Ressourcen · Leitfaden · Compliance · 1 Min. Lesezeit

NIS2 erklärt: Pflichten, Einrichtungen und Fristen

NIS2
Kurz gesagt

NIS2 ist die EU-Richtlinie 2022/2555 zur Sicherheit von Netz- und Informationssystemen. Sie verpflichtet wesentliche und wichtige Einrichtungen, Sicherheitsmaßnahmen zu ergreifen und erhebliche Vorfälle an das nationale CSIRT zu melden: eine Frühwarnung innerhalb von 24 Stunden, eine Meldung innerhalb von 72 Stunden, einen Abschlussbericht innerhalb von 30 Tagen. Die Sanktionen erreichen 10 Mio. EUR oder 2% des Umsatzes. Sie wird von jedem Mitgliedstaat in nationales Recht umgesetzt.

Was sich mit NIS2 ändert

NIS2 erweitert den Kreis der erfassten Einrichtungen gegenüber NIS1 erheblich und legt die Messlatte höher: strengere Sicherheitsmaßnahmen, Verantwortung bei den Leitungsorganen und Meldepflichten mit präzisen Fristen. Jeder EU-Mitgliedstaat setzt sie in nationales Recht um.

Zwei Kategorien von Einrichtungen

Die Richtlinie unterscheidet wesentliche Einrichtungen (proaktive Aufsicht, höhere Sanktionen) von wichtigen Einrichtungen (reaktive Aufsicht). Die Kategorie hängt von Sektor und Unternehmensgröße ab.

Die Pflichten in der Praxis

Zwei Familien: Risikomanagementmaßnahmen (Überwachung, Detection, Response, Kontinuität, Lieferkette) und Meldung erheblicher Vorfälle an das nationale CSIRT nach dem Schema 24h/72h/30d. Der operative Teil wird von einer kontinuierlichen Außenstelle abgedeckt: Fortgale Compliance-Advisory.

Vergleich

Wesentliche vs wichtige Einrichtungen

WesentlichWichtig
BeispielsektorenEnergie, Verkehr, Gesundheit, Finanzen, digitale InfrastrukturPost, Abfall, Chemie, Lebensmittel, Fertigung, Forschung
Höchstsanktion10 Mio. EUR oder 2% des Umsatzes7 Mio. EUR oder 1,4% des Umsatzes
AufsichtProaktiv (ex ante)Reaktiv (ex post)
Feldbeobachteter Nachweis · ein realer Vorfall

In Operation Storming Tide dämmte das Fortgale-Team eine Intrusion ein und sammelte die für die Meldung nützlichen Beweise: kontinuierliche Überwachung und die Fähigkeit, einen Vorfall zu dokumentieren, sind genau das, was NIS2 verlangt.

Zur Analyse →
FAQ

Häufige Fragen.

Wer fällt unter NIS2?

Wesentliche und wichtige Einrichtungen in den von der Richtlinie festgelegten Sektoren (Energie, Verkehr, Gesundheit, Finanzen, digitale Infrastruktur, Fertigung, Raumfahrt, Wasser, Abfall, öffentliche Verwaltung), in der Regel mittlere und große Organisationen. Die Einstufung wird mit der zuständigen nationalen Behörde geprüft.

Was sind die NIS2-Meldefristen?

Eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden, ein Abschlussbericht innerhalb von 30 Tagen, an das nationale CSIRT.

Ist die NIS2-Meldung dasselbe wie die Datenschutzmeldung?

Nein. NIS2/CSIRT betrifft den Sicherheitsvorfall; die Meldung an die Datenschutzbehörde (DSGVO Art. 33) betrifft personenbezogene Daten. Ein Ransomware-Fall mit Datenexfiltration kann beide auslösen. Siehe Datenschutzverletzung DSGVO.

Wie wird man NIS2-konform?

Mit Risikomanagementmaßnahmen (Überwachung, Detection, Response, Governance) und Meldefähigkeit. Ein Managed SOC/MDR deckt den operativen Teil ab: 24·7-Überwachung, IOC-Sammlung und Unterstützung bei Meldungen.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale Compliance-Advisory.

Verwandte Ressourcen: Datenschutzverletzung DSGVO · Was ist ein SOC

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.