Die NIS2-Richtlinie ist rechtsverbindlich. Unternehmen in Österreich und Deutschland müssen handeln.
TOMORIS unterstützt Sie dabei, die Anforderungen effizient umzusetzen – von der Betroffenheitsanalyse über die Gap-Analyse bis hin zu Implementierung und Audit.
Die NIS2-Richtlinie ist seit Januar 2023 in Kraft und bildet den neuen europäischen Standard für Cybersicherheit. Ziel ist es, kritische Infrastrukturen, digitale Dienste und Lieferketten besser vor Cyberangriffen zu schützen.
Im Vergleich zur Vorgängerversion (NIS1) erweitert NIS2 den Kreis der betroffenen Unternehmen, verschärft die Anforderungen und sieht deutlich höhere Sanktionen vor.
Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen.
Hinzu kommt die Lieferkettenregelung: Auch kleinere Unternehmen können indirekt verpflichtet sein, wenn sie als Zulieferer oder Dienstleister für betroffene Organisationen tätig sind.
NIS2 ersetzt die bisherige NIS1 und verschärft die Anforderungen deutlich
Mit dem TOMORIS NIS2 Check Tool prüfen Sie in wenigen Minuten, ob Ihr Unternehmen betroffen ist.
Die NIS2-Richtlinie gilt für eine breite Palette von Unternehmen und Organisationen, die als „wesentliche Einrichtungen“ oder „wichtige Einrichtungen“ eingestuft werden.
Wesentliche Einrichtungen sind Unternehmen, die in Sektoren mit hohem Risikopotenzial tätig sind, wie z. B. Energieversorgung, Verkehr, Gesundheitswesen und Finanzwesen.
Wichtige Einrichtungen sind Unternehmen, die zwar nicht in kritischen Sektoren tätig sind, aber dennoch eine wichtige Rolle für die Gesellschaft spielen, wie z. B. Anbieter von digitalen Diensten, Forschungseinrichtungen und öffentliche Verwaltungen.
Ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist, hängt von verschiedenen Faktoren ab, wie z. B. der Größe Ihres Unternehmens, dem Sektor, in dem Sie tätig sind, und der Art der von Ihnen angebotenen Dienstleistungen. NIS2 prüfen lassen
Artikel 21 der Richtlinie sieht zehn Mindestmaßnahmen vor. Unternehmen müssen ein wirksames Risikomanagement etablieren und folgende Punkte abdecken:
Unternehmen müssen ein Risikomanagement-System etablieren, um Cyberrisiken zu identifizieren, zu bewerten und zu minimieren. Dazu gehören regelmäßige Risikoanalysen, die Implementierung von Sicherheitskontrollen und die Erstellung von Notfallplänen.
Es müssen Prozesse eingeführt werden, um Sicherheitsvorfälle rechtzeitig zu verhindern, zu erkennen und zu behandeln. Dazu zählen technische und organisatorische Maßnahmen, die Schulung von Mitarbeitern und klare Abläufe zur Reaktion und Eskalation.
Unternehmen müssen Notfallpläne, Backup-Strategien und Wiederanlaufverfahren entwickeln, um den Geschäftsbetrieb auch bei Angriffen oder Ausfällen sicherzustellen.
Die Sicherheit von Dienstleistern und Zulieferern muss überprüft und in Verträge integriert werden. Externe Partner sind in die Sicherheitsstrategie einzubeziehen.
Systeme, Netzwerke und Anwendungen sind nach anerkannten Sicherheitsstandards zu entwickeln, regelmäßig zu aktualisieren und sicher zu warten.
Alle getroffenen Sicherheitsmaßnahmen müssen regelmäßig getestet, bewertet und verbessert werden. Dazu gehören interne Audits und Penetrationstests.
Mitarbeiter müssen regelmäßig im sicheren Umgang mit IT-Systemen geschult werden. Sensibilisierung ist Pflicht, um menschliche Fehler als Hauptrisikoquelle zu reduzieren.
Unternehmen sind verpflichtet, vertrauliche Daten mit modernen Verschlüsselungsverfahren zu schützen und sichere Kommunikationskanäle zu nutzen.
Der Zugriff auf Systeme und Daten darf nur autorisierten Personen möglich sein. Rollen- und Rechtemanagement ist verpflichtend.
Unternehmen müssen MFA für kritische Systeme einsetzen und sichere Kommunikationsverfahren gewährleisten.
Die Richtlinie schreibt strenge Fristen für Vorfallsmeldungen vor:
24 Stunden: Erstmeldung an die zuständige Behörde
72 Stunden: Folgemeldung mit Bewertung des Vorfalls
30 Tage: Abschlussbericht mit Ursachenanalyse und Maßnahmen
Die Geschäftsführung trägt dafür direkte Verantwortung. Leitungsorgane müssen die Umsetzung aktiv überwachen. Bei Verstößen drohen hohe Geldbußen, persönliche Haftung und im schlimmsten Fall Führungsverbote.
Österreich: Der Entwurf für ein neues NISG wurde verschoben. Ein Inkrafttreten des NISG 2026 ist für 1. Januar 2026 geplant.
Deutschland: Das NIS2UmsuCG wird voraussichtlich Ende 2025 verabschiedet.
Wichtig: Verzögerungen bei der Gesetzgebung bedeuten keine Gnadenfrist. Mit Inkrafttreten gelten die Pflichten sofort und vollumfänglich.
NIS2 ist nicht nur regulatorische Pflicht, sondern auch Chance:
Rechtssicherheit: Schutz vor Bußgeldern und rechtlichen Risiken
Vertrauen: Signal an Kunden und Partner, dass höchste Standards eingehalten werden
Business Continuity: Sicherheit für den laufenden Betrieb
Marktvorteil: Vorteil in Ausschreibungen und Lieferketten
NIS2 ist nicht nur regulatorische Pflicht, sondern auch Chance:
Rechtssicherheit: Schutz vor Bußgeldern und rechtlichen Risiken
Vertrauen: Signal an Kunden und Partner, dass höchste Standards eingehalten werden
Business Continuity: Sicherheit für den laufenden Betrieb
Marktvorteil: Vorteil in Ausschreibungen und Lieferketten
Vereinbaren Sie Ihr Strategiegespräch mit TOMORIS und sichern Sie NIS2-Compliance für Ihr Unternehmen.
Das TOMORIS NIS2 Check Tool zeigt Ihnen schnell und unkompliziert, ob Ihr Unternehmen unter die Richtlinie fällt und welche nächsten Schritte sinnvoll sind.
Ja, wenn Ihr Unternehmen die Größenkriterien erfüllt oder in kritischen Lieferketten aktiv ist.
Nein. Sobald das nationale Gesetz in Kraft tritt, gelten die Pflichten sofort.
Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
Mit klarer Roadmap, technischer Exzellenz und rechtssicherer Dokumentation.
