NIS2 IMPLEMENTATION

NIS2 implementation, step by step.

A practical 10-step roadmap to get your organization NIS2-compliant in 8 weeks — deadlines, registration with the competent authority, Article 21 measures, incident reporting, and tooling.

Book a NIS2 demoRun free NIS2 readiness check

Based on NIS2 Directive 2022/2555 + national transpositions

The Short Answer

NIS2 in 30 seconds.

NIS2 applies to medium and large organizations (50+ employees or EUR 10M+ turnover) in 18 sectors. You need to register with the competent authority, implement the ten security measures from Article 21, set up incident reporting (24h / 72h / 30d), train management (Article 20), and maintain continuous compliance.

In Germany, the national law is NIS2UmsuCG. In Austria, NISG 2024. Non-compliance risks fines of up to EUR 10M or 2% of global turnover — plus personal management liability.

The 10 Steps

Your NIS2 implementation roadmap.

01

Scope assessment

Determine in 30 minutes: does your organization fall under NIS2? Sector, size, critical dependencies.

02

Scope definition

Which systems, processes and suppliers are in scope?

03

Competent authority registration

Register via the national NIS2 portal within the statutory period.

04

Gap analysis

Current state vs. the ten measures in Article 21 NIS2. Prioritize gaps.

05

Risk management

Centralized risk register, scoring methodology, treatment plans, owners.

06

Technical measures

MFA, backups, network segmentation, logging, EDR, incident response plan.

07

Incident reporting process

Internal workflows for 24h early warning, 72h incident notification, 30-day final report.

08

Policies and governance

Document policies, management approval, review cycles.

09

Management training

Demonstrable cybersecurity training for executive bodies.

10

Continuous monitoring

Automated controls, annual re-assessment, evidence for the competent authority.

Article 21

The ten security measures.

  1. 1Risk analysis and information security policies
  2. 2Incident handling
  3. 3Business continuity, backup and crisis management
  4. 4Supply chain security
  5. 5Security in network and information systems acquisition, development and maintenance
  6. 6Policies and procedures to assess effectiveness
  7. 7Basic cyber hygiene and cybersecurity training
  8. 8Policies and procedures regarding cryptography and encryption
  9. 9Human resources security, access control, asset management
  10. 10Use of multi-factor authentication, secure communications, secure emergency communications
Key Deadlines

What's due when.

  • 17 October 2024 — NIS2 transposition deadline (EU)
  • Within 3 months of national law entry — registration with competent authority
  • 24 hours — early warning after incident awareness
  • 72 hours — incident notification with initial assessment
  • 30 days — final incident report
  • Annually — management review and evidence refresh
How Matproof Helps

NIS2 implementation in 8 weeks — not 12 months.

  • Built-in NIS2 control library mapped to Article 21
  • Automated evidence from 100+ tools — no screenshots
  • Incident reporting workflows with deadline tracking
  • Management training tracker and attestation
  • Cross-framework: ISO 27001, DSGVO, DORA covered in parallel (ISO 27001 baseline also prepares TISAX)

Frequently asked questions

Bis wann muss NIS2 umgesetzt werden?+

Die NIS2-Richtlinie musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Deutschland hat das nationale Umsetzungsgesetz NIS2UmsuCG in 2025 verabschiedet. Für betroffene Unternehmen gilt die Registrierungspflicht beim BSI innerhalb von drei Monaten nach Inkrafttreten. Sicherheitsmaßnahmen (Art. 21) müssen unmittelbar nach Registrierung umgesetzt werden – eine weitere Übergangsfrist gibt es nicht.

Wer ist in Deutschland von NIS2 betroffen?+

NIS2 gilt für mittlere und große Unternehmen (ab 50 Mitarbeitenden oder EUR 10 Mio. Umsatz) in 18 Sektoren. Besonders wichtige Einrichtungen (§ 28 BSIG-neu) umfassen Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung. Wichtige Einrichtungen decken u.a. Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe und digitale Anbieter ab. Größenunabhängig gelten DNS-Provider, TLD-Registries und qualifizierte Vertrauensdienste.

Was sind die konkreten Schritte zur NIS2-Umsetzung?+

(1) Betroffenheitsanalyse – fallen wir unter NIS2? (2) Scope-Definition – welche Systeme und Prozesse sind kritisch? (3) BSI-Registrierung über das NIS2-Portal. (4) Gap-Analyse gegen die zehn Maßnahmen aus Art. 21. (5) Risikomanagement aufsetzen. (6) Technische Maßnahmen (MFA, Backups, Segmentierung, Monitoring). (7) Meldeprozess für Sicherheitsvorfälle definieren (24h/72h/30d). (8) Richtlinien dokumentieren und vom Management freigeben. (9) Schulung für Leitungsorgane. (10) Kontinuierliche Überwachung und jährliche Überprüfung. Der Gesamtaufwand liegt typischerweise bei 200 bis 400 Personentagen – reduzierbar um 70-85 % mit einer NIS2-Software.

Welche Meldefristen gelten unter NIS2?+

Bei signifikanten Sicherheitsvorfällen gelten mehrstufige Meldefristen: Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, Vorfallsmeldung innerhalb von 72 Stunden mit einer ersten Bewertung der Schwere und Auswirkungen, Zwischenbericht auf Anforderung der zuständigen Behörde, Abschlussbericht innerhalb eines Monats mit Ursache, Auswirkungen und Maßnahmen. Meldeempfänger ist in Deutschland das BSI. Grenzüberschreitende Vorfälle sind zusätzlich an die betroffenen CSIRTs zu melden.

Welche Strafen drohen bei NIS2-Verstößen?+

Besonders wichtige Einrichtungen riskieren Bußgelder bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Wichtige Einrichtungen riskieren bis zu EUR 7 Mio. oder 1,4 % des Jahresumsatzes. Zusätzlich sieht § 30 BSIG die persönliche Verantwortung des Managements vor: Geschäftsführer und Vorstände können bei nachweislich fahrlässigen Versäumnissen persönlich haftbar gemacht werden. Die Pflicht zur Genehmigung von Cybersicherheitsmaßnahmen und zur Schulung kann nicht delegiert werden.

Welche Rolle spielt die NIS2-Software bei der Umsetzung?+

Eine NIS2-Software bildet die zehn Maßnahmen aus Art. 21 als Control-Katalog ab, sammelt kontinuierlich Nachweise aus Ihren Systemen (AWS, Azure, Microsoft 365, Jira, Okta etc.), managt das Risikoregister, automatisiert den Meldeprozess und erzeugt audit-fertige Berichte. Ohne Softwareunterstützung ist NIS2 in einem mittelständischen Unternehmen nicht dauerhaft aufrechtzuerhalten – der manuelle Aufwand übersteigt die Kapazitäten kleiner IT-Sicherheits-Teams. Matproof reduziert den NIS2-Aufwand um bis zu 85 %.

Was ist das NIS2UmsuCG und wie unterscheidet es sich von NIS2?+

Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist das deutsche Umsetzungsgesetz zur NIS2-Richtlinie. Es ändert das BSI-Gesetz und fügt nationale Spezifika hinzu: Registrierungspflicht beim BSI, klar definierte Meldewege über das BSI-Portal, Konkretisierung der Managementhaftung in § 30 BSIG, Vorgaben zur Lieferkettenabsicherung und nationale Konkretisierung der technischen Mindestanforderungen. Während NIS2 der EU-Rahmen ist, ist NIS2UmsuCG die verbindliche Grundlage für deutsche Unternehmen.

Start

Ready to get NIS2-compliant?

30-minute demo. We walk you through your sector obligations, gap areas, and a realistic 8-week plan.

Book a demoFree NIS2 readiness check →