Prüfen Sie in unter zwei Minuten, ob die NIS-2-Richtlinie auf Ihr Unternehmen anwendbar ist und welche Pflichten gelten.
Wählen Sie den Sektor und Sub-Sektor, der die Haupttätigkeit Ihres Unternehmens am besten beschreibt.
Die NIS-2-Richtlinie (EU 2022/2555) ist der aktualisierte Cyber-Security-Rahmen der Europäischen Union, der die ursprüngliche NIS-Richtlinie von 2016 ersetzt. In Deutschland wird sie über das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt. Die Richtlinie erweitert den Anwendungsbereich auf 18 Sektoren, führt strengere Sicherheitsanforderungen, verpflichtende Frühwarnung binnen 24 Stunden sowie persönliche Haftung der Geschäftsleitung bei Verstößen ein.
NIS-2 gilt für mittlere und große Unternehmen in 18 Sektoren, darunter Energie, Gesundheitswesen, Verkehr, digitale Infrastruktur, Bankwesen und öffentliche Verwaltung. Klein- und Kleinstunternehmen sind in der Regel ausgenommen — es sei denn, sie erbringen kritische Dienste wie DNS, TLD-Registrierungsstellen oder qualifizierte Vertrauensdienste.
Wesentliche Einrichtungen sind große Unternehmen in Sektoren der Anlage 1 (Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur) sowie Anbieter kritischer Dienste unabhängig von der Größe. Sie unterliegen proaktiver Aufsicht durch das BSI und Geldbußen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen umfassen mittlere Unternehmen in allen NIS-2-Sektoren, mit reaktiver Aufsicht und Geldbußen bis zu 7 Mio. EUR oder 1,4 % des Umsatzes.
NIS-2-Verstöße werden mit Geldbußen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen sowie bis zu 7 Mio. EUR oder 1,4 % des Umsatzes für wichtige Einrichtungen geahndet. Daneben sieht das NIS-2-Umsetzungsgesetz die persönliche Haftung der Geschäftsleitung vor — Mitglieder der Geschäftsführung können zeitweise von Leitungsfunktionen suspendiert werden.
Unser kostenloser NIS-2-Prüfer bewertet die Anwendbarkeit der Richtlinie auf Ihr Unternehmen in drei Schritten: Auswahl von Sektor und Sub-Sektor, Bewertung der Unternehmensgröße (Mitarbeitende und Umsatz) und Prüfung besonderer Kriterien. Auf Basis dieser Eingaben klassifiziert das Werkzeug Ihr Unternehmen als wesentliche oder wichtige Einrichtung — oder als außerhalb des NIS-2-Anwendungsbereichs.