Anhang-I-Sektoren über 250 Mitarbeitende oder 50 Mio. € Umsatz.
Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstemanagement, öffentliche Verwaltung, Weltraum.
PRAXIS · NIS-2-COMPLIANCE
NIS-2-Scoping und Umsetzung Art. 21.
Wir bestätigen, ob Sie wesentliche oder wichtige Einrichtung sind, setzen die zehn Maßnahmen nach Art. 21 um, etablieren den Meldeprozess nach Art. 23 und schulen Ihre Leitungsorgane nach Art. 20. Vorbereitung auf Aufsichtsbesuche enthalten.
NIS-2.DESK · LETZTE 30 TAGE● LIVE
Einrichtungen eingeordnet (wesentlich vs wichtig)12
Umgesetzte Maßnahmen nach Art. 21über 6 Mandate47
Erhebliche Vorfälle gemeldet24h-Warnung eingereicht3
Lieferanten geprüft nach Art. 21(d)128
Leitungs-Briefings gehalten8
Behördenkorrespondenz erfasst14
VERTRAUEN VON 300+ EU-ORGANISATIONEN
ROCHESIEMENSIKEAASTRAZENECAVODAFONEPHILIPSJUST EAT
KOSTENLOSE 30-MIN-BERATUNG
Gespräch mit einem Senior-Berater.
Antwort innerhalb eines Werktages. Klare nächste Schritte und indikative Vergütung.
ANTWORT IN 1 WERKTAG·NDA AUF WUNSCH·KEINE VERPFLICHTUNG
01 / NIS-2 IN 60 SEKUNDEN
Umfang und Einrichtungstypen.
Anhang-II-Sektoren und mittelgroße Anhang-I-Einrichtungen.
Post- und Kurierdienste, Abfall, Chemie, Lebensmittel, Fertigung, digitale Anbieter, Forschung. Über 50 Mitarbeitende oder 10 Mio. € Umsatz.
Nationale Umsetzungsfristen sind abgelaufen.
Die Mitgliedstaaten haben NIS-2 im Zeitraum 2024-2025 in nationales Recht umgesetzt. Aufsichtsbehörden bestimmen jetzt aktiv den Anwendungsbereich und setzen die Vorschriften durch.
WICHTIGE EINRICHTUNGEN
Bis 7 Mio. € oder 1,4% Umsatz
Bußgelder nach Art. 34 für Governance-, Melde- oder Maßnahmenverstöße.
WESENTLICHE EINRICHTUNGEN
Bis 10 Mio. € oder 2% Umsatz
Maximum nach Art. 34. Plus persönliche Haftung der Leitungsorgane nach Art. 20.
02 / ARTIKEL IM SCOPE
Maßnahmen und Meldung.
ART. 21 · RISIKOMANAGEMENT-MAßNAHMEN
Art. 21(a)Risikoanalyse und RichtlinieDokumentierte Informationssicherheits-Richtlinie und Risikoansatz.
Art. 21(b)VorfallbearbeitungFähigkeit zur Erkennung, Reaktion und Wiederherstellung.
Art. 21(c)GeschäftskontinuitätBackup-Management, Disaster Recovery, Krisenkommunikation.
Art. 21(d)Lieferketten-SicherheitSicherheit beim Bezug von Netz- und Informationssystemen.
Art. 21(e-j)Technische MaßnahmenKryptographie, MFA, Zugriffskontrolle, Schwachstellenbehandlung, sichere Entwicklung.
ART. 23 · VORFALLMELDUNG
Art. 23(1)Definition erheblicher VorfallSchwere Betriebsstörung, finanzieller Verlust oder Auswirkungen auf andere Einrichtungen.
Art. 23(4)(a)24-Stunden-FrühwarnungAn CSIRT oder zuständige Behörde, mit Hinweis auf vermuteten böswilligen Ursprung.
Art. 23(4)(b)72-Stunden-MeldungAktualisierte Bewertung, Kompromittierungsindikatoren, erste Gegenmaßnahmen.
Art. 23(4)(c)Abschlussbericht in 1 MonatDetaillierte Beschreibung, Bedrohungsart, angewandte und laufende Maßnahmen.
Art. 20Verantwortung der LeitungsorganeFreigabe der Maßnahmen und Aufsicht; verpflichtende Schulung; persönliche Haftung.
03 / ENGAGEMENT-MODELLE
Einsatzmodelle.
FULLBELIEBT
NIS-2-Programm-Umsetzung
Scope-Bestätigung, Maßnahmen nach Art. 21, Meldeprozess, Lieferketten-Kontrollen, Leitungs-Schulung, Vorbereitung auf Aufsichtsbesuche.
- →Wesentlich vs wichtig bestätigt
- →Zehn Maßnahmen nach Art. 21
- →Meldeprozess 24h-72h-1Mo
- →Leitungs-Schulung (Art. 20)
GAP3-4 WO
NIS-2-Gap-Bewertung
Unabhängige Prüfung der Maßnahmen nach Art. 21 und des Prozesses nach Art. 23. Reifegrad, priorisiertes Lückenregister, Bericht für die Geschäftsleitung.
- →Reifegrad-Basislinie
- →Lückenregister, nach Priorität
- →Risikobewerteter Fahrplan
- →Bericht für die Geschäftsleitung
OPSMONATLICH
NIS-2-Operations-Retainer
Laufende Operations: Lieferantenreviews nach Art. 21(d), Vorfall-Triage und Meldung, Quartals-Briefings für die Leitung, Behördenkorrespondenz.
- →Lieferantenreviews (Art. 21(d))
- →Vorfall-Triage und Meldung
- →Quartals-Briefings Leitung
- →Behördenkorrespondenz
04 / LEISTUNGSUMFANG
Leistungsumfang.
01 / 04
Scope und Governance
- Wesentlich vs wichtig
- Sektor-Mapping Anhang I und II
- Group-Level-Scoping für Tochtergesellschaften
- Rollen und Freigaben der Leitung
- Berichterstattungs-Kadenz an die Geschäftsleitung
02 / 04
Maßnahmen nach Art. 21
- Risikoanalyse-Methodik
- Vorfallbearbeitungs-Verfahren
- Geschäftskontinuität und Krise
- Lieferketten-Sicherheits-Framework
- Kryptographie, MFA, Schwachstellen
03 / 04
Vorfallmeldung
- Vorlage 24h-Frühwarnung
- Vorlage 72h-Meldung
- Vorlage Abschlussbericht
- CSIRT- und Behörden-Kontaktregister
- Internes Eskalations-Runbook
04 / 04
Personal und Aufsicht
- Schulung der Leitungsorgane (Art. 20)
- Rollenbezogene Awareness
- Behördenkorrespondenz
- Vorbereitung auf Aufsichtsbesuche
- Jahresbericht zum Programm
05 / MELDEPROZESSBeispiel-VorfallberichtPDF · 8 S
Vorfall-Meldeprozess.
NIS-2 Art. 23 ergänzt eine 24-h-Frühwarnung und eine 72-h-Meldung zusätzlich zu DSGVO-Art. 33. Wir bauen den Prozess vorab, bereiten Vorlagen vor und triagieren den Vorfall ab Erkennung.
24h-Frühwarnung
Wir reichen ein
72h-Meldung
Wir reichen ein
Abschlussbericht 1 Mo
Wir reichen ein
Krisenteam-Koordination
Enthalten
BEISPIEL.VORFALL.BERICHTOKT 2026
Erheblicher Vorfall erkanntT+0 h
Frühwarnung eingereicht (Art. 23(4)(a))T+18 h
Meldung eingereicht (Art. 23(4)(b))T+62 h
Eindämmung bestätigtT+5 d
Abschlussbericht (Art. 23(4)(c))T+24 d
BehördenantwortKeine weiteren Maßnahmen
UNTERZEICHNET. JELENA NOVAK, PARTNER. CYBERSECURITY UND NIS-2
06 / AUSGEWÄHLTE PROJEKTE
Alle Fallstudien →Aktuelle Mandate.
CASE 01Energieversorger · Wesentliche Einrichtung
NIS-2 Art. 21 vor der nationalen Frist umgesetzt. Keine kritischen Befunde.
34
Standorte
5 Mon.
Zeit bis Compliance
0
Kritische Befunde
SCOPENIS-2 · Art. 21 · Lieferketten-Kontrollen
CASE 02Telekom-Betreiber · Wesentliche Einrichtung
Group-Level-Scoping bestätigt wesentlichen Status für 8 Einrichtungen.
8
Einrichtungen
4
Jurisdiktionen
0
Aufsichtsanfragen
SCOPENIS-2 · Scoping · Meldeprozess
CASE 03B2B-SaaS · Wichtige Einrichtung
Art.-21-Maßnahmen und Meldeprozess in 11 EU-Jurisdiktionen aufgesetzt.
11
Jurisdiktionen
10
Umgesetzte Maßnahmen
4
Leitungs-Briefings
SCOPENIS-2 · Art. 21 · Art. 23 · Schulung Art. 20
07 / WARUM DAS WICHTIG IST
NIS-2-Durchsetzung.
160.000+
EU-Einrichtungen im Anwendungsbereich von NIS-2
10 Mio. € / 2%
Maximales Bußgeld für wesentliche Einrichtungen (Art. 34)
24 h
Frühwarnfrist für erhebliche Vorfälle
72 h
Meldefrist für Vorfälle (Art. 23(4)(b))
TREND 01
Leitungsorgane haften persönlich
Art. 20 macht die Leitungsorgane für die Freigabe der Risikomanagement-Maßnahmen und die Aufsicht verantwortlich. Aufsichtsbehörden haben begonnen, Einzelpersonen zu sanktionieren, nicht nur die Einrichtung.
TREND 02
Lieferketten sind neuer Auditgegenstand
Art. 21(d) verlangt die Bewertung direkter Lieferanten und Dienstleister. Aufsichtsbehörden fordern dokumentierte Reviews standardmäßig an.
TREND 03
Group-Level-Scoping ist nicht trivial
Tochterstrukturen, EU-Niederlassungsregeln und das Prinzip der Hauptniederlassung bestimmen die zuständige Behörde. Falsche Annahmen führen zu Nachmeldungen.
08 / FAQ
Häufige Fragen.
01Wie wissen wir, ob wir betroffen sind?+
Zwei Tests. Erstens, Sektor: Anhang I oder Anhang II der NIS-2. Zweitens, Größe: über 50 Mitarbeitende oder 10 Mio. € Umsatz (wichtig) oder über 250 Mitarbeitende oder 50 Mio. € Umsatz (wesentlich). Es gibt auch größenunabhängige Auslöser für bestimmte Sektoren. Die Bewertung erfolgt in Woche eins.
02Wir sitzen außerhalb der EU und beliefern EU-Kunden. Gilt NIS-2?+
Manchmal. Art. 26 regelt den Anwendungsbereich für Anbieter außerhalb der EU bei bestimmten Diensten (DNS, Cloud, Rechenzentrum, Content Delivery, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke). Ein EU-Vertreter kann nach Art. 26(3) erforderlich sein.
03Wie lange dauert die NIS-2-Umsetzung?+
4 bis 6 Monate für ein typisches mittelständisches Unternehmen. Zwei Monate für Scoping, drei Monate für Art.-21-Maßnahmen und Meldeprozess, ein Monat für Leitungsschulung und Vorbereitung auf Aufsichtsbesuche.
04Was passiert bei den 24- und 72-Stunden-Fristen?+
Bei 24 Stunden reichen wir eine Frühwarnung mit Hinweis auf vermuteten böswilligen Ursprung bei CSIRT oder zuständiger Behörde ein. Bei 72 Stunden reichen wir die Vorfallmeldung mit aktualisierter Bewertung, Kompromittierungsindikatoren und ersten Gegenmaßnahmen ein. Wir koordinieren beide Einreichungen einschließlich Nachfragen der Behörde.
05Brauchen wir ISO 27001 für NIS-2?+
Nein. NIS-2 schreibt ISO 27001 nicht vor. Die beiden Rahmenwerke überschneiden sich stark bei den technischen Maßnahmen, sodass ein einziges Informationssicherheits-Programm beides abdeckt. Die Zertifizierung ist eine Geschäftsentscheidung, die durch Kunden- und Ausschreibungsanforderungen getrieben wird.
06Wie handhaben Sie Group-Level-Scoping?+
Wir ordnen Tochtergesellschaften Sektoren und Größenschwellen zu, etablieren die Regel der Hauptniederlassung nach Art. 26 und definieren die Berichterstattungs-Kadenz der Gruppe. Bei mehreren Jurisdiktionen koordinieren wir die einheitliche Kontaktstelle und vermeiden Doppelmeldungen.
09 / RESSOURCEN
Vorlagen und Leitfäden.
LEITFADENPDF · 32 Seiten
NIS-2-Umsetzungsleitfaden
Maßnahmen aus Art. 21 in 60 praktische Kontrollen übersetzt, mit Vorlagen für die Meldung und Schulungsskripten.
Herunterladen ↓E-MAIL ERFORDERLICH
LEITFADENPDF · 14 Seiten
Entscheidungsbaum: wesentlich vs wichtig
Visueller Entscheidungsbaum für Sektor, Größe und größenunabhängige Auslöser. Anhang I und II auf gängige Geschäftsmodelle gemappt.
Herunterladen ↓E-MAIL ERFORDERLICH
VORLAGEPDF + DOCX
Vorlagen für Art.-23-Meldungen
Vorgefertigte Vorlagen für 24h-Frühwarnung, 72h-Meldung und Abschlussbericht. Abgestimmt mit aktuellen Behördenleitlinien.
Herunterladen ↓E-MAIL ERFORDERLICH
10 / VERWANDTE PRAXEN
Verwandte Praxen.
Cybersecurity und ISO 27001
Gleiche Kontrollen, anderes Rahmenwerk. ISO 27001 Anhang A deckt die meisten technischen Maßnahmen aus NIS-2 Art. 21 ab.
Praxis öffnen →Datenschutz und DSGVO
Gleicher Vorfall, zwei Uhren. DSGVO Art. 33 ergänzt die 72-Stunden-Meldung zur 24-Stunden-CERT-Warnung.
Praxis öffnen →Incident Response
Vorgefertigte Playbooks, Vorlagen für Aufsichtsmeldungen, Koordination des Krisenteams.
Praxis öffnen →11 / GET STARTED
NIS-2-Programm starten.
Kostenloses Erstgespräch. Klare nächste Schritte. Indikative Vergütung innerhalb eines Werktages.