Kurz gesagt
NIS2 ersetzt die erste Richtlinie zur Netzwerk- und Informationssicherheit durch einen breiteren Scope und stärkere Pflichten. Erfasste Organisationen werden meist nach Sektor und Größe als wesentliche oder wichtige Einrichtungen eingeordnet.
Die praktische Arbeit ist kein Zertifikat an der Wand. Es geht um Risikomanagement, Incident Handling, Business Continuity, Lieferkettensicherheit, Zugriffskontrolle, Verschlüsselung wo passend und einen Meldeprozess, der innerhalb der Fristen trägt.
Wo es wehtut
NIS2 tut weh, wenn ein Unternehmen spät erkennt, dass Sektor, Tochtergesellschaft, Managed Service oder Lieferantenrolle in den Scope fallen. Schmerzhaft wird es, Governance, Lieferantenprüfungen, Logging und Incident Response erst nach akzeptiertem Risiko nachzuweisen.
Was zu prüfen ist
- Sind Sie nach Sektor, Größe und nationaler Umsetzung eine wesentliche oder wichtige Einrichtung?
- Kann Ihr Team Frühwarnung, Incident-Meldung und Abschlussbericht über den richtigen nationalen Kanal senden?
- Belegen Lieferantenverträge, Zugriffskontrollen, Backup-Tests und Incident-Runbooks, dass die Kontrollen wirklich laufen?
Häufige Fragen
Was ist die NIS2-Richtlinie?
NIS2 ist die EU-Cybersicherheitsrichtlinie mit Pflichten zu Risikomanagement, Governance und Incident-Meldung für wesentliche und wichtige Einrichtungen in kritischen Sektoren.
Gilt NIS2 direkt für jedes KMU?
Nein. Der Scope hängt von Sektor, Größe, Rolle und nationaler Umsetzung ab. Einige KMU fallen hinein, weil sie kritische digitale oder Managed Services anbieten oder national benannt werden.
Was sollten Sie bei NIS2 zuerst prüfen?
Starten Sie mit Scope-Klassifizierung, nationaler Registrierung, Meldewegen, Lieferantenrisiko, Management-Verantwortung und Nachweisen, dass Sicherheitskontrollen in Production laufen.