einfachISO

Betrifft NIS-2 Ihr Unternehmen? Finden Sie es in 2 Minuten heraus.

Tausende Unternehmen in Deutschland sind erstmals von der NIS-2-Richtlinie betroffen — viele wissen es noch nicht. Auch Zulieferer in der Lieferkette können in den Geltungsbereich fallen.

Prüfen Sie Ihre Betroffenheit mit unserem kostenlosen Schnellcheck und erfahren Sie, welche Maßnahmen Sie jetzt ergreifen müssen.

Jetzt Betroffenheit prüfen
Team bespricht NIS-2-Umsetzungsstrategie im Büro

Was ist NIS-2?

NIS-2 ist eine EU-Richtlinie, die Mindestanforderungen an die Cybersicherheit für Unternehmen und Einrichtungen in kritischen und wichtigen Sektoren festlegt. Sie löst die ursprüngliche NIS-Richtlinie ab und erweitert den Anwendungsbereich drastisch.

In Deutschland wird NIS-2 durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Unternehmen müssen Risikomanagement-Maßnahmen umsetzen, Vorfälle melden und die persönliche Haftung der Geschäftsleitung beachten.

Wer ist betroffen?

NIS-2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Die Betroffenheit hängt von Sektor und Unternehmensgröße ab:

🏭

Wesentliche Einrichtungen

Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt — ab 50 Mitarbeitern oder 10 Mio. € Umsatz.

🏢

Wichtige Einrichtungen

Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung — ab 50 Mitarbeitern oder 10 Mio. € Umsatz.

Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer in der Lieferkette einer wesentlichen Einrichtung agieren.

Jetzt schnell prüfen:

Prüfen Sie in wenigen Schritten, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist und welche Maßnahmen erforderlich sind.

Was ist NIS-2?

Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cybersicherheit. Sie verpflichtet Unternehmen bestimmter Sektoren und Größen zu umfassenden Sicherheitsmaßnahmen.

18
Sektoren
~30.000
Betroffene in DE
2025
Gültig seit

Hinweis: Diese NIS-2-Betroffenheitsprüfung von einfachiso.de dient lediglich als Orientierungshilfe. Das Ergebnis ist rechtlich nicht bindend. Alle Antworten werden automatisiert erstellt und nicht von einfachiso.de oder anderen unabhängigen Stellen geprüft. Von daher ersetzt sie nicht die Prüfung zur Selbst-Identifizierung und hat für eventuelle Verfahren keine Indizwirkung.

NIS-2-Anforderungen

Die Richtlinie definiert zehn Mindestmaßnahmen, die betroffene Unternehmen umsetzen müssen:

⚖️

Risikomanagement

Systematische Risikoanalyse und Umsetzung angemessener technischer und organisatorischer Maßnahmen.

🚨

Vorfallmeldung

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden — mit Folgemeldung in 72 Stunden.

🔗

Lieferkettensicherheit

Sicherheitsanforderungen an Lieferanten und Dienstleister müssen vertraglich festgelegt und überwacht werden.

👔

Geschäftsleitungshaftung

Die Geschäftsleitung haftet persönlich für die Einhaltung der Cybersicherheitsmaßnahmen und muss Schulungen absolvieren.

Wie einfachISO Ihnen hilft

Wir unterstützen Sie in vier Schritten auf dem Weg zur NIS-2-Konformität.

1

Betroffenheitscheck

Wir prüfen, ob und in welchem Umfang Ihr Unternehmen unter NIS-2 fällt und welche Anforderungen für Sie gelten.

2

Gap-Analyse

Wir bewerten Ihren aktuellen Stand anhand der NIS-2-Anforderungen und erstellen einen konkreten Maßnahmenplan.

3

Maßnahmenumsetzung

Gemeinsam setzen wir die technischen und organisatorischen Maßnahmen um — von Risikomanagement bis Incident Response.

4

Nachweisführung

Wir helfen Ihnen, die geforderte Dokumentation und Nachweise für Behörden und Audits aufzubauen.

Häufige Fragen zu NIS-2

Was ist NIS-2 einfach erklärt?
NIS-2 ist die EU-Cybersicherheitsrichtlinie, die den Anwendungsbereich gegenüber NIS-1 deutlich erweitert, die Anforderungen verschärft und neue Pflichten für betroffene Unternehmen einführt — insbesondere zu Risikomanagement, Vorfallsmeldung und Verantwortung der Geschäftsleitung.

Mehr dazu im Blog: „Was ist NIS-2? Einfach erklärt für Unternehmen“

Gilt NIS-2 in Deutschland schon?
Ja. Das deutsche NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Wer betroffen ist, sollte heute nicht mehr in der Vorbereitungs-, sondern in der Umsetzungs- und Nachweisphase sein.

Mehr dazu im Blog: „NIS-2 einfach ignorieren? Warum das keine gute Idee ist“

Wen betrifft NIS-2?
Betroffen sind Unternehmen aus 18 definierten Sektoren — von Energie, Verkehr und Gesundheit bis zu digitaler Infrastruktur, Post und Lebensmittelversorgung. In Deutschland unterscheidet das BSI zwischen "wichtigen" und "besonders wichtigen" Einrichtungen, abhängig von Sektor, Mitarbeiterzahl und Umsatz. Auch Zulieferer in der Lieferkette können in den Geltungsbereich fallen.

Mehr dazu im Blog: „NIS-2-konform werden? Ein praktischer Weg für Unternehmen“

Was müssen betroffene Unternehmen tun?
Drei Kernpflichten: Registrierung beim BSI, Umsetzung und Dokumentation angemessener Risikomanagementmaßnahmen nach Artikel 21 (technisch und organisatorisch, "All-Gefahren-Ansatz") sowie fristgerechte Meldung erheblicher Sicherheitsvorfälle an das BSI.

Mehr dazu im Blog: „NIS-2-konform werden? Ein praktischer Weg für Unternehmen“

Wie schnell muss ein Sicherheitsvorfall gemeldet werden?
Die Erstmeldung muss innerhalb von 24 Stunden nach Kenntniserlangung erfolgen, eine vertiefte Bewertung innerhalb von 72 Stunden, ein Abschlussbericht spätestens nach einem Monat. Voraussetzung sind belastbare Detektions- und Kommunikationswege — die werden im Ernstfall nicht improvisiert.

Mehr dazu im Blog: „NIS-2 Incident-Management: Was Unternehmen brauchen“

Ist NIS-2 nur ein IT-Thema?
Nein. NIS-2 verlangt einen All-Gefahren-Ansatz, der auch organisatorische, personelle, physische und lieferkettenbezogene Risiken einschließt — also auch Cloud-Ausfälle, Stromausfall, Brand, Lieferantenausfall oder interne Fehlhandlungen. Die Verantwortung für Umsetzung und Überwachung liegt ausdrücklich bei der Geschäftsleitung, nicht in der IT-Abteilung.

Mehr dazu im Blog: „NIS-2: All-Gefahren-Ansatz? – Was müssen Sie tun“

Müssen wir auch unsere Lieferanten absichern?
Ja. NIS-2 nennt die Sicherheit der Lieferkette ausdrücklich als Teil der Risikomanagementmaßnahmen. Das bedeutet vertragliche Sicherheitsanforderungen, Meldepflichten bei Vorfällen, abgestufte Tiefe je nach Kritikalität des Lieferanten und ein laufendes Lieferantenmanagement — keine einmalige Prüfung.

Mehr dazu im Blog: „NIS-2 und Lieferanten: Risiken vermeiden“

Welche Sanktionen drohen bei Verstößen?
Die EU-Richtlinie verlangt von den Mitgliedstaaten wirksame Sanktionen. Für besonders wichtige Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vorgesehen, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 %. Hinzu kommen persönliche Haftungsrisiken für die Geschäftsleitung.

NIS-2 betrifft Ihr Unternehmen?

Besprechen Sie in einem kostenlosen Strategiegespräch, ob Sie betroffen sind und welche Maßnahmen Sie jetzt ergreifen sollten.

Betroffenheit prüfen

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.