- NIS2 gilt seit Dezember 2025 in Deutschland und betrifft Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in 18 kritischen Sektoren.
- Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen und muss an Schulungen teilnehmen.
- Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, ein vollständiger Bericht folgt nach 72 Stunden.
- Artikel 21 definiert 10 Mindestmaßnahmen, darunter Risikomanagement, Incident Response, Business Continuity und Supply-Chain-Sicherheit.
- Der Aufbau eines ISMS nach ISO 27001 deckt rund 80 % der NIS2-Anforderungen ab und ist der effizienteste Weg zur Compliance.
NIS2 ist da - und der Mittelstand steht im Fokus
Am 16. Januar 2023 trat die europäische NIS2-Richtlinie in Kraft. Seit Dezember 2025 ist sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) auch in Deutschland geltendes Recht. Für den Mittelstand ändert sich damit grundlegend, wie Cybersicherheit organisiert und nachgewiesen werden muss.
Das Besondere an NIS2 im Vergleich zur Vorgängerrichtlinie: Der Kreis der betroffenen Unternehmen hat sich massiv erweitert. Waren es vorher hauptsächlich große Betreiber kritischer Infrastrukturen, fallen jetzt Tausende mittelständische Unternehmen unter die Regulierung. Die Schätzungen des BSI gehen von rund 30.000 betroffenen Organisationen allein in Deutschland aus.
Wenn du in der Geschäftsführung oder IT-Leitung eines mittelständischen Unternehmens sitzt und dich fragst, ob dich das betrifft und was du jetzt tun musst - dieser Artikel gibt dir die Antworten.
Bin ich betroffen? Die Schwellenwerte im Detail
NIS2 arbeitet mit zwei Kategorien: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Für den Mittelstand ist vor allem die zweite Kategorie relevant.
Du fällst unter NIS2, wenn dein Unternehmen zwei Bedingungen gleichzeitig erfüllt:
Bedingung 1 - Größe:
- Mindestens 50 Mitarbeiter oder
- Mindestens 10 Millionen Euro Jahresumsatz oder
- Mindestens 10 Millionen Euro Jahresbilanzsumme
Bedingung 2 - Sektor: Dein Unternehmen ist in einem der 18 regulierten Sektoren tätig.
Die 18 Sektoren im Überblick
Sektoren mit hoher Kritikalität (Anhang I):
| Sektor | Beispiele |
|---|---|
| Energie | Stromversorger, Gasnetzbetreiber, Fernwärme |
| Transport | Speditionen, Logistik, Flughäfen, Häfen |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharma, Medizinprodukte |
| Trinkwasser | Wasserversorger |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | Rechenzentren, CDN, DNS, TLD-Registrare |
| ICT-Dienstleister (B2B) | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Sonstige kritische Sektoren (Anhang II):
| Sektor | Beispiele |
|---|---|
| Post und Kurier | Paketdienstleister |
| Abfallwirtschaft | Entsorgungsunternehmen |
| Chemie | Chemische Produktion und Vertrieb |
| Lebensmittel | Großhandel, Verarbeitung, Produktion |
| Verarbeitendes Gewerbe | Maschinenbau, Fahrzeugbau, Elektrotechnik, Medizintechnik |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Ein konkretes Beispiel
Ein Maschinenbauer mit 120 Mitarbeitern und 25 Millionen Euro Umsatz: klar betroffen. Verarbeitendes Gewerbe ist ein regulierter Sektor, und die Schwellenwerte werden überschritten. Dieses Unternehmen fällt als wichtige Einrichtung unter NIS2.
Aber auch ein IT-Dienstleister mit 55 Mitarbeitern, der Managed Services für andere Unternehmen erbringt, ist dabei. ICT-Dienstleister im B2B-Bereich sind explizit als Sektor gelistet.
Wichtig: Im Zweifel musst du dich selbst einordnen. Es gibt kein Schreiben vom BSI, das dich informiert. Die Registrierungspflicht liegt beim Unternehmen selbst.
Was NIS2 konkret fordert
NIS2 ist kein reines IT-Thema. Die Richtlinie fordert ein organisatorisches Sicherheitsmanagementsystem, das technische und prozessuale Maßnahmen verbindet. Im Kern geht es um vier Bereiche:
1. Risikomanagement für Cybersicherheit
Du brauchst einen strukturierten Prozess, um Cyberrisiken zu identifizieren, zu bewerten und zu behandeln. Eine fundierte Risikobewertung ist dabei der zentrale Baustein. Das bedeutet nicht, dass du jedes Risiko eliminieren musst - aber du musst nachweisen können, dass du sie kennst und bewusst damit umgehst.
Für ein Unternehmen mit rund 100 Mitarbeitern heißt das konkret: Eine Risikoanalyse für die wichtigsten IT-Systeme und Geschäftsprozesse. Welche Systeme sind geschäftskritisch? Was passiert, wenn das ERP zwei Tage ausfällt? Wie wahrscheinlich ist ein Ransomware-Angriff, und was wäre der Schaden?
2. Meldepflichten bei Sicherheitsvorfällen
Die Meldefristen bei NIS2 sind deutlich schärfer als alles, was es bisher gab:
| Frist | Was gemeldet werden muss |
|---|---|
| 24 Stunden | Erste Meldung an das BSI nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls |
| 72 Stunden | Aktualisierte Meldung mit Bewertung, Schweregrad und Auswirkungen |
| 1 Monat | Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen |
Ein erheblicher Sicherheitsvorfall liegt vor, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht bzw. verursachen kann, oder wenn andere Personen oder Einrichtungen erheblich geschädigt werden.
In der Praxis bedeutet das: Du brauchst einen funktionierenden Incident Response Plan. Wenn freitags um 17 Uhr ein Vorfall entdeckt wird, muss innerhalb von 24 Stunden eine Meldung rausgehen. Das funktioniert nur, wenn Verantwortlichkeiten, Kommunikationswege und Meldeformulare vorher definiert sind.
3. Business Continuity Management (BCM)
NIS2 verlangt, dass du Pläne hast, um den Geschäftsbetrieb bei einem Cyberangriff aufrechtzuerhalten oder schnell wiederherzustellen. Dazu gehören Backup-Management, Disaster-Recovery-Pläne und Krisenmanagement.
Für den Maschinenbauer mit 120 Mitarbeitern: Was passiert, wenn die Produktionssteuerung kompromittiert wird? Gibt es Offline-Backups? Wie lange dauert eine Wiederherstellung? Gibt es einen Plan B für die Auftragsabwicklung, wenn SAP drei Tage nicht verfügbar ist?
4. Supply-Chain-Sicherheit
Das ist der Punkt, der viele Mittelständler überrascht. Du musst die Cybersicherheit deiner Lieferkette bewerten und managen. Das betrifft IT-Dienstleister, Softwareanbieter und andere Zulieferer, von denen deine Geschäftsprozesse abhängen.
Konkret: Wenn du einen externen IT-Dienstleister für dein Netzwerk nutzt, musst du dessen Sicherheitsniveau kennen und vertraglich absichern. Das gilt auch für Cloud-Dienste, SaaS-Anwendungen und Softwarelieferanten.
Die 10 Mindestmaßnahmen nach Artikel 21
Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die jede betroffene Einrichtung umsetzen muss. Diese sind bewusst technologieneutral formuliert, damit sie auf unterschiedliche Unternehmensgrößen anwendbar bleiben.
1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
Erstelle eine dokumentierte Risikoanalyse für deine kritischen Informationssysteme. Definiere darauf basierend Sicherheitsrichtlinien und überprüfe beides regelmäßig.
2. Bewältigung von Sicherheitsvorfällen
Baue einen Incident-Response-Prozess auf: Erkennung, Analyse, Eindämmung, Beseitigung und Nachbereitung. Definiere klare Eskalationswege und die Rollen im Incident-Response-Team.
3. Business Continuity und Krisenmanagement
Erstelle Notfallpläne für den Ausfall kritischer Systeme. Teste diese Pläne mindestens jährlich. Stelle sicher, dass Backups existieren, regelmäßig geprüft werden und Restore-Prozesse dokumentiert sind.
4. Sicherheit der Lieferkette
Bewerte die Cybersicherheit deiner Lieferanten und Dienstleister. Nimm Sicherheitsanforderungen in Verträge auf. Überwache die Einhaltung.
5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
Berücksichtige Sicherheitsanforderungen bereits bei der Beschaffung und Entwicklung von IT-Systemen. Das umfasst auch das Management von Schwachstellen und Updates.
6. Bewertung der Wirksamkeit von Maßnahmen
Überprüfe regelmäßig, ob deine Sicherheitsmaßnahmen tatsächlich wirken. Das kann durch interne Audits, Penetrationstests oder Sicherheitsüberprüfungen geschehen.
7. Cyberhygiene und Schulungen
Schulungsprogramme für alle Mitarbeiter und spezifische Schulungen für die Geschäftsleitung. Grundlegende Cyberhygiene-Praktiken müssen etabliert sein: sichere Passwörter, Phishing-Erkennung, sicherer Umgang mit mobilen Geräten.
8. Kryptografie und Verschlüsselung
Setze Verschlüsselung ein, wo es angemessen ist. Das betrifft Daten in Übertragung (TLS) und Daten in Ruhe (Festplattenverschlüsselung, verschlüsselte Backups). Definiere eine Kryptografie-Richtlinie.
9. Personalsicherheit und Zugriffskontrolle
Implementiere ein Zugriffskontrollkonzept nach dem Least-Privilege-Prinzip. Regele den Zugang zu kritischen Systemen über Rollen und Berechtigungen. Berücksichtige auch die Personalsicherheit bei Einstellung und Ausscheiden von Mitarbeitern.
10. Multi-Faktor-Authentifizierung und sichere Kommunikation
Setze Multi-Faktor-Authentifizierung für den Zugang zu kritischen Systemen ein. Nutze sichere, verschlüsselte Kommunikationswege. Setze im Notfall auf abgesicherte Sprach-, Video- und Textkommunikation.
Haftung der Geschäftsführung - das wird persönlich
Der vielleicht weitreichendste Aspekt von NIS2 für den Mittelstand: Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Das ist kein theoretisches Risiko, sondern eine explizite Regelung der Richtlinie.
Konkret bedeutet das:
- Genehmigungspflicht: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen formal genehmigen und deren Umsetzung überwachen.
- Schulungspflicht: Geschäftsführer müssen selbst an Cybersicherheitsschulungen teilnehmen. Delegieren an die IT-Abteilung reicht nicht.
- Persönliche Haftung: Bei Verstößen können Geschäftsführer persönlich zur Verantwortung gezogen werden. Die Haftung kann nicht durch Versicherungen oder vertragliche Regelungen ausgeschlossen werden.
Für den Geschäftsführer eines Maschinenbauers mit 120 Mitarbeitern heißt das: Cybersicherheit ist Chefsache. Es reicht nicht mehr, dieses Thema an den IT-Leiter zu delegieren und sich nicht weiter darum zu kümmern. Die Geschäftsführung muss verstehen, welche Risiken bestehen, welche Maßnahmen ergriffen werden und ob diese ausreichend sind.
Bußgelder bei Verstößen
Die Sanktionen sind gestaffelt nach Einrichtungstyp:
| Kategorie | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes |
Für die meisten Mittelständler sind diese Höchstbeträge theoretisch. Aber auch Bußgelder im fünf- oder sechsstelligen Bereich können für ein Unternehmen mit 25 Millionen Euro Umsatz schmerzhaft sein. Dazu kommt der Reputationsschaden, wenn ein Sicherheitsvorfall öffentlich wird.
Der Zusammenhang zwischen NIS2 und ISO 27001
Eine gute Nachricht für alle, die sich fragen, wie sie NIS2 strukturiert umsetzen sollen: Ein ISMS nach ISO 27001 deckt rund 80 % der NIS2-Anforderungen ab. Beide verfolgen den gleichen risikobasierten Ansatz und überlappen in zentralen Bereichen.
| NIS2-Anforderung | ISO 27001 Entsprechung |
|---|---|
| Risikoanalyse | Kapitel 6 (Planung), Annex A.8 |
| Incident Response | Annex A.5.24-A.5.28 |
| Business Continuity | Annex A.5.29-A.5.30 |
| Supply Chain Security | Annex A.5.19-A.5.23 |
| Zugriffskontrolle | Annex A.5.15-A.5.18, Annex A.8 |
| Verschlüsselung | Annex A.8.24 |
| Schulungen | Annex A.6.3 |
| Schwachstellenmanagement | Annex A.8.8 |
Der Vorteil eines ISMS als Basis: Du hast ein Management-System, das nicht nur die aktuellen NIS2-Anforderungen abdeckt, sondern auch flexibel genug ist, um auf zukünftige Änderungen zu reagieren. Und wenn deine Kunden oder Auftraggeber irgendwann eine ISO-27001-Zertifizierung verlangen, hast du die halbe Arbeit bereits erledigt.
Schritt für Schritt: NIS2 umsetzen in einem Unternehmen mit ~100 Mitarbeitern
Genug Theorie. Hier ist ein realistischer Plan für ein mittelständisches Unternehmen, das bei null anfängt und NIS2-Compliance erreichen will.
Phase 1: Bestandsaufnahme und Grundlagen (Monat 1-2)
Betroffenheitsanalyse abschließen: Prüfe formal, ob dein Unternehmen unter NIS2 fällt. Dokumentiere Sektor, Mitarbeiterzahl und Umsatz. Registriere dich beim BSI über die dafür vorgesehene Plattform.
Verantwortlichkeiten festlegen: Benenne einen Informationssicherheitsbeauftragten (ISB). In einem Unternehmen mit 100 Mitarbeitern kann das eine Teilzeit-Rolle sein, aber es muss jemand benannt sein. Die Geschäftsleitung muss ihre Genehmigungsrolle formell übernehmen.
Asset-Inventar erstellen: Liste alle IT-Systeme, Anwendungen, Datenbanken und Netzwerkkomponenten auf. Du kannst nur schützen, was du kennst. Für ein Unternehmen dieser Größe rechne mit 50 bis 150 relevanten Assets.
Bestandsaufnahme der bestehenden Maßnahmen: Was hast du bereits? Firewall, Virenscanner, Backup-Konzept, Zugriffskontrolle? Viele Unternehmen haben mehr als sie denken, es ist nur nicht dokumentiert.
Phase 2: Risikoanalyse und Kernprozesse (Monat 3-4)
Risikoanalyse durchführen: Bewerte für jedes kritische Asset: Welche Bedrohungen bestehen? Wie wahrscheinlich ist ein Vorfall? Was wäre der Schaden? Priorisiere die Risiken und definiere Behandlungsmaßnahmen.
Ein pragmatischer Ansatz für 100 Mitarbeiter: Konzentriere dich auf die 20 bis 30 geschäftskritischen Systeme. Das ERP, die Produktionssteuerung, E-Mail, File-Server, VPN-Zugang, Active Directory. Nicht jeder Drucker braucht eine eigene Risikoanalyse. Tools wie ISMS Lite bilden die Risikobewertung mit 5×5-Matrix und automatischer Restrisiko-Berechnung direkt ab, sodass du dich auf die inhaltliche Bewertung konzentrieren kannst.
Incident-Response-Prozess aufbauen: Definiere, was ein Sicherheitsvorfall ist, wer informiert wird, wer entscheidet und wie die BSI-Meldung innerhalb von 24 Stunden erfolgt. Erstelle ein Meldeformular und teste den Prozess einmal durch.
Sicherheitsrichtlinien erstellen: Beginne mit den wichtigsten Dokumenten: Informationssicherheitsleitlinie, Passwort-Richtlinie, Richtlinie für mobile Geräte, Backup-Richtlinie. Diese müssen nicht hundert Seiten lang sein - pragmatisch und umsetzbar ist besser als akademisch und vollständig.
Phase 3: Technische Maßnahmen umsetzen (Monat 5-7)
Multi-Faktor-Authentifizierung einführen: Starte mit den kritischsten Zugängen: VPN, Admin-Konten, E-Mail-Zugang von extern, Cloud-Dienste. Rolle dann schrittweise auf alle Mitarbeiter aus.
Verschlüsselung sicherstellen: TLS für alle internen und externen Webdienste, Festplattenverschlüsselung für Laptops, verschlüsselte Backups. Prüfe, ob dein E-Mail-Verkehr verschlüsselt ist.
Backup-Konzept überprüfen: Existieren Offline-Backups, die bei einem Ransomware-Angriff nicht mit verschlüsselt werden? Wie oft werden Backups getestet? Wann wurde das letzte Mal ein vollständiger Restore durchgeführt?
Netzwerksegmentierung prüfen: Trennung von Produktions- und Büronetzwerk, Segmentierung kritischer Systeme, Einschränkung von Lateral Movement. Das muss nicht perfekt sein, aber die gröbsten Lücken sollten geschlossen werden.
Schwachstellenmanagement aufsetzen: Regelmäßige Updates und Patches für alle Systeme. Ein Prozess, um kritische Schwachstellen zeitnah zu bewerten und zu beheben. Für ein Unternehmen mit 100 Mitarbeitern reicht oft ein pragmatisches Patch-Management mit klaren Zuständigkeiten.
Phase 4: Lieferkette und Schulungen (Monat 8-9)
Lieferantenbewertung durchführen: Identifiziere deine kritischen IT-Dienstleister und Softwareanbieter. Sende einen Sicherheitsfragebogen. Prüfe bestehende Verträge auf Sicherheitsklauseln und ergänze sie bei Bedarf.
Für ein typisches Unternehmen mit 100 Mitarbeitern gibt es oft 5 bis 10 kritische IT-Lieferanten: der Managed-Service-Provider, der ERP-Anbieter, der Cloud-Provider, der Telekommunikationsanbieter und vielleicht ein paar SaaS-Dienste. Fang bei denen an.
Schulungsprogramm starten: Alle Mitarbeiter brauchen eine Grundschulung zu Cyberhygiene: Phishing erkennen, sichere Passwörter, Umgang mit verdächtigen E-Mails, Meldewege bei Vorfällen. Die Geschäftsführung braucht eine separate Schulung zu NIS2-Pflichten und ihrer Verantwortung.
Ein realistisches Format: Eine 60-minütige Online-Schulung für alle Mitarbeiter, vierteljährlich kurze Auffrischungen oder Phishing-Simulationen und eine halbtägige Schulung für die Geschäftsführung.
Phase 5: Prüfung und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit durchführen: Prüfe systematisch, ob alle zehn Mindestmaßnahmen umgesetzt sind. Dokumentiere Lücken und erstelle einen Maßnahmenplan zur Nachbesserung. In ISMS Lite lässt sich der Umsetzungsstatus jeder NIS2-Anforderung mit Begründung und verlinkten Maßnahmen dokumentieren, was die Nachweisführung erheblich vereinfacht.
Business-Continuity-Pläne testen: Führe eine Tabletop-Übung durch. Simuliere einen Ransomware-Angriff auf einem Freitagabend. Funktioniert der Incident-Response-Prozess? Weiß jeder, was zu tun ist? Können die Backups tatsächlich wiederhergestellt werden?
Dokumentation vervollständigen: Stelle sicher, dass alle Maßnahmen, Entscheidungen und Prozesse dokumentiert sind. Bei einer Prüfung durch das BSI musst du nachweisen können, was du tust und warum.
Management-Review einplanen: Die Geschäftsführung soll mindestens jährlich den Stand der Informationssicherheit bewerten. Welche Risiken bestehen? Welche Vorfälle gab es? Sind die Maßnahmen ausreichend? Wo muss nachgebessert werden?
Zeitplan auf einen Blick
| Zeitraum | Schwerpunkt | Ergebnis |
|---|---|---|
| Monat 1-2 | Bestandsaufnahme | Betroffenheitsanalyse, Asset-Inventar, ISB benannt, Registrierung beim BSI |
| Monat 3-4 | Risikoanalyse & Kernprozesse | Risikobewertung, Incident-Response-Prozess, Kernrichtlinien |
| Monat 5-7 | Technische Umsetzung | MFA, Verschlüsselung, Backup-Optimierung, Patch-Management |
| Monat 8-9 | Lieferkette & Schulungen | Lieferantenbewertung, Mitarbeiterschulungen, Management-Schulung |
| Monat 10-12 | Prüfung & Verbesserung | Internes Audit, BC-Tests, Dokumentation, Management-Review |
Dieser Zeitplan ist ambitioniert, aber machbar - vorausgesetzt, jemand treibt das Thema aktiv voran. Ohne dedizierte Ressourcen und Rückendeckung der Geschäftsleitung wird es nicht funktionieren.
Die häufigsten Fehler bei der NIS2-Umsetzung
Aus der Praxis lassen sich einige typische Stolperfallen identifizieren:
Zu spät anfangen. NIS2 gilt bereits. Wer jetzt erst beginnt, steht unter Zeitdruck. Die gute Nachricht: Ein pragmatischer Ansatz mit klarer Priorisierung kann auch in wenigen Monaten substanzielle Fortschritte liefern. Entscheidend ist, dass du nachweisen kannst, dass du aktiv an der Umsetzung arbeitest.
Reines IT-Projekt. NIS2 ist ein Managementthema, kein IT-Projekt. Wenn der IT-Leiter das allein stemmen soll, fehlt die organisatorische Verankerung. Die Geschäftsführung muss aktiv eingebunden sein, nicht nur auf dem Papier.
Perfektionismus statt Pragmatismus. Ein ISMS muss nicht perfekt sein, um wirksam zu sein. Lieber 80 % der Maßnahmen solide umgesetzt als 100 % auf dem Papier geplant und nichts davon in der Praxis angekommen. Start lean, iterate fast.
Dokumentation vergessen. Du kannst die beste Firewall der Welt haben - wenn du nicht dokumentiert hast, warum du sie so konfiguriert hast, welche Risiken sie adressiert und wer für die Wartung verantwortlich ist, hilft dir das bei einer Prüfung wenig.
Supply Chain ignorieren. Viele Unternehmen konzentrieren sich auf interne Maßnahmen und vergessen, dass NIS2 explizit die Lieferkette einbezieht. Gerade mittelständische Unternehmen, die stark von externen IT-Dienstleistern abhängen, müssen hier nacharbeiten.
Was jetzt am wichtigsten ist
Falls du dich fragst, womit du morgen anfangen sollst - hier sind die drei wichtigsten ersten Schritte:
Erstens: Betroffenheit klären. Prüfe Sektor und Größe deines Unternehmens anhand der NIS2-Kriterien. Wenn du betroffen bist, registriere dich beim BSI.
Zweitens: Geschäftsführung ins Boot holen. Ohne Rückendeckung von oben wird die Umsetzung nicht funktionieren. Nutze die persönliche Haftung als Argument - das öffnet erfahrungsgemäß Türen und Budgets.
Drittens: ISB benennen und Bestandsaufnahme starten. Jemand muss das Thema besitzen. Und bevor du Maßnahmen planen kannst, musst du wissen, wo du stehst.
Weiterführende Artikel
- NIS2-Erstmeldung ans BSI: Inhalt, Fristen und Vorlage
- NIS2-Meldefristen im Überblick: 24h, 72h, 1 Monat – was wann fällig ist
- NIS2-Bußgelder: Wer haftet und wie hoch sind die Strafen?
- NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
NIS2 ist anspruchsvoll, aber es ist kein Hexenwerk. Mit einem strukturierten Ansatz, realistischen Erwartungen und den richtigen Werkzeugen können auch mittelständische Unternehmen die Anforderungen erfüllen - und nebenbei ihre Cybersicherheit tatsächlich verbessern. Denn das ist letztlich der Sinn der ganzen Übung: nicht Compliance um der Compliance willen, sondern ein echtes Plus an Sicherheit für dein Unternehmen.