Was ist NIS-2?
NIS-2 ist eine EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in deutsches Recht umgesetzt ist. Sie verpflichtet bestimmte Unternehmen dazu, Mindeststandards in der IT-Sicherheit einzuhalten – und bei Verstößen drohen empfindliche Bußgelder.
Das Besondere: Der Anwendungsbereich ist deutlich größer als bei der Vorgängerregelung. Viele kleine und mittlere Unternehmen sind betroffen, ohne davon zu wissen.
Wer kann betroffen sein?
Die Betroffenheit hängt von Branche, Unternehmensgröße und Ihrer Rolle in der Lieferkette ab:
- Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in bestimmten Sektoren
- Zulieferer kritischer Infrastrukturen – auch wenn Sie selbst deutlich kleiner sind
- Unternehmen in Sektoren wie Energie, Transport, Gesundheit, IT, Lebensmittel u. v. m.
- Anbieter digitaler Dienste und Managed Service Provider
Die Abgrenzung ist komplex – viele Unternehmen schätzen ihre Betroffenheit in beide Richtungen falsch ein.
Was beinhaltet die Prüfung?
Ich analysiere Ihr Unternehmen systematisch und gebe Ihnen eine klare, schriftliche Antwort:
- Einordnung nach Branche, Unternehmensgröße und Funktion
- Prüfung der Betroffenheit als wesentliche oder wichtige Einrichtung
- Übersicht der für Sie geltenden Pflichten (Meldepflichten, Risikomanagement etc.)
- Realistische Einschätzung des Handlungsbedarfs
- Empfehlung konkreter nächster Schritte
Was passiert bei Nichteinhaltung?
Für wesentliche Einrichtungen sieht das Gesetz Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des Umsatzes. Hinzu kommen persönliche Haftungsrisiken für Geschäftsführer.
Selbst wenn Sie nicht direkt betroffen sind: Kunden oder Partner könnten entsprechende Nachweise von Ihnen verlangen.