Die NIS2-Richtlinie ist rechtsverbindlich. Unternehmen in Österreich und Deutschland müssen handeln.
TOMORIS unterstützt Sie dabei, die Anforderungen effizient umzusetzen – von der Betroffenheitsanalyse über die Gap-Analyse bis hin zu Implementierung und Audit.
Die NIS2-Richtlinie ist seit Januar 2023 in Kraft und bildet den neuen europäischen Standard für Cybersicherheit. Ziel ist es, kritische Infrastrukturen, digitale Dienste und Lieferketten besser vor Cyberangriffen zu schützen.
Im Vergleich zur Vorgängerversion (NIS1) erweitert NIS2 den Kreis der betroffenen Unternehmen, verschärft die Anforderungen und sieht deutlich höhere Sanktionen vor.
Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen.
Hinzu kommt die Lieferkettenregelung: Auch kleinere Unternehmen können indirekt verpflichtet sein, wenn sie als Zulieferer oder Dienstleister für betroffene Organisationen tätig sind.
NIS2 ersetzt die bisherige NIS1 und verschärft die Anforderungen deutlich
Mit dem TOMORIS NIS2 Check Tool prüfen Sie in wenigen Minuten, ob Ihr Unternehmen betroffen ist.
Die NIS2-Richtlinie gilt für eine breite Palette von Unternehmen und Organisationen, die als „wesentliche Einrichtungen“ oder „wichtige Einrichtungen“ eingestuft werden.
Wesentliche Einrichtungen sind Unternehmen, die in Sektoren mit hohem Risikopotenzial tätig sind, wie z. B. Energieversorgung, Verkehr, Gesundheitswesen und Finanzwesen.
Wichtige Einrichtungen sind Unternehmen, die zwar nicht in kritischen Sektoren tätig sind, aber dennoch eine wichtige Rolle für die Gesellschaft spielen, wie z. B. Anbieter von digitalen Diensten, Forschungseinrichtungen und öffentliche Verwaltungen.
Ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist, hängt von verschiedenen Faktoren ab, wie z. B. der Größe Ihres Unternehmens, dem Sektor, in dem Sie tätig sind, und der Art der von Ihnen angebotenen Dienstleistungen. NIS2 prüfen lassen
Artikel 21 der Richtlinie sieht zehn Mindestmaßnahmen vor. Unternehmen müssen ein wirksames Risikomanagement etablieren und folgende Punkte abdecken:
Unternehmen müssen ein Risikomanagement-System etablieren, um Cyberrisiken zu identifizieren, zu bewerten und zu minimieren. Dazu gehören regelmäßige Risikoanalysen, die Implementierung von Sicherheitskontrollen und die Erstellung von Notfallplänen.
Es müssen Prozesse eingeführt werden, um Sicherheitsvorfälle rechtzeitig zu verhindern, zu erkennen und zu behandeln. Dazu zählen technische und organisatorische Maßnahmen, die Schulung von Mitarbeitern und klare Abläufe zur Reaktion und Eskalation.
Unternehmen müssen Notfallpläne, Backup-Strategien und Wiederanlaufverfahren entwickeln, um den Geschäftsbetrieb auch bei Angriffen oder Ausfällen sicherzustellen.
Die Sicherheit von Dienstleistern und Zulieferern muss überprüft und in Verträge integriert werden. Externe Partner sind in die Sicherheitsstrategie einzubeziehen.
Systeme, Netzwerke und Anwendungen sind nach anerkannten Sicherheitsstandards zu entwickeln, regelmäßig zu aktualisieren und sicher zu warten.
Alle getroffenen Sicherheitsmaßnahmen müssen regelmäßig getestet, bewertet und verbessert werden. Dazu gehören interne Audits und Penetrationstests.
Mitarbeiter müssen regelmäßig im sicheren Umgang mit IT-Systemen geschult werden. Sensibilisierung ist Pflicht, um menschliche Fehler als Hauptrisikoquelle zu reduzieren.
Unternehmen sind verpflichtet, vertrauliche Daten mit modernen Verschlüsselungsverfahren zu schützen und sichere Kommunikationskanäle zu nutzen.
Der Zugriff auf Systeme und Daten darf nur autorisierten Personen möglich sein. Rollen- und Rechtemanagement ist verpflichtend.
Unternehmen müssen MFA für kritische Systeme einsetzen und sichere Kommunikationsverfahren gewährleisten.
Die Richtlinie schreibt strenge Fristen für Vorfallsmeldungen vor:
24 Stunden: Erstmeldung an die zuständige Behörde
72 Stunden: Folgemeldung mit Bewertung des Vorfalls
30 Tage: Abschlussbericht mit Ursachenanalyse und Maßnahmen
Die Geschäftsführung trägt dafür direkte Verantwortung. Leitungsorgane müssen die Umsetzung aktiv überwachen. Bei Verstößen drohen hohe Geldbußen, persönliche Haftung und im schlimmsten Fall Führungsverbote.
Österreich: Der Entwurf für ein neues NISG wurde verschoben. Ein Inkrafttreten des NISG 2026 ist für 1. Januar 2026 geplant.
Deutschland: Das NIS2UmsuCG wird voraussichtlich Ende 2025 verabschiedet.
Wichtig: Verzögerungen bei der Gesetzgebung bedeuten keine Gnadenfrist. Mit Inkrafttreten gelten die Pflichten sofort und vollumfänglich.
NIS2 ist nicht nur regulatorische Pflicht, sondern auch Chance:
Rechtssicherheit: Schutz vor Bußgeldern und rechtlichen Risiken
Vertrauen: Signal an Kunden und Partner, dass höchste Standards eingehalten werden
Business Continuity: Sicherheit für den laufenden Betrieb
Marktvorteil: Vorteil in Ausschreibungen und Lieferketten
NIS2 ist nicht nur regulatorische Pflicht, sondern auch Chance:
Rechtssicherheit: Schutz vor Bußgeldern und rechtlichen Risiken
Vertrauen: Signal an Kunden und Partner, dass höchste Standards eingehalten werden
Business Continuity: Sicherheit für den laufenden Betrieb
Marktvorteil: Vorteil in Ausschreibungen und Lieferketten
Vereinbaren Sie Ihr Strategiegespräch mit TOMORIS und sichern Sie NIS2-Compliance für Ihr Unternehmen.
Das TOMORIS NIS2 Check Tool zeigt Ihnen schnell und unkompliziert, ob Ihr Unternehmen unter die Richtlinie fällt und welche nächsten Schritte sinnvoll sind.
NIS2 betrifft mittlere und große Unternehmen (ab 50 Mitarbeiter oder 10 Mio. Euro Umsatz) in 18 Sektoren: Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur und viele weitere. In Deutschland sind etwa 30.000, in Österreich 4.000 Unternehmen betroffen. Auch kleinere Unternehmen können betroffen sein, wenn sie alleinige Anbieter kritischer Dienste sind. Unser kostenloser NIS2-Check gibt Ihnen in wenigen Minuten Klarheit über Ihre Betroffenheit.
Wesentliche Einrichtungen sind große Unternehmen (250+ Mitarbeiter, 50+ Mio. Euro Umsatz) in kritischen Sektoren. Wichtige Einrichtungen sind mittlere Unternehmen oder solche in weniger kritischen Sektoren. Unterschiede bestehen bei Sanktionen (10 vs. 7 Mio. Euro), Registrierungspflicht und Aufsichtsintensität. In unserer Erstberatung klären wir Ihre Einstufung und die daraus resultierenden spezifischen Pflichten.
Die Kosten variieren stark nach Ausgangslage. Unternehmen ohne Vorkenntnisse benötigen etwa 22% höhere Cybersecurity-Budgets. Typisch sind: Beratung (30.000-150.000€), technische Maßnahmen (50.000-500.000€), Personal (2-5 FTE) und laufende Kosten (10-20% p.a.). Investitionen in ISO 27001 reduzieren Zusatzkosten erheblich. Unsere Gap-Analyse zeigt Ihnen präzise den tatsächlichen Aufwand - oft ist weniger nötig als befürchtet.
Prüfen Sie Unternehmensgröße, Branchenzugehörigkeit zu den 18 NIS2-Sektoren und Kritikalität Ihrer Dienste. Der TOMORIS NIS2-Check analysiert systematisch alle Kriterien und liefert eine rechtssichere Einschätzung mit konkreten Handlungsempfehlungen. Bei Grenzfällen oder komplexen Konzernstrukturen bietet unsere Detailprüfung absolute Klarheit - inklusive Dokumentation für Ihre Compliance-Unterlagen.
NIS2 zu ignorieren hat schwerwiegende Folgen: Bußgelder bis 10 Mio. Euro, persönliche Managerhaftung, mögliche Tätigkeitsverbote, Reputationsschäden, Ausschluss von öffentlichen Aufträgen und Versicherungsprobleme. Behörden können Betriebseinschränkungen verhängen. Aber NIS2 ist auch eine Chance: Mit unserer strukturierten Herangehensweise verbessern Sie nicht nur Compliance, sondern stärken nachhaltig Ihre Cyber-Resilienz und Wettbewerbsfähigkeit.