NIS2 Anforderungen: Die 10 Maßnahmen
Das Herzstück der NIS2-Richtlinie (EU 2022/2555) ist Artikel 21: zehn technische und organisatorische Mindestmaßnahmen, die jede betroffene Einrichtung nach dem Stand der Technik umsetzen muss. Hinzu kommen die persönliche Geschäftsführerhaftung nach Art. 20 und die gestaffelte Meldepflicht binnen 24 und 72 Stunden nach Art. 23. Wir erklären jede Anforderung praxisnah und begleiten Sie zur nachweisbaren Compliance.
Was NIS2 von Ihnen verlangt
Pflichten, Haftung, Fristen und Betroffenheit auf einen Blick
10 Mindestmaßnahmen
Art. 21 Abs. 2 der EU-Richtlinie 2022/2555 definiert zehn verpflichtende Risikomanagementmaßnahmen — vom Risikokonzept bis zur Multi-Faktor-Authentifizierung. Sie gelten für jede betroffene Einrichtung.
Geschäftsführerhaftung
Art. 20 NIS2 verpflichtet die Leitungsorgane, die Maßnahmen zu billigen, zu überwachen und selbst geschult zu sein. Bei Verstößen haftet die Geschäftsleitung persönlich — im deutschen NIS2UmsuCG ohne Haftungsbeschränkung.
Meldepflicht 24 / 72 h
Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden: Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden und Abschlussbericht nach spätestens einem Monat (Art. 23 NIS2).
Wer ist betroffen?
Betroffen sind mittlere und große Einrichtungen (ab 50 Beschäftigten oder 10 Mio. EUR Umsatz) in 18 Sektoren — unterteilt in wesentliche und wichtige Einrichtungen. In Deutschland rund 29.000 Unternehmen (BSI).
Bußgelder & Sanktionen
Bei Verstößen drohen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche und bis 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen (Art. 34 NIS2).
Registrierungs- & Nachweispflicht
Betroffene Einrichtungen müssen sich beim BSI registrieren und die Wirksamkeit ihrer Maßnahmen nachweisen können. Wesentliche Einrichtungen unterliegen proaktiver, wichtige einer anlassbezogenen Aufsicht.
Die 10 Mindestmaßnahmen nach Art. 21 NIS2
Jede Anforderung der EU-Richtlinie 2022/2555 einzeln erklärt
1. Risikoanalyse & Sicherheitskonzepte
Konzepte für die Risikoanalyse und für die Sicherheit von Informationssystemen (Art. 21 Abs. 2 lit. a). Basis ist ein dokumentierter, regelmäßig aktualisierter Risikomanagement-Prozess, idealerweise angelehnt an ISO/IEC 27001 oder BSI IT-Grundschutz.
2. Bewältigung von Sicherheitsvorfällen
Incident Handling (lit. b): Prozesse zur Erkennung, Analyse, Eindämmung und Behebung von Vorfällen — einschließlich des Meldeprozesses an das BSI mit 24h-Frühwarnung und 72h-Meldung nach Art. 23.
3. Aufrechterhaltung des Betriebs
Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement (lit. c). Business-Continuity- und Disaster-Recovery-Pläne mit definierten RTO/RPO-Zielen und regelmäßigen Wiederanlauftests.
4. Sicherheit der Lieferkette
Supply-Chain-Security (lit. d): Absicherung der Beziehungen zu Zulieferern und Dienstleistern, Bewertung ihrer Sicherheitspraktiken und vertragliche Sicherheitsanforderungen bis in die IT-Dienstleistungskette.
5. Sichere Beschaffung & Schwachstellen
Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen inkl. Schwachstellenmanagement und Vulnerability Disclosure (lit. e) — Secure Development, Patch-Management und geregelte Meldewege für Schwachstellen.
6. & 7. Wirksamkeit, Cyberhygiene & Schulungen
Konzepte zur Bewertung der Wirksamkeit der Maßnahmen (lit. f) sowie grundlegende Cyberhygiene und Cybersicherheitsschulungen (lit. g) — messbare KPIs, Audits, Awareness-Trainings und verpflichtende Leitungsschulungen.
8. & 9. Kryptografie, Zugriff & Personal
Konzepte für Kryptografie und Verschlüsselung (lit. h) sowie Sicherheit des Personals, Zugriffskontrolle nach Least-Privilege und Asset-Management (lit. i) — von Datenverschlüsselung bis zum vollständigen Anlagenverzeichnis.
10. MFA & gesicherte Kommunikation
Einsatz von Multi-Faktor-Authentifizierung, kontinuierlicher Authentifizierung sowie gesicherter Sprach-, Video-, Text- und Notfallkommunikation (lit. j) — Standard für alle privilegierten und Remote-Zugänge.
Bereit für den nächsten Schritt?
Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie wir Ihr Unternehmen voranbringen können.