Zwei professionell gekleidete Personen sitzen an einem Schreibtisch und diskutieren über die NIS2 Umsetzung, während sie auf einen Computerbildschirm schauen. Einer zeigt auf den Bildschirm, während der andere Notizen in ein Notizbuch schreibt. Auf dem Schreibtisch stehen eine kleine Pflanze und ein Becher.

NIS2 Umsetzung: Pflichten und Sanktionen

Die NIS2 Umsetzung betrifft deutlich mehr Unternehmen als viele vermuten. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz werden in Deutschland neue Anforderungen an Cybersicherheit, Meldeprozesse, Risikomanagement und Unternehmensverantwortung verbindlich. Für betroffene Organisationen bedeutet das, dass sie ihre Sicherheitsmaßnahmen nicht nur technisch, sondern auch organisatorisch und dokumentatorisch neu aufstellen müssen.

Ein Mann im Anzug und mit Brille spricht auf der Bühne in ein Mikrofon. Auf einem blauen Banner am unteren Rand steht: Stimmen von KRITIS Unternehmen - Experten Stefan Erdweg, Geschäftsführer 3-core GmbH.

Mit der 3-core setzen Sie auf erfahrene KRITIS- und NIS2-Expertise. Wir unterstützen Unternehmen dabei, die Anforderungen der NIS2 Umsetzung strukturiert, effizient und praxisnah in bestehende Prozesse zu überführen. Dank unserer Erfahrung im KRITIS-Umfeld wissen wir, worauf es bei regulatorischen Vorgaben, belastbaren Sicherheitsmaßnahmen, nachvollziehbarer Dokumentation und einer realistisch umsetzbaren Governance ankommt. So schaffen wir für unsere Kunden nicht nur regulatorische Sicherheit, sondern auch belastbare Strukturen für mehr Resilienz und nachhaltige Cybersicherheit.

Jetzt den kostenlosen NIS2-Download herunterladen

DOWNLOAD

Warum die NIS2 Umsetzung für Unternehmen so relevant ist

Die NIS2 Umsetzung erweitert den Kreis der betroffenen Unternehmen deutlich. Neben KRITIS-Betreibern rücken nun auch wichtige und besonders wichtige Einrichtungen in den Fokus. Damit wird klar: Cybersicherheit ist nicht länger nur ein Thema für klassische kritische Infrastrukturen, sondern für viele mittelständische und große Unternehmen in definierten Sektoren. Gleichzeitig verpflichtet die neue Regelung zur Umsetzung technischer Sicherheitsmaßnahmen, zur kontinuierlichen Überprüfung der Einhaltung und zur Meldung schwerwiegender Vorfälle. Verstöße können mit erheblichen Bußgeldern geahndet werden.

KRITIS-Einrichtungen

Zu den KRITIS-Einrichtungen zählen Organisationen, die für wesentliche Dienste und kritische Infrastrukturen verantwortlich sind, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder das Gemeinwohl hätte.

Wichtige Einrichtungen

Als wichtige Einrichtungen gelten mittlere Unternehmen mit mindestens 50 Mitarbeitenden, mehr als 10 Millionen Euro Jahresumsatz oder mehr als 10 Millionen Euro Bilanzsumme, sofern sie in definierten Sektoren tätig sind. Auch Anbieter spezifischer Dienste können in diese Kategorie fallen.

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen sind vor allem Großunternehmen mit mindestens 250 Mitarbeitenden, mehr als 50 Millionen Euro Jahresumsatz oder mehr als 43 Millionen Euro Bilanzsumme sowie Unternehmen aus bestimmten weiteren Sektoren. Auch Anbieter spezifischer Dienste und KRITIS-Betreiber fallen in diese Kategorie.

Welche grundlegenden Anforderungen die NIS2 Umsetzung vorgibt

Die NIS2 Umsetzung verlangt von betroffenen Einrichtungen, Cybersicherheit ganzheitlich und nachvollziehbar zu organisieren. Zu den grundlegenden Anforderungen gehören:

  • Störungen minimieren und Auswirkungen begrenzen

  • den Stand der Technik und einschlägige Normen einhalten

  • einen ganzheitlichen Gefahrenansatz verfolgen

  • Verhältnismäßigkeit sicherstellen

  • eine lückenlose Dokumentation aufbauen

Risikomanagementmaßnahmen nach §30

  • Risikoanalyse, Sicherheitsbewertung, Krisenmanagement und Wiederherstellung
  • Lieferkettenschutz, sichere IT-Entwicklung und Cyberhygiene
  • Verschlüsselung und Zugriffskontrolle

Meldepflichten bei Sicherheitsvorfällen nach §32

  • Erstmeldung innerhalb von 24 Stunden
  • Aktualisierung der Erstmeldung innerhalb von 72 Stunden
  • Zwischenmeldung auf Anfrage durch BSI oder BBK
  • Abschluss- bzw. Folgemeldung innerhalb eines Monats

Registrierungspflichten nach §33

Unternehmen müssen sich innerhalb von drei Monaten nach ihrer Zuordnung registrieren. Änderungen sind innerhalb von zwei Wochen zu melden; Versorgungskennzahlen jährlich. Zudem wird die Registrierungsmöglichkeit von BSI bzw. BBK eingerichtet.

Unterrichtungs- und Informationspflichten nach §35

Einrichtungen können verpflichtet werden, Informationen an ihre Dienstempfänger weiterzugeben. Darüber hinaus sollen Kunden über Bedrohungen und mögliche Maßnahmen informiert werden.

Welche Sanktionen bei Verstößen drohen

Wer die Anforderungen der NIS2 Umsetzung nicht erfüllt, muss mit erheblichen Konsequenzen rechnen. Genannt werden:

  • Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes
  • Zwangsgelder bis zu 100.000 Euro
  • persönliche Haftung der Geschäftsleitung
  • Veröffentlichung von Verstößen durch das BSI
  • wichtige Einrichtungen ohne Pflichterfüllung werden wie besonders wichtige Einrichtungen behandelt

Im Extremfall können sogar Genehmigungen entzogen und der Geschäftsleitung die Tätigkeit vorübergehend untersagt werden.

Vier Personen in Geschäftskleidung versammeln sich um einen Holztisch und konzentrieren sich auf einen Laptop, während sie über KRITIS DachG Umsetzung diskutieren. Zwei sitzen, zwei stehen in der Nähe in einem modernen, minimalistisch eingerichteten Büro.

Was Unternehmen jetzt konkret tun sollten

Die NIS2 Umsetzung sollte nicht als reine Pflichtübung verstanden werden. Unternehmen sollten jetzt prüfen, ob sie unter den Geltungsbereich fallen, welche Kategorie auf sie zutrifft und welche technischen, organisatorischen und dokumentatorischen Maßnahmen bereits vorhanden sind. Besonders wichtig sind klare Verantwortlichkeiten, belastbare Meldeprozesse, eine strukturierte Risikoanalyse und eine saubere Nachweisführung.

Entdecken Sie mehr: Projekte & Artikel