Question 1

Was ist die NIS2-Richtlinie?

Accepted Answer

NIS2 (Netz- und Informationssicherheitsrichtlinie 2) ist eine EU-weite Cybersicherheitsverordnung, die grundlegende Sicherheits- und Meldepflichten für Organisationen in kritischen und wichtigen Sektoren festlegt. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016.

Question 2

Wann ist NIS2 in Kraft getreten?

Accepted Answer

Die Richtlinie trat am 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Die Durchsetzungsfristen variieren je nach Land.

Question 3

Welche Sektoren deckt NIS2 ab?

Accepted Answer

NIS2 umfasst 18 Sektoren in zwei Gruppen. Wesentliche Sektoren sind Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum. Wichtige Sektoren umfassen Post, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, Digitalanbieter und Forschung.

Question 4

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?

Accepted Answer

Wesentliche Einrichtungen unterliegen strengeren Aufsichtsanforderungen, einschließlich proaktiver Prüfungen und Inspektionen. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht, die in der Regel durch Hinweise auf Nichteinhaltung ausgelöst wird. Beide müssen dieselben grundlegenden Sicherheitspflichten erfüllen.

Question 5

Gilt NIS2 auch für Unternehmen außerhalb der EU?

Accepted Answer

Ja. Wenn Ihre Organisation Dienstleistungen innerhalb der EU erbringt — auch wenn der Hauptsitz außerhalb liegt — kann NIS2 gelten. Nicht-EU-Unternehmen müssen einen Vertreter in einem der Mitgliedstaaten benennen, in denen sie tätig sind.

Question 6

Wie erkenne ich, ob meine Organisation betroffen ist?

Accepted Answer

NIS2 gilt für mittlere und große Organisationen in den 18 abgedeckten Sektoren. Die allgemeinen Schwellenwerte sind 50+ Mitarbeiter oder 10 Mio. €+ Jahresumsatz. Einige Einrichtungstypen — wie DNS-Anbieter und Vertrauensdiensteanbieter — fallen unabhängig von der Größe in den Anwendungsbereich.

Question 7

Was macht der Scope Check von NIS2 Pro?

Accepted Answer

Unser Scope Check stellt gezielte Fragen zu Ihrem Sektor, Ihrer Größe, Ihren Betriebsabläufen und digitalen Abhängigkeiten, um festzustellen, ob NIS2 wahrscheinlich auf Ihre Organisation zutrifft und ob Sie als wesentlich oder wichtig eingestuft würden.

Question 8

Kann ein kleines Unternehmen unter NIS2 fallen?

Accepted Answer

Grundsätzlich sind Organisationen unterhalb der Größenschwellen ausgenommen. Bestimmte Kategorien fallen jedoch unabhängig von der Größe in den Anwendungsbereich — zum Beispiel Anbieter von DNS-Diensten, TLD-Register, Vertrauensdiensteanbieter und von einem Mitgliedstaat als kritisch eingestufte Einrichtungen.

Question 9

Was gilt, wenn ich in mehreren EU-Ländern tätig bin?

Accepted Answer

Sie können den nationalen Umsetzungsgesetzen jedes Mitgliedstaats unterliegen, in dem Sie tätig sind. NIS2 führt für bestimmte digitale Einrichtungen ein Modell der Hauptzuständigkeit ein, aber die meisten Organisationen müssen die spezifischen Anforderungen jedes Landes erfüllen.

Question 10

Was sind die wichtigsten Compliance-Pflichten unter NIS2?

Accepted Answer

NIS2 verlangt von Organisationen die Umsetzung risikobasierter Cybersicherheitsmaßnahmen, den Aufbau von Fähigkeiten zur Erkennung und Reaktion auf Vorfälle, die Gewährleistung der Lieferkettensicherheit, die Durchführung regelmäßiger Risikobewertungen und die Schulung von Mitarbeitern. Leitungsorgane müssen diese Maßnahmen genehmigen und überwachen.

Question 11

Welche Meldepflichten gibt es bei Vorfällen?

Accepted Answer

Signifikante Vorfälle müssen der zuständigen Behörde in drei Stufen gemeldet werden: eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Die Definition von „signifikant“ hängt von Faktoren wie dem Umfang der Dienststörung und der Datenauswirkung ab.

Question 12

Haftet die Geschäftsführung persönlich unter NIS2?

Accepted Answer

Ja. NIS2 führt eine persönliche Verantwortlichkeit für die Geschäftsführung ein. Vorstandsmitglieder und Führungskräfte können für die Nichteinhaltung haftbar gemacht werden, und Mitgliedstaaten können bei wiederholten Verstößen vorübergehende Managementverbote verhängen.

Question 13

Brauche ich ISO 27001 für die NIS2-Compliance?

Accepted Answer

ISO 27001 ist nicht vorgeschrieben, bietet aber eine solide Grundlage. Viele NIS2-Anforderungen überschneiden sich mit ISO 27001-Kontrollen. NIS2 Pro enthält ein Crosswalk-Tool, das Ihre Bewertungsergebnisse den relevanten ISO 27001-Kontrollen zuordnet.

Question 14

Welche Strafen drohen bei Nichteinhaltung?

Accepted Answer

Wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Wichtigen Einrichtungen drohen Bußgelder bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Einzelne Mitgliedstaaten können zusätzliche Sanktionen verhängen.

Question 15

Was ist die Umsetzungsfrist für NIS2?

Accepted Answer

Die Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. Einige Länder haben diese Frist eingehalten, andere befinden sich noch im Prozess. Auf unserer NIS2-Statusseite finden Sie den aktuellen Fortschritt nach Ländern.

Question 16

Wann muss ich mich bei der zuständigen Behörde registrieren?

Accepted Answer

Die Registrierungsfristen variieren je nach Land. In vielen Mitgliedstaaten müssen betroffene Einrichtungen sich innerhalb einer bestimmten Frist nach Inkrafttreten des Umsetzungsgesetzes bei der zuständigen Behörde registrieren. Prüfen Sie den Leitfaden Ihres Landes für Details.

Question 17

Wie oft sollte ich meine NIS2-Compliance neu bewerten?

Accepted Answer

Wir empfehlen eine Neubewertung mindestens alle 12 Monate oder bei wesentlichen Änderungen in Ihrer Organisation — wie dem Eintritt in einen neuen Markt, einer größeren IT-Transformation, einer Übernahme oder einem Sicherheitsvorfall.

Question 18

Was verlangt NIS2 für die Lieferkettensicherheit?

Accepted Answer

Organisationen müssen Cybersicherheitsrisiken in ihrer gesamten Lieferkette bewerten und steuern, einschließlich direkter Lieferanten und Dienstleister. Dazu gehören vertragliche Sicherheitsanforderungen, Sorgfaltspflichten gegenüber Lieferanten und die Überwachung von Drittparteirisiken.

Question 19

Bin ich für die Compliance meiner Lieferanten verantwortlich?

Accepted Answer

Sie sind nicht direkt dafür verantwortlich, Ihre Lieferanten NIS2-konform zu machen, aber Sie müssen die Risiken bewerten und steuern, die sie für Ihren Betrieb mit sich bringen. Wenn eine Sicherheitsschwäche eines Lieferanten einen Vorfall verursacht, der Ihre Dienste betrifft, bleiben Sie verantwortlich.

Question 20

Betrifft NIS2 Cloud-Dienstleister?

Accepted Answer

Ja. Cloud-Computing-Dienstleister sind ausdrücklich als wichtige Einrichtungen unter NIS2 aufgeführt. Wenn Sie auf Cloud-Anbieter angewiesen sind, müssen Sie diese auch als Teil Ihres Lieferketten-Risikomanagements bewerten.

Question 21

Was macht NIS2 Pro?

Accepted Answer

NIS2 Pro hilft Organisationen, ihren NIS2-Anwendungsbereich zu bewerten, ihre Cybersicherheitsreife zu evaluieren, Compliance-Berichte zu erstellen, Verbesserungsmaßnahmen zu verfolgen und Neubewertungen über die Zeit zu verwalten. Es wurde speziell für KMU entwickelt, die NIS2-Anforderungen navigieren.

Question 22

Ersetzt NIS2 Pro eine Rechtsberatung?

Accepted Answer

Nein. NIS2 Pro bietet Orientierung und Werkzeuge zur Unterstützung Ihrer Compliance, stellt aber keine Rechtsberatung dar. Für verbindliche Rechtsauslegungen konsultieren Sie einen qualifizierten Juristen, der mit dem Umsetzungsgesetz Ihrer Jurisdiktion vertraut ist.

Question 23

Kann ich mehrere Unternehmen in NIS2 Pro verwalten?

Accepted Answer

Ja. NIS2 Pro unterstützt mehrere Unternehmensprofile unter einem einzigen Konto. Dies ist nützlich für Konzernstrukturen, Berater, die Kundenportfolios verwalten, oder Organisationen mit Tochtergesellschaften in verschiedenen Sektoren oder Ländern.

Question 24

Welche Berichte kann ich erstellen?

Accepted Answer

NIS2 Pro erstellt Scope-Analyseberichte, Reifegrad-Aufschlüsselungen, Verbesserungs-Roadmaps, vorstandstaugliche Zusammenfassungen, Risikoregister, Incident-Response-Kits, ISO 27001-Crosswalk-Berichte und Versionsvergleichsberichte — alles exportierbar als PDF oder DOCX.

Question 25

Kann ich Teammitglieder einladen?

Accepted Answer

Ja. Sie können Kollegen zur Zusammenarbeit an einem Unternehmensprofil mit rollenbasiertem Zugriff einladen: Admin, Contributor oder Viewer. Teammitglieder erhalten eine E-Mail-Einladung und können auf die gemeinsamen Unternehmensdaten zugreifen, sobald sie diese annehmen.

Question 26

Wie ist NIS2 Pro bepreist?

Accepted Answer

NIS2 Pro bietet einen einmaligen Scope Check für 10 € und drei Abonnementstufen (Basic, Business, Business Plus) mit monatlicher oder jährlicher Abrechnung. Die Scope-Check-Gebühr wird auf ein Abonnement angerechnet, wenn Sie sich innerhalb von 30 Tagen anmelden. Besuchen Sie die Preisseite für alle Details.

Question 27

Was ist in einem Abonnement enthalten?

Accepted Answer

Abonnements schalten die vollständige Plattform frei: unbegrenzte Bewertungen, alle Berichtstypen, Verbesserungsverfolgung, Risikoregister, Compliance-Kalender, Teamzusammenarbeit, Neubewertungs-Workflows und Zugang zu allen Länder- und Sektorleitfäden.

Question 28

Kann ich mein Abonnement kündigen?

Accepted Answer

Ja. Sie können jederzeit über Ihre Kontoseite kündigen. Ihr Zugang bleibt bis zum Ende des aktuellen Abrechnungszeitraums bestehen. Bei einer Kündigung werden keine Daten gelöscht.

Question 29

Wie hängen NIS2 und die DSGVO zusammen?

Accepted Answer

NIS2 und die DSGVO sind ergänzende, aber getrennte Verordnungen. Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten, während NIS2 auf die Sicherheit von Netz- und Informationssystemen abzielt. Ein Vorfall kann Pflichten unter beiden auslösen — zum Beispiel erfordert ein Datenleck mit personenbezogenen Daten eine DSGVO-Meldung neben der NIS2-Vorfallmeldung.

Question 30

Speichert NIS2 Pro meine Daten sicher?

Accepted Answer

Ja. Alle Daten werden in EU-basierter Infrastruktur mit Verschlüsselung im Ruhezustand und bei der Übertragung gespeichert. Der Zugriff wird durch authentifizierte Sitzungen und rollenbasierte Berechtigungen kontrolliert. Wir teilen Ihre Bewertungsdaten nicht mit Dritten.

Question 31

Kann ich meine Daten exportieren oder löschen?

Accepted Answer

Ja. Sie können alle Ihre Bewertungsdaten und Berichte jederzeit exportieren. Wenn Sie Ihr Konto und alle zugehörigen Daten löschen möchten, kontaktieren Sie unser Support-Team und wir bearbeiten die Anfrage gemäß den DSGVO-Anforderungen.

Häufig gestellte Fragen

NIS2-Grundlagen

Anwendungsbereich & Klassifizierung

Compliance-Anforderungen

Fristen & Zeitpläne

Lieferkette & Drittparteien

NIS2 Pro Plattform

Preise & Pläne

DSGVO & Datenschutz

Noch Fragen?