne Prozess nicht zu schaffen.

  5. Schritt 5: Geschäftsführung in die Pflicht nehmen

    NIS2 macht die Geschäftsführung persönlich verantwortlich. Haftungsausschlüsse durch Delegation an die IT reichen nicht. Schulung und aktive Beteiligung der Führungsebene sind Pflicht.

Achtung: Geschäftsführerhaftung

NIS2 schließt eine persönliche Haftung der Geschäftsführung ausdrücklich ein. Wer die Umsetzung an die IT delegiert und sich nicht kümmert, kann bei einem Vorfall persönlich in Haftung genommen werden – unabhängig von der Unternehmenshaftung.

Praxistipp: BSI-Ressourcen nutzen

Das BSI stellt kostenlos den IT-Grundschutz-Kompendium und NIS2-Orientierungshilfen bereit. Für kleinere Unternehmen ist der BSI-Leitfaden zur Basisabsicherung ein guter Startpunkt – er erfüllt viele NIS2-Anforderungen bereits.

Fazit

Wollen Sie wissen, ob Ihr Unternehmen unter NIS2 fällt und was zu tun ist? INREMA führt die Betroffenheitsanalyse mit Ihnen durch.

Jetzt beraten lassen

Häufige Fragen

Ab wann gilt NIS2 für mein Unternehmen?
NIS2 gilt, wenn Sie in einem der 18 betroffenen Sektoren tätig sind und mindestens 50 Mitarbeiter beschäftigen oder 10 Millionen Euro Umsatz erzielen.
Was muss ich beim BSI melden?
Sicherheitsvorfälle mit erheblichen Auswirkungen auf Ihre Dienste: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat.
Wie hoch sind die NIS2-Bußgelder?
Für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.
Muss auch ein kleines IT-Dienstleistungsunternehmen NIS2 beachten?
Ja – IT-Dienste und digitale Dienste (z. B. Managed Service Provider, Cloud-Anbieter) gehören zu den NIS2-Sektoren, unabhängig von der Mitarbeiterzahl wenn bestimmte Schwellen erreicht sind.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Compliance Management im Mittelstand: Mehr als nur Regelkonformität
9 Min. Lesezeit
Datenschutz & Compliance
IT-Sicherheit für KMU: Der Basis-Schutz den jedes Unternehmen braucht
10 Min. Lesezeit
Datenschutz & Compliance
NIS2 in Deutschland: Bin ich betroffen — und was muss ich jetzt tun?
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen