NIS2-UMSETZUNG

NIS2-Umsetzung, Schritt für Schritt.

Ein praxiserprobter 10-Schritte-Fahrplan, um Ihr Unternehmen in 8 Wochen NIS2-konform zu machen – mit Fristen, BSI-Registrierung, den zehn Maßnahmen aus Art. 21, Meldeprozess und Tool-Unterstützung.

NIS2-Demo buchenKostenlosen NIS2-Readiness-Check starten

Basierend auf NIS2-Richtlinie 2022/2555 und NIS2UmsuCG

Die Kurzantwort

NIS2 in 30 Sekunden.

NIS2 gilt für mittlere und große Unternehmen (ab 50 Mitarbeitenden oder EUR 10 Mio. Umsatz) in 18 Sektoren. Sie müssen sich beim BSI registrieren, die zehn Maßnahmen aus Art. 21 umsetzen, einen Meldeprozess etablieren (24h / 72h / 30 Tage), das Management schulen (Art. 20) und kontinuierlich nachweisen.

In Deutschland ist die Rechtsgrundlage das NIS2UmsuCG. Bei Verstößen drohen Bußgelder bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes – zuzüglich persönlicher Managementhaftung.

Die 10 Schritte

Ihr NIS2-Umsetzungsfahrplan.

01

Betroffenheitsanalyse

Prüfen Sie in 30 Minuten: fällt Ihr Unternehmen unter NIS2? Sektor, Größe, kritische Abhängigkeiten.

02

Scope-Definition

Welche Systeme, Prozesse und Dienstleister sind vom Anwendungsbereich erfasst?

03

BSI-Registrierung

Registrierung über das BSI-NIS2-Portal innerhalb der gesetzlichen Frist.

04

Gap-Analyse

Ist-Zustand vs. die zehn Maßnahmen aus Art. 21 NIS2. Schwachstellen priorisieren.

05

Risikomanagement aufsetzen

Zentrales Risikoregister, Bewertungsmethodik, Maßnahmenpläne, Owner.

06

Technische Maßnahmen

MFA, Backups, Netzwerksegmentierung, Logging, EDR, Incident-Response-Plan.

07

Meldeprozess etablieren

Interne Abläufe für 24h-Frühwarnung, 72h-Meldung und 30-Tage-Abschlussbericht.

08

Richtlinien und Governance

Policies dokumentieren, Geschäftsführungsfreigabe, Reviewzyklen festlegen.

09

Management-Schulung

Nachweisbare Cybersicherheitsschulung für Leitungsorgane nach § 30 BSIG.

10

Kontinuierliche Überwachung

Automatisierte Kontrolle, jährliche Re-Assessment, Nachweis gegenüber BSI.

Art. 21

Die zehn Sicherheitsmaßnahmen.

  1. 1Risikoanalyse und Informationssicherheitsrichtlinien
  2. 2Bewältigung von Sicherheitsvorfällen
  3. 3Aufrechterhaltung des Betriebs, Backup und Krisenmanagement
  4. 4Sicherheit der Lieferkette
  5. 5Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  6. 6Richtlinien und Verfahren zur Bewertung der Wirksamkeit
  7. 7Grundlegende Cyberhygiene und Cybersicherheitsschulungen
  8. 8Richtlinien zu Kryptografie und Verschlüsselung
  9. 9Sicherheit des Personals, Zugriffskontrolle, Asset-Management
  10. 10Mehrfaktor-Authentifizierung, sichere Kommunikation, Notfallkommunikation
Wichtige Fristen

Was wann fällig ist.

  • 17. Oktober 2024 – NIS2-Umsetzungsfrist (EU)
  • Binnen 3 Monaten nach Inkrafttreten des NIS2UmsuCG – BSI-Registrierung
  • 24 Stunden – Frühwarnung nach Kenntnisnahme eines signifikanten Vorfalls
  • 72 Stunden – Vorfallsmeldung mit erster Einschätzung
  • 30 Tage – Abschlussbericht
  • Jährlich – Managementreview und Nachweisaktualisierung
Wie Matproof hilft

NIS2-Umsetzung in 8 Wochen – nicht 12 Monaten.

  • Vorgefertigte NIS2-Control-Bibliothek nach Art. 21
  • Automatisierte Nachweise aus 100+ Tools – ohne Screenshots
  • Vorfallsmeldungs-Workflows mit Fristenüberwachung
  • Schulungs-Tracker und Nachweis für Leitungsorgane
  • Framework-übergreifend: ISO 27001, DSGVO, DORA parallel abgedeckt (ISO-Fundament bereitet zugleich TISAX vor)

Häufige Fragen zur NIS2-Umsetzung

Bis wann muss NIS2 umgesetzt werden?+

Die NIS2-Richtlinie musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Deutschland hat das nationale Umsetzungsgesetz NIS2UmsuCG in 2025 verabschiedet. Für betroffene Unternehmen gilt die Registrierungspflicht beim BSI innerhalb von drei Monaten nach Inkrafttreten. Sicherheitsmaßnahmen (Art. 21) müssen unmittelbar nach Registrierung umgesetzt werden – eine weitere Übergangsfrist gibt es nicht.

Wer ist in Deutschland von NIS2 betroffen?+

NIS2 gilt für mittlere und große Unternehmen (ab 50 Mitarbeitenden oder EUR 10 Mio. Umsatz) in 18 Sektoren. Besonders wichtige Einrichtungen (§ 28 BSIG-neu) umfassen Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung. Wichtige Einrichtungen decken u.a. Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe und digitale Anbieter ab. Größenunabhängig gelten DNS-Provider, TLD-Registries und qualifizierte Vertrauensdienste.

Was sind die konkreten Schritte zur NIS2-Umsetzung?+

(1) Betroffenheitsanalyse – fallen wir unter NIS2? (2) Scope-Definition – welche Systeme und Prozesse sind kritisch? (3) BSI-Registrierung über das NIS2-Portal. (4) Gap-Analyse gegen die zehn Maßnahmen aus Art. 21. (5) Risikomanagement aufsetzen. (6) Technische Maßnahmen (MFA, Backups, Segmentierung, Monitoring). (7) Meldeprozess für Sicherheitsvorfälle definieren (24h/72h/30d). (8) Richtlinien dokumentieren und vom Management freigeben. (9) Schulung für Leitungsorgane. (10) Kontinuierliche Überwachung und jährliche Überprüfung. Der Gesamtaufwand liegt typischerweise bei 200 bis 400 Personentagen – reduzierbar um 70-85 % mit einer NIS2-Software.

Welche Meldefristen gelten unter NIS2?+

Bei signifikanten Sicherheitsvorfällen gelten mehrstufige Meldefristen: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, Vorfallsmeldung innerhalb von 72 Stunden mit einer ersten Bewertung der Schwere und Auswirkungen, Zwischenbericht auf Anforderung der zuständigen Behörde, Abschlussbericht innerhalb eines Monats mit Ursache, Auswirkungen und Maßnahmen. Meldeempfänger ist in Deutschland das BSI. Grenzüberschreitende Vorfälle sind zusätzlich an die betroffenen CSIRTs zu melden.

Welche Strafen drohen bei NIS2-Verstößen?+

Besonders wichtige Einrichtungen riskieren Bußgelder bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Wichtige Einrichtungen riskieren bis zu EUR 7 Mio. oder 1,4 % des Jahresumsatzes. Zusätzlich sieht § 30 BSIG die persönliche Verantwortung des Managements vor: Geschäftsführer und Vorstände können bei nachweislich fahrlässigen Versäumnissen persönlich haftbar gemacht werden. Die Pflicht zur Genehmigung von Cybersicherheitsmaßnahmen und zur Schulung kann nicht delegiert werden.

Welche Rolle spielt die NIS2-Software bei der Umsetzung?+

Eine NIS2-Software bildet die zehn Maßnahmen aus Art. 21 als Control-Katalog ab, sammelt kontinuierlich Nachweise aus Ihren Systemen (AWS, Azure, Microsoft 365, Jira, Okta etc.), managt das Risikoregister, automatisiert den Meldeprozess und erzeugt audit-fertige Berichte. Ohne Softwareunterstützung ist NIS2 in einem mittelständischen Unternehmen nicht dauerhaft aufrechtzuerhalten – der manuelle Aufwand übersteigt die Kapazitäten kleiner IT-Sicherheits-Teams. Matproof reduziert den NIS2-Aufwand um bis zu 85 %.

Was ist das NIS2UmsuCG und wie unterscheidet es sich von NIS2?+

Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist das deutsche Umsetzungsgesetz zur NIS2-Richtlinie. Es ändert das BSI-Gesetz und fügt nationale Spezifika hinzu: Registrierungspflicht beim BSI, klar definierte Meldewege über das BSI-Portal, Konkretisierung der Managementhaftung in § 30 BSIG, Vorgaben zur Lieferkettenabsicherung und nationale Konkretisierung der technischen Mindestanforderungen. Während NIS2 der EU-Rahmen ist, ist NIS2UmsuCG die verbindliche Grundlage für deutsche Unternehmen.

Loslegen

Bereit für die NIS2-Umsetzung?

30-minütige Demo. Wir zeigen Ihnen Ihre Sektorpflichten, Lücken und einen realistischen 8-Wochen-Plan.

Demo buchenKostenloser NIS2-Readiness-Check →