Question 1

Was ist die NIS2-Richtlinie?

Accepted Answer

NIS2 (Network and Information Security Directive) ist eine EU-Richtlinie zur Erhöhung der Cybersicherheit in 18 kritischen und wichtigen Sektoren. Sie ersetzt die ursprüngliche NIS-Richtlinie und verschärft Anforderungen an Risikomanagement, Meldepflichten und Sanktionen. In Deutschland wird sie über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Question 2

Welche Unternehmen sind von NIS2 betroffen?

Accepted Answer

Vier Gruppen: (1) Betreiber kritischer Anlagen (KRITIS), (2) besonders wichtige Einrichtungen (≥ 250 Mitarbeiter oder > 50 Mio. EUR Umsatz / > 43 Mio. EUR Bilanzsumme), (3) wichtige Einrichtungen (≥ 50 Mitarbeiter oder > 10 Mio. EUR Umsatz/Bilanzsumme), (4) bestimmte Bundeseinrichtungen. Sonderregeln für Vertrauensdienste, TLD/DNS und Telekommunikation.

Question 3

Welche Meldefristen gelten unter NIS2?

Accepted Answer

Drei Stufen: (1) Frühwarnung innerhalb von 24 Stunden nach Kenntnis des Vorfalls, (2) Erstbericht (Incident Notification) innerhalb von 72 Stunden, (3) Abschlussbericht innerhalb eines Monats. Bei laufenden Vorfällen sind Zwischenberichte auf Anforderung der zuständigen Behörde (in DE: BSI) zu erstellen.

Question 4

Welche Sanktionen drohen bei NIS2-Verstößen?

Accepted Answer

Für besonders wichtige Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (höherer Wert). Für wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 %. Zusätzlich persönliche Haftung der Geschäftsleitung möglich, falls Sicherheitsmaßnahmen nicht angemessen umgesetzt oder überwacht wurden.

Question 5

Bis wann muss NIS2 umgesetzt sein?

Accepted Answer

Die EU-Frist war der 17. Oktober 2024. Deutschland hat die Frist nicht eingehalten - das NIS2UmsuCG wird voraussichtlich erst 2025/2026 verabschiedet. Trotzdem gilt: Unternehmen sollten jetzt mit der Umsetzung beginnen, da Aufsichtsbehörden ab Inkrafttreten direkt prüfen können und Übergangsfristen knapp bemessen sein werden.

Question 6

Brauche ich für NIS2 ein Security Operations Center?

Accepted Answer

Nicht zwingend, aber faktisch sinnvoll. NIS2 fordert kontinuierliches Risikomanagement, schnelle Incident Detection und 24h-Frühwarnung - Anforderungen, die ohne SOC kaum erfüllbar sind. KMU können einen Managed SOC als externe Lösung wählen statt ein eigenes Team aufzubauen.

NIS2 Richtlinie

NIS2-Meldefrist 24 Stunden – Wie ein SOC die Einhaltung sicherstellt

NIS2 und SOC: Braucht mein Unternehmen ein Security Operations Center?

NIS2 - Einführung für Ihr Unternehmen

Häufig gestellte Fragen

NIS2 Richtlinie

NIS2-Meldefrist 24 Stunden – Wie ein SOC die Einhaltung sicherstellt

NIS2 und SOC: Braucht mein Unternehmen ein Security Operations Center?

NIS2 - Einführung für Ihr Unternehmen

Häufig gestellte Fragen