Leitfäden & Reports
NIS2-Leitfaden für Unternehmen

NIS2-Checkliste: Ein Leitfaden für Unternehmen

Wie ist die Lage der IT-Sicherheit in Deutschland – diese Frage stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedes Jahr. Seit 2023 lautet die Antwort: Die Lage ist „angespannt bis kritisch“. NIS2 ist die Überarbeitung einer bestehenden Richtlinie über Netz- und Informationssicherheit (NIS), die die Cybersicherheit stärken soll – mit unserer Checkliste für NIS2 sind Sie bestens darauf vorbereitet!

Status Quo der IT-Sicherheit
Das steckt hinter NIS2
So bereiten Sie sich vor
Zum Download

NIS2 verstehen: Ihre Checkliste für die neue EU-Richtlinie

Die EU hatte die ursprüngliche Richtlinie 2016 eingeführt, um auf die zunehmende Bedrohung durch Cyberangriffe zu reagieren. 2022 wurde eine Neuauflage beschlossen, da die Bedrohungslage sich immer weiter verschärft.

In unserem Leitfaden geben wir Ihnen Hinweise, was Sie jetzt für Ihr Unternehmen angehen sollten und wie Sie am besten auf NIS2 reagieren, falls Sie betroffen sind.

Inhalt des NIS2-Leitfadens

  • Was ist NIS2 und was bedeutet die Richtlinie für Ihr Unternehmen?
  • Was sind die Vorteile von NIS2?
  • Wer muss sich auf NIS2 vorbereiten?
  • Achtung: Lieferketten!
  • Diese Pflichten kommen jetzt auf Sie zu, wenn Ihr Unternehmen betroffen ist.
  • Das sind mögliche Sanktionen bei Verstößen.

Die wichtigsten Informationen aus der NIS2-Checkliste auf einem Blick

Unser NIS2-Leitfaden bietet Ihnen einen umfassenden Überblick über die neuen Anforderungen, zeigt wichtige Maßnahmen auf und gibt praktische Tipps, wie Sie die Umsetzung effizient angehen können. Erfahren Sie, ob Ihr Unternehmen betroffen ist, welche Vorteile sich aus der Einhaltung des NIS2-Gesetzes ergeben und wie Sie mögliche Sanktionen vermeiden können. Die wichtigsten Informationen der NIS2-Checkliste haben wir kompakt für Sie zusammengefasst.

Was bedeutet NIS2 für Ihr Unternehmen?

Die NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit und tritt am 18. Oktober 2024 in Kraft. Sie zielt darauf ab, die Resilienz von Unternehmen und Organisationen gegenüber Cyberkriminalität zu erhöhen. Die Richtlinie hat die Pflichten und Sanktionen deutlich verschärft, einschließlich Bußgeldern, Betriebsunterbrechungen und persönlicher Haftungsrisiken.

Vorteile für Unternehmen

Die Umsetzung der NIS2-Vorgabe bietet mehrere Vorteile:

  • Erhöhte Sicherheit: Schutz vor finanziellen Schäden und Datenverlusten durch Cyberangriffe.
  • Verbessertes Risikomanagement: Regelmäßige Überprüfung der IT-Systeme auf Risiken und Schwachstellen.
  • Unterstützung für den Datenschutz: Besser geschützte Systeme erschweren den Zugriff auf Daten für Hacker.
  • Höheres Kundenvertrauen: Verbesserte Datensicherheit erhöht das Vertrauen der Kunden.
  • Reibungsloser Geschäftsbetrieb: Notfallpläne für die Aufrechterhaltung des Betriebs im Falle eines Angriffs.

Wer ist von NIS2 betroffen?

Die Richtlinie gilt für mittlere und große Unternehmen sowie Organisationen in 18 kritischen oder hochkritischen Sektoren. Diese umfassen z. B. Energie, Gesundheit und digitale Infrastruktur. Achtung: Ab Oktober 2024 können Startups aus dem digitalen Bereich, Online-Marktplätze und Plattformanbieter ebenfalls betroffen sein. Zulieferer und Dienstleister Ihrer Lieferketten müssen unter Umständen ebenfalls Maßnahmen ergreifen. 

Die sogenannte „size-cap rule” besagt zudem, dass nur mittlere (mindestens 50 Mitarbeiter oder 10 Mio. € Umsatz) und große Unternehmen (mindestens 250 Mitarbeiter oder 50 Mio. € Umsatz) aus den 18  unter die NIS2-Richtlinie fallen.

Pflichten für von NIS2 betroffene Unternehmen

Mit Inkrafttreten der EU-Richtlinie müssen Unternehmen und deren Führungsebene:

  • Maßnahmen wie Risikomanagement, Mitarbeiterschulungen, IT-Sicherheitskonzepte und Notfallpläne umsetzen.
  • Den Meldepflichten nachkommen und Sicherheitsvorfälle melden (innerhalb von 24 bis 72 Stunden).
  • Sich innerhalb von drei Monaten bei der zuständigen Aufsichtsbehörde registrieren.
  • Sicherheitsrisiken in der Lieferkette minimieren.
  • Persönliche Verantwortung für die Umsetzung dieser Maßnahmen übernehmen.

Sanktionen bei Verstößen

Bei Nichteinhaltung der Sicherheitsmaßnahmen und Anforderungen von NIS2 drohen empfindliche Strafen, einschließlich:

  • Bis zu 7 Mio. € oder 1,4 % des weltweiten Vorjahresumsatzes für wichtige Einrichtungen.
  • Bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes für wesentliche Einrichtungen.
  • Bis zu 20 Mio. € oder 4 % des weltweiten Vorjahresumsatzes für besonders schwere Fälle.

Zusätzlich können die Aufsichtsbehörden die Aussetzung des Geschäftsbetriebs anordnen und es bestehen persönliche Haftungsrisiken für Führungskräfte.

Nächste Schritte

Vermeiden Sie Sanktionen und schützen Sie Ihre IT mithilfe der folgenden NIS2-Checkliste:

  1. Prüfen Sie, ob Ihre Organisation von der NIS2-Richtlinie betroffen ist.
  2. Führen Sie eine Risikobewertung und Bestandsaufnahme durch, identifizieren Sie Schwachstellen und legen Sie fest, wie Sie diese schließen können.
  3. Setzen Sie die Anforderungen und Sicherheitsmaßnahmen um, legen Sie Pläne für den Umgang mit Sicherheitsvorfällen fest und bieten Sie Schulungen für Ihre Mitarbeiter an.

Übrigens: Ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 kann die Umsetzung der NIS2-Vorgaben erleichtern.

Laden Sie unseren vollständigen Leitfaden noch heute herunter und erhalten Sie detaillierte Informationen und praxisorientierte Checklisten zur NIS2-Umsetzung! Nehmen Sie auch gerne Kontakt zu uns auf und fordern Sie ein Angebot für einen NIS2-Check Ihres Unternehmens an.

Kostenloser Download

Download: Leitfaden NIS2 - Diese Maßnahmen sind jetzt wichtig.

Leitfäden & REports

Weitere Leitfäden & Reports, die Sie interessieren könnten

Datenschutzaudit: Diese Bereiche stehen auf dem Prüfstand
DSGVO-Compliance: Rechtsgrundlagen und Dokumentationen prüfen
Schulungen: Mitarbeiter für Datenschutz sensibilisieren
Sicherheitsmaßnahmen: Standards und Prozesse prüfen
Drittanbieter: Datenschutzvereinbarungen kontrollieren
Checkliste und Fragenkatalog für ISO27001-Zertifizierung
Kontext der Organisation verstehen
Führungsebene involvieren
Planung von Maßnahmen zur Risikoreduzierung
Case-Study Thalox: Datenschutz und Innovation Hand in Hand
Warum ist Datenschutz für IT- und Software-Unternehmen wichtig?
Lohnt sich das auch für kleine Unternehmen?
So stärken Sie das Vertrauen Ihrer Kunden!
Selbsttest - Soll ich meinen externen Datenschutzbeauftragten wechseln?
Das sind die wichtigsten Vorteile eines externen Datenschutzbeauftragten (DSB).
Ist Ihr derzeitiger externer DSB richtig für Ihr Unternehmen?
Schritt-für-Schritt-Anleitung zum wechsel des externen DSB.
Magazin

Mehr zu aktuellen Compliance Themen

SoA ISO 27001: Die Anwendbarkeitserklärung als Schlüssel zur Zertifizierung
24
.
02
.
2025
SoA ISO 27001: Die Anwendbarkeitserklärung als Schlüssel zur Zertifizierung
Ihr Unternehmen strebt eine ISO 27001-Zertifizierung an? Dann ist es wichtig, dass Sie Ihre Maßnahmen für Informationssicherheit dokumentieren. Ein SoA hilft Ihnen dabei. In diesem Artikel erfahren Sie alles über die Anwendbarkeitserklärung.
NIS2UmsuCG: Aktueller Stand & wichtige Informationen im Überblick
11
.
02
.
2025
NIS2UmsuCG: Aktueller Stand & wichtige Informationen im Überblick
Das deutsche Umsetzungsgesetz von NIS2 zur Stärkung der Cybersicherheit tritt 2024 in Kraft. Somit werden die EU-weiten Mindeststandards in die deutsche Regulierung überführt. Gemeinsam mit dem KRITIS-Dachgesetz wird NIS2 kritische Infrastukturbetreiber und Finanzunternehmen betreffen.
Pseudonymisierung vs. Anonymisierung: Was ist der Unterschied?
06
.
02
.
2025
Pseudonymisierung vs. Anonymisierung: Was ist der Unterschied?
Pseudonymisierung und Anonymisierung können die Datenschutz-Compliance für Unternehmen vereinfachen. Dennoch steht hinter den beiden Begriffen oft noch ein großes Fragezeichen. Wir klären auf.
NIS2: Was Unternehmen über die Richtlinie wissen müssen
06
.
02
.
2025
NIS2: Was Unternehmen über die Richtlinie wissen müssen
Die NIS2-Richtlinie ist eine EU-weite Regelung zur Verbesserung der Cybersicherheit und zum Schutz kritischer Infrastrukturen. Sie wurde als Erweiterung der vorherigen NIS-Richtlinie eingeführt, um neue Bedrohungslagen und technologische Entwicklungen besser abzudecken. NIS2 verfolgt das Ziel, die Resilienz und Reaktionsfähigkeit von Unternehmen und Institutionen gegenüber Cyberangriffen zu erhöhen.
Beratung vereinbaren

Sie haben weitere Fragen oder wünschen einen unverbindlichen Beratungstermin? Wir sind gerne für Sie da.

60+ Expertinnen und Experten
Beratung vereinbaren