FAQ

Ja, wenn Sie die Größenschwellen (Mittel/Groß) erreichen und in einem der gelisteten Sektoren (z.B. Gesundheitswesen, Energie, digitale Dienste) tätig sind. Eine genaue Prüfung der Sektor- und Größenzugehörigkeit ist entscheidend.

Die Mitgliedsstaaten müssen die NIS2-Vorgaben bis zum 17. Oktober 2024 in nationales Recht umsetzen. Unternehmen müssen die Maßnahmen Ende 2024/Anfang 2025 anwenden.

Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft. Die nationalen Umsetzungsgesetze müssen bis 17. Oktober 2024 verabschiedet sein.

Einrichtungen, die als kritisch für die Gesellschaft gelten (z.B. große Krankenhäuser, Energieversorger), unterliegen der höchsten Regulierungstiefe und strengeren Kontrollen.

Unternehmen mit hoher Bedeutung, die jedoch nicht die höchste Kritikalität erreichen (z.B. größere Abfallwirtschaft, Teile des verarbeitenden Gewerbes). Sie haben dieselben Pflichten, aber eine reaktivere Aufsicht.

Kleinst- und Kleinunternehmen sind grundsätzlich ausgenommen, es sei denn, sie sind die alleinigen Anbieter einer kritischen Dienstleistung in einer Region.

KRITIS (in D) fokussierte auf die kritischsten Anlagen. NIS2 erweitert den Kreis der Betroffenen massiv und umfasst nun auch große Teile des mittleren Sektors.

Ja, das Leitungsorgan (Geschäftsführung/Vorstand) ist direkt für die Überwachung und Umsetzung der Cybersicherheitsmaßnahmen verantwortlich. Bei einer Pflichtverletzung und resultierendem Schaden droht die persönliche Haftung. Diese Verantwortung ist in der nationalen Umsetzung der Richtlinie, z.B. im § 38 BSIG-E in Deutschland, verankert.

Für Wesentliche Einrichtungen können Bußgelder bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden. Bei Wichtigen Einrichtungen sind es bis zu 7.000.000 Euro oder 1,4 % des weltweiten Umsatzes.

Es drohen hohe Bußgelder (bis zu 10 Mio. € oder 2% des Umsatzes) und die persönliche Haftung der Geschäftsführung.

Neben hohen Bußgeldern für das Unternehmen droht Geschäftsführern die persönliche Haftung für Pflichtverletzungen sowie das vorübergehende Verbot der Ausübung von Leitungsfunktionen bei schweren oder wiederholten Verstößen.

Die persönliche Haftung droht ab dem Zeitpunkt, zu dem die nationalen Umsetzungsgesetze in Kraft treten (voraussichtlich Ende 2024 / Anfang 2025), wenn die Aufsichtspflicht (Governance) vernachlässigt wurde.

Die Angemessene Aufsicht verlangt, dass die Geschäftsführung die Einführung und Umsetzung der Sicherheitsmaßnahmen aktiv überwacht, regelmäßig Berichte über die Sicherheitslage einfordert und sicherstellt, dass die notwendigen Ressourcen für die Compliance bereitgestellt werden.

Das Leitungsorgan muss sich regelmäßig schulen lassen, um die Cybersicherheitsrisiken des Unternehmens zu verstehen und zu bewerten. Dies dient dem Nachweis der angemessenen Aufsicht und der Haftungsminimierung, da ungeschultes Personal ein Haftungsrisiko darstellt.

Die Leitungsorgane müssen Risiken aus der Supply Chain, im Bereich des Incident-Managements und der Business Continuity aktiv überwachen und Maßnahmen zur Prävention sicherstellen.

Der Mindestkatalog an Maßnahmen, den alle betroffenen Unternehmen umsetzen müssen, z.B. Risikomanagement, Incident-Handling, Supply Chain Security und Kryptografie.

Ja. NIS2 verlangt die Einführung eines Risikomanagement-Systems, das den Anforderungen der Richtlinie genügt und einem ISMS ähnelt.

Ein Systematischer Prozess zur Analyse, Bewertung und Behandlung von Cybersicherheitsrisiken, der auf den 10 verpflichtenden Maßnahmenkatalogen basiert.

Dazu gehören die Nutzung von Kryptografie und Verschlüsselung, der Einsatz von Multi-Faktor-Authentifizierung (MFA) und eine starke Zugangsverwaltung.

Ja, die Schulung des Personals in Cybersicherheits-Grundlagen und -Verfahren ist eine der 10 Pflichtmaßnahmen.

Durch vollständige Dokumentation der Risikomanagement-Prozesse, durchgeführte Audits und Nachweise über die Schulung des Leitungspersonals.

Die erste Meldung (Frühwarnung) muss innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls an die zuständige Behörde (BSI) erfolgen.

Die abschließende Meldung muss spätestens einen Monat nach der ersten Meldung eingereicht werden.

Ein Vorfall, der eine erhebliche Störung der Dienste verursacht hat oder finanzielle Verluste für das Unternehmen oder andere verursachen kann.

Die Pflicht, Cybersicherheitsrisiken nicht nur in den eigenen Systemen, sondern auch bei Lieferanten, Dienstleistern und Cloud-Anbietern zu managen und vertraglich abzusichern.

Ja, die Verträge müssen explizit Regelungen zur Einhaltung der NIS2-Sicherheitsanforderungen und zur Meldepflicht von Vorfällen enthalten (Supply Chain Security).

Ja, Cloud-Computing-Dienste fallen in der Regel als Wesentliche Einrichtungen unter die NIS2-Pflichten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die zentrale Aufsichts- und Meldestelle für die Umsetzung der NIS2-Vorschriften sein.

Das BSI ist zuständig für die Aufsicht über Wesentliche Einrichtungen, die Entgegennahme von Meldungen und die Durchführung von Kontrollen und Audits.

Ja, die Behörden (in D das BSI) sind berechtigt, bei Nichteinhaltung der Sicherheits- und Meldepflichten Bußgelder zu verhängen.

In Deutschland das BSI. Sie können Audits, Stichprobenprüfungen und anlassbezogene Kontrollen durchführen.

ISO 27001 ist ein freiwilliger Standard (ISMS); NIS2 ist eine gesetzliche Pflicht, die höhere Anforderungen an Governance, Haftung und Meldepflichten stellt.

Die erste Meldung (Frühwarnung) muss innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls an die zuständige Behörde (BSI) erfolgen.

Die erste Meldung (Frühwarnung) muss innerhalb von 24 Stunden nach Kenntnisnahme des Vorfalls an die zuständige Behörde (BSI) erfolgen.

NIS2 erweitert den Kreis der Betroffenen, verschärft die Haftungsregeln, führt höhere Bußgelder ein und verkürzt die Meldefristen (von 72h auf 24h/72h).

TISAX ist ein Standard der Automobilindustrie. Er kann helfen, die technischen Anforderungen zu erfüllen, ist aber kein Ersatz für die gesetzlichen NIS2-Pflichten.

Nein, es gibt keine zentrale NIS2-Zertifizierung. Es geht um die gesetzliche Einhaltung und Nachweisbarkeit der Pflichten gegenüber der Aufsichtsbehörde.

Ja, Krankenhäuser und größere Rehakliniken sind in der Regel als Wesentliche Einrichtungen nach NIS2 eingestuft.

Größere Rehakliniken fallen typischerweise unter die NIS2-Regulierung, oft als Wesentliche oder Wichtige Einrichtungen, abhängig von Größe und Versorgungsauftrag.

NIS2 ist das Gesetz (Mindestanforderung), B3S ist der Branchenstandard (detaillierte Umsetzungshilfe) für das Gesundheitswesen. NIS2 ergänzt den B3S um Haftungs- und Lieferkettenpflichten.

B3S steht für Branchenspezifischer Sicherheitsstandard. Er konkretisiert die Sicherheitsanforderungen für eine bestimmte Branche, z.B. Krankenhäuser.

Ja, Hersteller von Medizinprodukten und Diagnostika fallen in den Sektor Verarbeitendes Gewerbe und sind ab einer bestimmten Größe betroffen.