Welche technischen Anforderungen schreibt NIS2 vor?

NIS2 (Art. 21) schreibt 10 Kategorien vor: Risikoanalyse, Vorfallsmanagement, Business Continuity, Lieferkettensicherheit, Sicherheit bei Systembeschaffung, Wirksamkeitsprüfung, Schulungen, Kryptografie, Zugangskontrolle mit MFA und sichere Kommunikation.

Sind die NIS2-Anforderungen bereits verpflichtend?

Ja. Die Anforderungen aus Art. 21 NIS2 sind rechtlich bindend; die EU-Umsetzungsfrist endete am 17. Oktober 2024 und es gibt keine offizielle Übergangsfrist. In Deutschland ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz seit dem 6. Dezember 2025 in Kraft, die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen.

Wie schnell muss ein NIS2-Vorfall gemeldet werden?

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Erstmeldung an das BSI gemeldet werden. Eine aktualisierte Meldung folgt nach 72 Stunden, der Abschlussbericht innerhalb eines Monats nach Vorfallsabschluss.

Muss ich die Umsetzung der NIS2-Anforderungen dokumentieren?

Ja. NIS2 verlangt nicht nur die Umsetzung, sondern deren Dokumentation und Nachweisbarkeit: schriftliche Sicherheitsrichtlinien mit Datum und Genehmigung, Schulungsprotokolle, dokumentierte Risikoanalysen, Backup-Tests sowie Patch- und Schwachstellenmanagement-Dokumentation.

Ist eine ISO-27001-Zertifizierung für NIS2 Pflicht?

Eine ISO-27001-Zertifizierung ist nicht zwingend vorgeschrieben, bietet aber einen strukturierten Rahmen, der wesentliche NIS2-Anforderungen abdeckt. Alternativ können andere anerkannte Standards wie BSI IT-Grundschutz oder SOC 2 als Nachweis dienen.

Kann ich die NIS2-Umsetzung an einen Dienstleister auslagern?

Technische Maßnahmen können an qualifizierte Dienstleister (MSSPs) ausgelagert werden. Die rechtliche Verantwortung verbleibt jedoch beim Unternehmen bzw. der Geschäftsführung. Outsourcing schützt nicht vor Haftung ohne angemessene Kontrolle und Aufsicht.

Was sind die häufigsten NIS2-Lücken in der Praxis?

Häufige Schwachstellen: fehlende oder ungetestete Incident-Response-Pläne, keine dokumentierten 24h-Meldeprozesse, unvollständige Lieferkettenbewertung, fehlende MFA auf privilegierten Konten, keine nachweislichen Schulungen der Geschäftsführung sowie nie getestete oder nicht physisch getrennte Backups.

NIS2-Anforderungen:Was Ihr Unternehmen jetzt umsetzen muss

NIS2 fühlt sich an wie ein Bürokratie-Monster.
Wir machen es in Minuten machbar.

Beantworten Sie ein paar Fragen — der Wizard ermittelt Ihre Betroffenheit, Ihren Reifegrad-Score, erstellt Ihre persönliche Anforderungs-Checkliste, schlägt erste passende Anbieter vor und liefert eine standardisierte Anbieter-Anfrage für vergleichbare Angebote.

Score über alle Bereiche
Checkliste für Ihr Unternehmen
Erste Anbietervorschläge, die zu Ihren Anforderungen passen
Endlich Angebote vergleichbar einholen

NIS2 Wizard starten So funktioniert's

Beispiel eines NIS2-Wizardreports: Betroffenheit, Reifegrad-Score, Risiken, Handlungsempfehlungen und standardisierte Anbieter-Anfrage

Rechtsstand & Quellen

Nicht eine Meinung. Die Gesetze — mit Datum.

Der Wizard rechnet nicht nach Bauchgefühl, sondern nach geltendem Recht, geprüft gegen amtliche Quellen und mit sichtbarem Rechtsstand.

§ 30 BSIGRisikomanagement — die 10 verbindlichen Maßnahmen, die der Wizard abfragt.

§ 32 BSIGMeldepflichten — 24 h / 72 h / 1 Monat ans BSI.

§ 33 BSIGRegistrierung beim BSI — Frist 6.3.2026 abgelaufen.

§ 38 BSIGPflichten & Haftung der Geschäftsleitung — persönlich.

EU 2022/2555Die NIS2-Richtlinie als europäische Grundlage.

Geprüft gegen BSIgesetze-im-internet.deBT-Drs. 20/13184OpenKRITIS

So funktioniert's

Vom Monster zur vergleichbaren Checkliste — in Minuten.

Drei kurze Blöcke, ein klares Ergebnis. Kein Berater-Termin, kein Aktenordner, Basis für all' Ihre weiteren Bemühungen. — Starten Sie jetzt und sehen sofort, wo Sie stehen.

Einordnung

Sektor, Größe, Sonderfälle — ergibt Ihre gesetzliche Betroffenheit.

Reifegrad

Die 10 Maßnahmen aus § 30 BSIG plus drei Governance-Fragen.

Bedarf

Wo Sie Unterstützung suchen — für Ihren passgenauen Report.

Betroffenheit

Sind Sie überhaupt betroffen? Klar und nachvollziehbar.

Ihr Score

Ein Wert über alle Bereiche — Sie sehen, was fehlt.

Checkliste

Ihre persönliche Anforderungs-Checkliste zum Abarbeiten.

Vergleichbar

Eine Anbieter-Anfrage, mit der Sie Angebote 1:1 vergleichen.

Anforderungskatalog · Art. 21 NIS2 / § 30 BSIG

Die 10 Maßnahmenkategorien — der vollständige Katalog

Artikel 21 definiert exakt, welche Sicherheitsmaßnahmen als Minimum gelten. Klicken Sie eine Zeile auf.

01Risikoanalyse & IT-Sicherheitspolitik+

Formale Risikoanalyse aller Systeme, Prozesse und Assets. Daraus abgeleitete, schriftliche IT-Sicherheitsrichtlinie — von der Geschäftsführung verabschiedet.

02Vorfallsmanagement+

Dokumentierter Incident-Response-Prozess, regelmäßige Übungen, klare Eskalationswege und Meldekette ans BSI (24h/72h/1 Monat).

03Business Continuity+

Backup-Management, Notfallpläne (BCP/DRP), Krisenmanagement. Getestete Wiederherstellungsverfahren mit definierten Zeiten.

04Lieferkettensicherheit+

Prüfung und vertragliche Absicherung aller Dienstleister und Zulieferer. Sicherheitsanforderungen in Ausschreibungen und Verträgen.

05Sicherheit bei Erwerb & Entwicklung+

Security-by-Design bei Beschaffung und Entwicklung von Systemen. Vulnerability-Disclosure-Policy für eigene Produkte.

06Wirksamkeit der Maßnahmen+

Regelmäßige Überprüfung und Bewertung aller Sicherheitsmaßnahmen — durch interne Audits, Penetrationstests oder externe Assessments.

07Schulung & Cyberhygiene+

Regelmäßige Schulungen für alle Mitarbeiter. Besondere Pflicht für Leitungsorgane — Unwissenheit schützt bei Haftungsfragen nicht.

08Kryptografie & Verschlüsselung+

Einsatz aktueller kryptografischer Verfahren. Verschlüsselung sensibler Daten at rest und in transit. Key-Management dokumentiert.

09Zugangskontrolle & MFA+

Least-Privilege-Prinzip, strenge Zugriffsrechte, Multi-Faktor-Authentifizierung für privilegierte Nutzer und Remote-Zugang.

10Sichere Kommunikation+

Verschlüsselte interne und externe Kommunikation, gesicherte Notfallkommunikationskanäle und sichere Sprach- und Videokonferenzsysteme.

Technische Maßnahmen (TOMs)

Technische NIS2-Anforderungen im Detail

Die konkreten Vorkehrungen hinter den Maßnahmenkategorien — Hierarchie nach realer Nachfrage.

LIVE-DETEKTION

Sicherheitsüberwachung & Detektion (SIEM/SOC)

Sicherheitsrelevante Ereignisse müssen zentral erfasst, korreliert und überwacht werden — Logs revisionssicher, auswertbar, rund um die Uhr.

14:02:11  auth.ok        vpn-gw01      user=m.berger  mfa=push
14:02:14  fw.block       edge-fw02     src=185.220.x.x  port=3389
14:02:19  ids.alert      sensor-dmz    sig=ET-SCAN  sev=med
14:02:27  auth.fail      mail-gw       user=unknown  geo=RU
14:02:31  edr.quarant.   ws-1144       hash=9f2ac…  rule=ransom
14:02:36  siem.corr      core          case=#4711  events=5
14:02:41  auth.ok        vpn-gw01      user=s.kim   mfa=push
14:02:44  fw.block       edge-fw02     src=45.155.x.x  port=22
14:02:50  ids.alert      sensor-int    sig=LATERAL  sev=high
14:02:57  soc.ack        analyst-2     case=#4711  ttr=26s

Multi-Faktor-Authentifizierung (MFA-Pflicht)

Pflicht für privilegierte Zugänge, Remote-Zugriffe und kritische Systeme.

Kryptografie

Verschlüsselung at rest & in transit.

Backup & Recovery

Getrennt, getestet, RTO/RPO definiert.

Netz-Segmentierung

Kritische Zonen getrennt, IDS/IPS aktiv.

Patch-Management

Lücken systematisch erfassen & schließen.

Meldepflichten · § 32 BSIG

Das dreistufige Meldesystem ans BSI

Erhebliche Sicherheitsvorfälle müssen in einem festen Zeitraster gemeldet werden — versäumte Fristen sind selbst ein Verstoß.

Vom Vorfall bis zum Abschlussbericht

Vorfall

Erheblicher Sicherheitsvorfall festgestellt

24 h

Erstmeldung ans BSI — Art & Auswirkung

72 h

Aktualisierte Meldung mit erster Bewertung

1 Monat

Abschlussbericht mit Ursachenanalyse

Nicht abwarten — jetzt eine saubere Basis schaffen.

NIS2-Compliance anstoßen

Lieferkette & Rechtsgrundlagen

Woher die Pflicht kommt — und wie weit sie reicht

Lieferanten-Risikobewertung

Systematische Prüfung aller IT-Dienstleister, Softwareanbieter und Zulieferer auf Cybersicherheitsstandards — dokumentiert und regelmäßig aktualisiert.

Vertragliche Sicherheitsanforderungen

Verträge mit Dienstleistern müssen konkrete Sicherheitsanforderungen, Audit-Rechte und Meldepflichten bei Vorfällen enthalten.

EU-RICHTLINIENIS2 · 2022/2555

DEUTSCHES UMSETZUNGSGESETZNIS2UmsuCG — in Kraft seit 6.12.2025

ART. 21 / § 3010 Maßnahmen

ART. 23 / § 32Meldepflichten

Offizielle Quelle · BSI

NIS2 in 5 Minuten — offiziell vom BSI

Das Bundesamt für Sicherheit in der Informationstechnik erklärt NIS2 aus erster Hand.

Zur BSI-Erklärung

Ein geprüfter Markt steht bereit

Sie stehen damit nicht allein da.

Der Wizard gleicht Ihren Bedarf gegen einen kuratierten Anbieter-Pool ab — und erzeugt eine standardisierte Anfrage, mit der Sie vergleichbare Angebote einholen. Echte Zahlen, keine erfundenen Bewertungen.

geprüfte NIS2-Dienstleister im Pool — nach Leistung, Eignung, Sektor & Region kuratiert

Leistungsbereiche, gegen die Ihr Bedarf gematcht wird — vom Gap-Assessment bis SOC/SIEM

Sektoren der NIS2-Anlagen abgedeckt — Ihr Match wird auf Ihre Branche zugeschnitten

Gap-AnalyseISMS-AufbauISO 27001PenetrationstestsSOC / SIEM / EDRBCM & BackupLieferketteAwareness & SchulungvCISOIncident & MeldeprozessKrypto / IAM / MFADatenschutz / DSGVO

Häufige Fragen

Häufige Fragen zu den NIS2-Anforderungen

Links wählen, rechts lesen — wie in einem Nachschlagewerk.

Was auf dem Spiel steht

Das steht für Sie persönlich auf dem Spiel.

Nicht „mögliche Strafen" irgendwann — sondern was Sie verlieren können, während die Pflicht bereits gilt.

10 Mio €

oder 2 % des weltweiten Jahresumsatzes — der höhere Betrag

… und Ihr Privatvermögen.

Kein Zukunftsszenario — geltendes Recht seit 6.12.2025

Bußgeld trifft die Firma

Bis 10 Mio € oder 2 % Weltumsatz — verhängt durch die Aufsichtsbehörde.

Haftung trifft Sie persönlich

Bei versäumter Aufsichtspflicht haften Leitungsorgane mit dem Privatvermögen (§ 38 BSIG).

Tätigkeitsverbot

Bei schweren Verstößen kann die Behörde Ihnen die Leitungstätigkeit zeitweise untersagen.

„Die Frist ist abgelaufen. Wer jetzt noch nicht weiß, wo er steht, haftet bereits — nicht irgendwann."Die Prüfung kostet Minuten. Das Wegschauen kann alles kosten.

Was es kostet — und was Sie sparen

Bevor Sie entscheiden, welcher Anbieter: wissen, was fair ist. Mit dem NIS2 Wizard.

NIS2-Maßnahmen kosten echtes Geld — und kein Angebot gleicht dem anderen. Unser NIS2 Wizard macht Anfragen einfach und gleich, sowie Angebote damit vergleichbar; Sie sehen, was angemessen ist und können sparen.

Typische Umsetzung · Maßnahmen nach § 30 BSIG

20.000 – 60.000 €

einmaliger Aufwand für rechtssichere, umfängliche NIS2-Compliance

Jährlich danach

15.000 – 40.000 €

Typischer Zeitrahmen

3–9 Monate

Mit der standardisierten Anbieter-Anfrage

Ohne Vergleich — erstbestes Angebot60.000 €

Mit Anbieter-Anfrage — vergleichbar45.000 €

Sie sparen bis zu15.000 €

= 15–25 % der extern beschafften Angebotskosten. Kein Rabatt-Trick — nur Transparenz.

Grundlage: Erfüllungsaufwand des Regierungsentwurfs (BT-Drs. 20/13184) sowie marktübliche ISMS-Projektkosten, gestaffelt nach Unternehmensgröße. Spar-Spanne bezogen auf den extern beschafften Angebotsteil; tatsächliche Kosten hängen v. a. vom bestehenden Sicherheitsniveau ab. Die Anbieter-Anfrage ist ein Werkzeug — was Sie mit den erzeugten Daten tun, bleibt Ihnen überlassen.

Die Frist ist abgelaufen. Das NIS2UmsuCG gilt seit 6.12.2025, die BSI-Registrierung war bis 6.3.2026 fällig. Die Pflicht gilt jetzt — nicht irgendwann.

Sehen Sie in Minuten, wo Sie stehen.

Starten Sie jetzt. Sie erhalten Ihre Betroffenheit, Ihren Reifegrad-Score, Ihre persönliche Anforderungs-Checkliste, erste passende Anbietervorschläge und eine standardisierte Anbieter-Anfrage für vergleichbare Angebote.

Jetzt Anforderungen prüfen

Ihr NIS2-Reportfast fertig

Nur noch freischalten — Ihre Auswertung wartet.

Themen-Netzwerk