NIS2.

NIS2-Richtlinie:
Die Schonfrist ist abgelaufen.
Geschäftsführer haften ab sofort persönlich

NIS2 ist in Kraft: Handeln Sie jetzt,
bevor die Geschäftsführung haftet

Die neue EU-Cybersicherheitsrichtlinie
(NIS2) kurz erklärt

Für tausende Unternehmen aus 18 Sektoren bedeutet das:

Wer jetzt keine lückenlosen IT-Sicherheitsnachweise und Meldeprozesse vorweisen kann, riskiert Bußgelder von bis zu 10 Millionen Euro (oder 2 % des weltweiten Jahresumsatzes).

Das Gefährlichste daran:
Die Geschäftsführung haftet bei Versäumnissen direkt mit ihrem Privatvermögen. Warten ist keine Option mehr.

Um die europäische Wirtschaft vor der wachsenden Bedrohung durch Cyberangriffe zu schützen, wurde der Geltungsbereich der Cybersicherheitspflichten massiv ausgeweitet. Fiel Ihr Unternehmen bisher nicht unter die strengen KRITIS-Regelungen, könnte sich das genau jetzt geändert haben.

Diese 18 Branchen sind betroffen:

Die Richtlinie unterteilt die betroffenen Wirtschaftszweige in zwei Kategorien – je nach ihrer Bedeutung für die Gesellschaft und Wirtschaft. Wenn Ihr Unternehmen in einen dieser Bereiche fällt und die Größenkriterien (in der Regel ab 50 Mitarbeitende oder 10 Mio. € Jahresumsatz) erfüllt, müssen Sie sofort aktiv werden.

Die 6-Punkte-Checkliste für die Geschäftsführung

1. Betroffenheitsprüfung: Haben Sie rechtssicher geklärt, ob Ihr Unternehmen direkt oder als Zulieferer unter die NIS2-Richtlinie fällt?

2. Risikomanagement: Sind alle geforderten technischen und organisatorischen Maßnahmen (TOMs) nachweisbar dokumentiert?

3. 24h-Meldeprozesse: Ist technisch und personell sichergestellt, dass Cyber-Vorfälle innerhalb von 24 Stunden an das BSI gemeldet werden können?

4. Lieferkettensicherheit: Wurden die Sicherheitsstandards Ihrer Zulieferer und IT-Dienstleister vertraglich geprüft und vertraglich abgesichert?

5. Krisenmanagement: Existiert ein getesteter Notfallplan (Business Continuity Management) zur Aufrechterhaltung des Betriebs nach einem Angriff?

6. Schulungspflicht: Werden alle Mitarbeiter – insbesondere das C-Level – nachweislich und regelmäßig in Cyber-Sicherheit geschult?

Wenn Sie auch nur eine Frage mit "Nein" oder "Vielleicht" beantworten, besteht akutes Haftungsrisiko.
Nutzen Sie unser Formular für eine Ersteinschätzung.

Finden Sie hier ihren kompetenten Partner

Kostenloser Erst-Check: Erfüllt Ihr Unternehmen die NIS2-Vorgaben? Hinterlassen Sie hier Ihre Daten. Wir vermitteln Ihnen umgehend den passenden, zertifizierten IT-Sicherheits-Auditor für Ihre Unternehmensgröße.

Sektoren mit hoher Kritikalität (Besonders wichtige Einrichtungen):

Energie: Strom, Fernwärme, Öl, Gas und Wasserstoff.
Verkehr: Luft-, Schienen-, Wasser- und Straßenverkehr.
Bankwesen: Kreditinstitute.
Finanzmarktinfrastrukturen: Handelsplätze und zentrale Gegenparteien.
Gesundheitswesen: Krankenhäuser, Labore, Pharmaunternehmen und Hersteller von Medizinprodukten.
Trinkwasser: Versorger und Verteiler.
Abwasser: Entsorgung und Aufbereitung.
Digitale Infrastruktur: Rechenzentren, Cloud-Anbieter, Telekommunikation und DNS-Dienste.
IKT-Dienstleistungsmanagement (B2B): Managed Service Provider (MSP) & Managed Security Service Provider (MSSP).
Öffentliche Verwaltung: Behörden auf zentraler und regionaler Ebene.
Weltraum: Betreiber von Bodeninfrastrukturen.

Sonstige kritische Sektoren (Wichtige Einrichtungen):

12. Post- und Kurierdienste: Zustellung und Logistik.

13. Abfallbewirtschaftung: Entsorgungs- und Recyclingunternehmen.

14. Chemie: Produktion, Herstellung und Handel mit chemischen Stoffen.

15. Lebensmittel: Produktion, Verarbeitung und Vertrieb (Großhandel).

16. Verarbeitendes Gewerbe / Herstellung von Waren:
z.B. Maschinenbau, Fahrzeugbau, Elektronik, Optik und Medizintechnik.

17. Anbieter digitaler Dienste: Online-Marktplätze,
Online-Suchmaschinen und soziale Netzwerke.

18. Forschung: Forschungseinrichtungen und Institute.

FAQ´s

1. Gilt die NIS2-Richtlinie überhaupt für mein Unternehmen?

Die Wahrscheinlichkeit ist extrem hoch. Wenn Ihr Unternehmen mehr als 50 Mitarbeiter beschäftigt ODER über 10 Mio. Euro Jahresumsatz macht und in einem von 18 definierten Sektoren arbeitet (z. B. Produktion, Logistik, IT, Lebensmittel, Chemie), fallen Sie unter das Gesetz. Achtung: Auch wenn Sie nur Zulieferer für ein solches Unternehmen sind, werden die Pflichten oft vertraglich auf Sie abgewälzt!

2. Welche Strafen drohen, wenn wir jetzt nichts tun?

Es wird existenziell: Die Bußgelder betragen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Viel gefährlicher für Inhaber und C-Level: Das Gesetz sieht eine direkte persönliche Haftung der Geschäftsführung vor. Bei einem Cyber-Vorfall haften Sie mit Ihrem Privatvermögen, wenn Sie keine ausreichenden Präventionsmaßnahmen nachweisen können.

3. Bis wann müssen die Anforderungen umgesetzt sein?

Die offizielle EU-Frist ist am 17. Oktober 2024 abgelaufen. Das bedeutet: Es gibt keine Schonfrist mehr. Sie befinden sich bei Nicht-Umsetzung bereits jetzt in einer haftbaren Grauzone. Aufsichtsbehörden haben das Recht, jederzeit Audits und Nachweise von Ihnen zu fordern.

4. Was ist jetzt der erste und wichtigste Schritt für uns?

Vermeiden Sie blinden Aktionismus. Der erste rechtssichere Schritt ist eine Gap-Analyse (NIS2-Audit). Dabei wird geprüft, wo Ihre IT-Sicherheit aktuell steht und welche exakten Maßnahmen das Gesetz noch von Ihnen verlangt. Nutzen Sie unser Formular oben, um unverbindlich den passenden Auditor für Ihre Unternehmensgröße zu finden.

Sind Sie betroffen? Die 3 harten Fakten:

Wer: Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in kritischen Sektoren
(z.B. Produktion, Logistik, IT, Gesundheit).
Was: Zwingendes Risikomanagement, Lieferkettensicherheit und 24h-Meldepflicht bei Vorfällen.
Lösung: Ein sofortiges NIS2-Audit (Gap-Analyse) zur Feststellung der rechtlichen und technischen Lücken.

Page updated

Google Sites

Report abuse