20240202%20Euro-Recht%20dreamstime_s_21313871

NIS-2 Umsetzungsgesetz – neue Pflichten für Unternehmen

Wer ist betroffen?

Das Gesetz unterscheidet zwei Kategorien:

Besonders wichtige Einrichtungen

  • Betreiber kritischer Anlagen (KRITIS)
  • Große Unternehmen bestimmter Sektoren (z. B. Energie, Transport, Gesundheit, IT-Dienstleister)
  • Unternehmen mit
    • ab 250 Mitarbeitende oder
    • mehr als 50 Mio. € Umsatz und > 43 Mio. € Bilanzsumme

Wichtige Einrichtungen

  • Unternehmen aus relevanten Branchen mit
    • ab 50 Mitarbeitenden oder
    • mehr als 10 Mio. € Umsatz und Bilanzsumme

Viele mittelständische Unternehmen fallen damit erstmals unter gesetzliche Cybersicherheits-Pflichten.

Zentrale neue Pflichten

IT-Risikomanagement (Pflichtprogramm)

Unternehmen müssen geeignete technische und organisatorische Sicherheitsmaßnahmen einführen und dokumentieren, u. a.:

  • Risikoanalyse und IT-Sicherheitsstrategie
  • Incident-Management (Umgang mit Sicherheitsvorfällen)
  • Notfallmanagement, Backups und Wiederherstellung
  • Sicherheit der Lieferkette (Dienstleister, Anbieter)
  • Sichere Entwicklung und Wartung von IT-Systemen
  • Wirksamkeitskontrollen der Sicherheitsmaßnahmen
  • Mitarbeiterschulungen zur IT-Sicherheit
  • Kryptografie-Konzepte
  • Zugriffskontrollen und Berechtigungsmanagement
  • Multi-Faktor-Authentifizierung

Die Maßnahmen müssen dem Stand der Technik entsprechen und dokumentiert werden.

20240223%20Interview%20dreamstime_xs_13842173

Meldepflicht bei Sicherheitsvorfällen

Erhebliche Cybervorfälle müssen an das Bundesamt für Informationssicherheit gemeldet werden:

  • Innerhalb von 24 Stunden: erste Meldung
  • Innerhalb von 72 Stunden: detaillierte Vorfallmeldung
  • Nach spätestens 1 Monat: Abschlussbericht

20240223%20Checklist%20dreamstime_xs_11281139

Registrierungspflicht beim BSI

Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Frist: Spätestens 3 Monate, nachdem das Unternehmen als betroffene Einrichtung gilt.

Achtung: Die meisten Unternehmen hätten sich bereits zum 6.3.2026 registrieren müssen. Falls Ihre Organisation zu den wichtigen oder besonders wichtigen Einrichtungen gehört und Sie sich nicht registriert haben sollten, drohen empfindliche Bußgelder.

Verantwortung der Geschäftsleitung

Das Gesetz nimmt erstmals Geschäftsleitungen direkt in die Pflicht.

Geschäftsführer/Vorstände müssen:

  • die Umsetzung der Sicherheitsmaßnahmen aktiv steuern und überwachen
  • die Einhaltung organisatorisch sicherstellen
  • regelmäßig an Schulungen teilnehmen, um Risiken und Sicherheitsmaßnahmen bewerten zu können

Bei Pflichtverletzung droht persönliche Haftung gegenüber dem Unternehmen.

Die Condaris bietet kostengünstige NIS-2 Schulungen für Geschäftsleitungen an - remote oder bei Ihnen vor Ort.

20240223%20Rote%20Karte%20dreamstime_xs_10947986

Hohe Bußgelder bei Verstößen

Verstöße gegen NIS-2 können erhebliche Sanktionen auslösen:

Besonders wichtige Einrichtungen

  • bis zu 10 Mio. € Bußgeld
  • oder bis zu 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen

  • bis zu 7 Mio. € Bußgeld
  • oder bis zu 1,4 % des weltweiten Jahresumsatzes

Espresso

Ihr Weg zur NIS2-Compliance – mit Condaris

Ob Registrierungspflichten, technische Maßnahmen oder Krisenmanagement: Condaris begleitet Sie umfassend auf dem Weg zur NIS2-Compliance – von der ersten Analyse bis hin zur langfristigen Überwachung und Optimierung Ihrer Sicherheitsmaßnahmen.

Jetzt informieren:
Vereinbaren Sie ein unverbindliches NIS2-Espresso-Gespräch und sprechen Sie mit unseren Experten!

Weitere Informationen zu NIS2 finden Sie hier.