Häufig gestellte Fragen
Alles, was Sie über NIS2 wissen müssen und wie NIS2 Pro Ihre Organisation unterstützen kann.
NIS2-Grundlagen
- Was ist die NIS2-Richtlinie?
- NIS2 (Netz- und Informationssicherheitsrichtlinie 2) ist eine EU-weite Cybersicherheitsverordnung, die grundlegende Sicherheits- und Meldepflichten für Organisationen in kritischen und wichtigen Sektoren festlegt. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016.
- Wann ist NIS2 in Kraft getreten?
- Die Richtlinie trat am 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die Durchsetzungsfristen variieren je nach Land.
- Welche Sektoren deckt NIS2 ab?
- NIS2 umfasst 18 Sektoren in zwei Gruppen. Wesentliche Sektoren sind Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum. Wichtige Sektoren umfassen Post, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, Digitalanbieter und Forschung.
- Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
- Wesentliche Einrichtungen unterliegen strengeren Aufsichtsanforderungen, einschließlich proaktiver Prüfungen und Inspektionen. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht, die in der Regel durch Hinweise auf Nichteinhaltung ausgelöst wird. Beide müssen dieselben grundlegenden Sicherheitspflichten erfüllen.
- Gilt NIS2 auch für Unternehmen außerhalb der EU?
- Ja. Wenn Ihre Organisation Dienstleistungen innerhalb der EU erbringt — auch wenn der Hauptsitz außerhalb liegt — kann NIS2 gelten. Nicht-EU-Unternehmen müssen einen Vertreter in einem der Mitgliedstaaten benennen, in denen sie tätig sind.
Anwendungsbereich & Klassifizierung
- Wie erkenne ich, ob meine Organisation betroffen ist?
- NIS2 gilt für mittlere und große Organisationen in den 18 abgedeckten Sektoren. Die allgemeinen Schwellenwerte sind 50+ Mitarbeiter oder 10 Mio. €+ Jahresumsatz. Einige Einrichtungstypen — wie DNS-Anbieter und Vertrauensdiensteanbieter — fallen unabhängig von der Größe in den Anwendungsbereich.
- Was macht der Scope Check von NIS2 Pro?
- Unser Scope Check stellt gezielte Fragen zu Ihrem Sektor, Ihrer Größe, Ihren Betriebsabläufen und digitalen Abhängigkeiten, um festzustellen, ob NIS2 wahrscheinlich auf Ihre Organisation zutrifft und ob Sie als wesentlich oder wichtig eingestuft würden.
- Kann ein kleines Unternehmen unter NIS2 fallen?
- Grundsätzlich sind Organisationen unterhalb der Größenschwellen ausgenommen. Bestimmte Kategorien fallen jedoch unabhängig von der Größe in den Anwendungsbereich — zum Beispiel Anbieter von DNS-Diensten, TLD-Register, Vertrauensdiensteanbieter und von einem Mitgliedstaat als kritisch eingestufte Einrichtungen.
- Was gilt, wenn ich in mehreren EU-Ländern tätig bin?
- Sie können den nationalen Umsetzungsgesetzen jedes Mitgliedstaats unterliegen, in dem Sie tätig sind. NIS2 führt für bestimmte digitale Einrichtungen ein Modell der Hauptzuständigkeit ein, aber die meisten Organisationen müssen die spezifischen Anforderungen jedes Landes erfüllen.
Compliance-Anforderungen
- Was sind die wichtigsten Compliance-Pflichten unter NIS2?
- NIS2 verlangt von Organisationen die Umsetzung risikobasierter Cybersicherheitsmaßnahmen, den Aufbau von Fähigkeiten zur Erkennung und Reaktion auf Vorfälle, die Gewährleistung der Lieferkettensicherheit, die Durchführung regelmäßiger Risikobewertungen und die Schulung von Mitarbeitern. Leitungsorgane müssen diese Maßnahmen genehmigen und überwachen.
- Welche Meldepflichten gibt es bei Vorfällen?
- Signifikante Vorfälle müssen der zuständigen Behörde in drei Stufen gemeldet werden: eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Die Definition von „signifikant“ hängt von Faktoren wie dem Umfang der Dienststörung und der Datenauswirkung ab.
- Haftet die Geschäftsführung persönlich unter NIS2?
- Ja. NIS2 führt eine persönliche Verantwortlichkeit für die Geschäftsführung ein. Vorstandsmitglieder und Führungskräfte können für die Nichteinhaltung haftbar gemacht werden, und Mitgliedstaaten können bei wiederholten Verstößen vorübergehende Managementverbote verhängen.
- Brauche ich ISO 27001 für die NIS2-Compliance?
- ISO 27001 ist nicht vorgeschrieben, bietet aber eine solide Grundlage. Viele NIS2-Anforderungen überschneiden sich mit ISO 27001-Kontrollen. NIS2 Pro enthält ein Crosswalk-Tool, das Ihre Bewertungsergebnisse den relevanten ISO 27001-Kontrollen zuordnet.
- Welche Strafen drohen bei Nichteinhaltung?
- Wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Wichtigen Einrichtungen drohen Bußgelder bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Einzelne Mitgliedstaaten können zusätzliche Sanktionen verhängen.
Fristen & Zeitpläne
- Was ist die Umsetzungsfrist für NIS2?
- Die Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. Einige Länder haben diese Frist eingehalten, andere befinden sich noch im Prozess. Auf unserer NIS2-Statusseite finden Sie den aktuellen Fortschritt nach Ländern.
- Wann muss ich mich bei der zuständigen Behörde registrieren?
- Die Registrierungsfristen variieren je nach Land. In vielen Mitgliedstaaten müssen betroffene Einrichtungen sich innerhalb einer bestimmten Frist nach Inkrafttreten des Umsetzungsgesetzes bei der zuständigen Behörde registrieren. Prüfen Sie den Leitfaden Ihres Landes für Details.
- Wie oft sollte ich meine NIS2-Compliance neu bewerten?
- Wir empfehlen eine Neubewertung mindestens alle 12 Monate oder bei wesentlichen Änderungen in Ihrer Organisation — wie dem Eintritt in einen neuen Markt, einer größeren IT-Transformation, einer Übernahme oder einem Sicherheitsvorfall.
Lieferkette & Drittparteien
- Was verlangt NIS2 für die Lieferkettensicherheit?
- Organisationen müssen Cybersicherheitsrisiken in ihrer gesamten Lieferkette bewerten und steuern, einschließlich direkter Lieferanten und Dienstleister. Dazu gehören vertragliche Sicherheitsanforderungen, Sorgfaltspflichten gegenüber Lieferanten und die Überwachung von Drittparteirisiken.
- Bin ich für die Compliance meiner Lieferanten verantwortlich?
- Sie sind nicht direkt dafür verantwortlich, Ihre Lieferanten NIS2-konform zu machen, aber Sie müssen die Risiken bewerten und steuern, die sie für Ihren Betrieb mit sich bringen. Wenn eine Sicherheitsschwäche eines Lieferanten einen Vorfall verursacht, der Ihre Dienste betrifft, bleiben Sie verantwortlich.
- Betrifft NIS2 Cloud-Dienstleister?
- Ja. Cloud-Computing-Dienstleister sind ausdrücklich als wichtige Einrichtungen unter NIS2 aufgeführt. Wenn Sie auf Cloud-Anbieter angewiesen sind, müssen Sie diese auch als Teil Ihres Lieferketten-Risikomanagements bewerten.
NIS2 Pro Plattform
- Was macht NIS2 Pro?
- NIS2 Pro hilft Organisationen, ihren NIS2-Anwendungsbereich zu bewerten, ihre Cybersicherheitsreife zu evaluieren, Compliance-Berichte zu erstellen, Verbesserungsmaßnahmen zu verfolgen und Neubewertungen über die Zeit zu verwalten. Es wurde speziell für KMU entwickelt, die NIS2-Anforderungen navigieren.
- Ersetzt NIS2 Pro eine Rechtsberatung?
- Nein. NIS2 Pro bietet Orientierung und Werkzeuge zur Unterstützung Ihrer Compliance, stellt aber keine Rechtsberatung dar. Für verbindliche Rechtsauslegungen konsultieren Sie einen qualifizierten Juristen, der mit dem Umsetzungsgesetz Ihrer Jurisdiktion vertraut ist.
- Kann ich mehrere Unternehmen in NIS2 Pro verwalten?
- Ja. NIS2 Pro unterstützt mehrere Unternehmensprofile unter einem einzigen Konto. Dies ist nützlich für Konzernstrukturen, Berater, die Kundenportfolios verwalten, oder Organisationen mit Tochtergesellschaften in verschiedenen Sektoren oder Ländern.
- Welche Berichte kann ich erstellen?
- NIS2 Pro erstellt Scope-Analyseberichte, Reifegrad-Aufschlüsselungen, Verbesserungs-Roadmaps, vorstandstaugliche Zusammenfassungen, Risikoregister, Incident-Response-Kits, ISO 27001-Crosswalk-Berichte und Versionsvergleichsberichte — alles exportierbar als PDF oder DOCX.
- Kann ich Teammitglieder einladen?
- Ja. Sie können Kollegen zur Zusammenarbeit an einem Unternehmensprofil mit rollenbasiertem Zugriff einladen: Admin, Contributor oder Viewer. Teammitglieder erhalten eine E-Mail-Einladung und können auf die gemeinsamen Unternehmensdaten zugreifen, sobald sie diese annehmen.
Preise & Pläne
- Wie ist NIS2 Pro bepreist?
- NIS2 Pro bietet einen einmaligen Scope Check für 10 € und drei Abonnementstufen (Basic, Business, Business Plus) mit monatlicher oder jährlicher Abrechnung. Die Scope-Check-Gebühr wird auf ein Abonnement angerechnet, wenn Sie sich innerhalb von 30 Tagen anmelden. Besuchen Sie die Preisseite für alle Details.
- Was ist in einem Abonnement enthalten?
- Abonnements schalten die vollständige Plattform frei: unbegrenzte Bewertungen, alle Berichtstypen, Verbesserungsverfolgung, Risikoregister, Compliance-Kalender, Teamzusammenarbeit, Neubewertungs-Workflows und Zugang zu allen Länder- und Sektorleitfäden.
- Kann ich mein Abonnement kündigen?
- Ja. Sie können jederzeit über Ihre Kontoseite kündigen. Ihr Zugang bleibt bis zum Ende des aktuellen Abrechnungszeitraums bestehen. Bei einer Kündigung werden keine Daten gelöscht.
DSGVO & Datenschutz
- Wie hängen NIS2 und die DSGVO zusammen?
- NIS2 und die DSGVO sind ergänzende, aber getrennte Verordnungen. Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten, während NIS2 auf die Sicherheit von Netz- und Informationssystemen abzielt. Ein Vorfall kann Pflichten unter beiden auslösen — zum Beispiel erfordert ein Datenleck mit personenbezogenen Daten eine DSGVO-Meldung neben der NIS2-Vorfallmeldung.
- Speichert NIS2 Pro meine Daten sicher?
- Ja. Alle Daten werden in EU-basierter Infrastruktur mit Verschlüsselung im Ruhezustand und bei der Übertragung gespeichert. Der Zugriff wird durch authentifizierte Sitzungen und rollenbasierte Berechtigungen kontrolliert. Wir teilen Ihre Bewertungsdaten nicht mit Dritten.
- Kann ich meine Daten exportieren oder löschen?
- Ja. Sie können alle Ihre Bewertungsdaten und Berichte jederzeit exportieren. Wenn Sie Ihr Konto und alle zugehörigen Daten löschen möchten, kontaktieren Sie unser Support-Team und wir bearbeiten die Anfrage gemäß den DSGVO-Anforderungen.
NIS2-Grundlagen
Anwendungsbereich & Klassifizierung
Compliance-Anforderungen
Fristen & Zeitpläne
Lieferkette & Drittparteien
NIS2 Pro Plattform
Preise & Pläne
DSGVO & Datenschutz
Noch Fragen?
Unser Team hilft Ihnen gerne bei der NIS2-Compliance.