NIS2 ist die EU-Richtlinie (EU) 2022/2555 zur Netz- und Informationssicherheit, die die ursprüngliche NIS-Richtlinie ablöst und den Kreis der betroffenen Unternehmen deutlich erweitert. Die Vorbereitung auf NIS2 ist kein einmaliges IT-Projekt, sondern der Aufbau eines belastbaren Risikomanagements mit klaren Verantwortlichkeiten, Meldeprozessen und Nachweisen. Der Einstieg gelingt am besten in einer logischen Reihenfolge: erst Betroffenheit klären, dann Lücken schließen, dann den Nachweis dauerhaft sicherstellen.
Schritt 1: Betroffenheit klären
NIS2 unterscheidet zwischen wesentlichen (essential) und wichtigen (important) Einrichtungen. Maßgeblich sind Sektor, Unternehmensgröße und Umsatz. Prüfen Sie zuerst:
- Sektor: Gehören Sie zu einem der von NIS2 erfassten Sektoren (z. B. Energie, Gesundheit, digitale Infrastruktur, IKT-Dienstleister, Verwaltung, Lebensmittel)?
- Größe: In der Regel ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz, mit Ausnahmen für besonders kritische Anbieter.
- Lieferkette: Auch wenn Sie selbst nicht direkt betroffen sind, können Kunden NIS2-Anforderungen vertraglich an Sie weitergeben.
Schritt 2: Die wichtigsten Vorbereitungsmaßnahmen
| Bereich |
Was zu tun ist |
| Risikomanagement |
Systematische Risikobewertung und technische sowie organisatorische Maßnahmen einführen. |
| Vorfallmanagement |
Prozesse zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen aufbauen. |
| Lieferkettensicherheit |
Sicherheit von Lieferanten und Dienstleistern bewerten und vertraglich absichern. |
| Business Continuity |
Backup-, Notfall- und Wiederherstellungskonzepte etablieren. |
| Zugriffs- und Verschlüsselung |
Zugriffssteuerung, Multi-Faktor-Authentifizierung und Verschlüsselung umsetzen. |
| Schulung und Awareness |
Mitarbeitende und insbesondere die Leitung regelmäßig schulen. |
Schritt 3: Fristen, Meldepflichten und Haftung beachten
NIS2 bringt verbindliche Pflichten mit kurzen Fristen:
- Meldefristen bei Vorfällen: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von einem Monat.
- Registrierungspflicht: Betroffene Einrichtungen müssen sich bei der zuständigen nationalen Behörde registrieren.
- Haftung der Geschäftsleitung: Die Leitung ist persönlich verantwortlich für die Umsetzung und kann bei Verstößen haftbar gemacht werden.
Hinweis: Ein bestehendes ISO 27001-ISMS deckt einen großen Teil der NIS2-Anforderungen bereits ab und ist daher ein idealer Ausgangspunkt.
Wie Kertos die NIS2-Vorbereitung vereinfacht
NIS2 wurde in Europa für Europa geschaffen, und genau dafür wurde Kertos gebaut. Statt eine nordamerikanische Lösung nachträglich anzupassen, deckt Kertos europäische Rahmenwerke von Grund auf ab. Kertos verbindet eine agentische Compliance-Plattform (KAIA) mit akkreditierten internen Expertinnen und Experten, die Seite an Seite mit Ihrem Team arbeiten:
- Betroffenheits- und Gap-Analyse: Die Plattform klärt schnell, ob und wie NIS2 für Sie gilt, und zeigt Lücken auf.
- Geführtes Risiko- und Vorfallmanagement: Risikobewertung, Meldeprozesse und Lieferantenmanagement werden strukturiert und automatisiert.
- Synergien mit ISO 27001: Vorhandene Maßnahmen werden wiederverwendet, sodass Sie nicht doppelt arbeiten.
- Externe CISO-Mandate: Kertos übernimmt auf Wunsch die fachliche Verantwortung und unterstützt die Leitung bei ihren Haftungspflichten.
Das spiegelt sich in der Bilanz von Kertos wider: eine 100%ige Audit-Erfolgsquote, rund 80% weniger manueller Compliance-Aufwand, eine Kundenzufriedenheit von 98% und Kunden wie AskUI, die die ISO 27001-Zertifizierung in nur 8 bis 10 Wochen erreicht haben. So wird aus der komplexen NIS2-Vorbereitung ein planbarer, kontinuierlicher Prozess statt eines einmaligen Kraftakts.
.svg)
