Zurück zum Glossar
N
Definition

NIS2 IT-Definition

Europäische Cybersicherheits-Richtlinie, die die NIS-Anforderungen auf 18 kritische Sektoren ausdehnt, 2024-2025 in nationales Recht umgesetzt.

NIS2 (Network and Information Security 2, EU-Richtlinie 2022/2555) ist die europäische Richtlinie, die die Cybersicherheits-Anforderungen in Europa verstärkt und ausdehnt. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016) und gilt für etwa 160.000 Einheiten in der EU.

Wer von NIS2 betroffen ist

NIS2 deckt 18 kritische Sektoren ab:

### «Wesentliche» Sektoren (11 Sektoren)

Energie, Verkehr, Bank- und Finanzmärkte, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.

### «Wichtige» Sektoren (7 Sektoren)

Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Dienste, Forschung.

### Größenkriterien

NIS2 gilt für Einheiten mit mindestens 50 Mitarbeitern oder 10 Mio. € Umsatz.

Die NIS2-Verpflichtungen

### 1. Governance und Verantwortung

Das Exekutivkomitee ist persönlich verantwortlich.

### 2. Cyber-Risikomanagement

Politik der Informationssicherheit, Management von Vorfällen, BCP / DRP, Sicherheit der Lieferkette, Netzwerk- und Systemsicherheit, Kryptografie, Personalsicherheit, MFA.

### 3. Vorfall-Benachrichtigung

  • Frühwarnung: innerhalb von 24 Stunden.
  • Detaillierte Benachrichtigung: innerhalb von 72 Stunden.
  • Abschlussbericht: innerhalb eines Monats.

### 4. Aufsicht und Sanktionen

  • Geldbußen bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes für wesentliche Einheiten.
  • Individuelle Sanktionen: für Führungskräfte.

NIS2 und Anwendungskartografie

NIS2 verlangt (Artikel 21 und 23):

  • Ein aktuelles Inventar der kritischen Assets.
  • Die Kartografie der IT-Lieferanten.
  • Die Verfolgung der Schwachstellen (vgl. SBOM).
  • Die Nachvollziehbarkeit der Zugriffe.

Kabeen bietet einen lebenden Graphen des SI, der für die NIS2-Konformität nutzbar ist.

NIS2 vs. NIS vs. [DORA](/de/glossary/dora)

  • NIS: (2016): 7 Sektoren, ~18.000 Einheiten.
  • NIS2: (2024): 18 Sektoren, ~160.000 Einheiten.
  • DORA: lex specialis für den europäischen Finanzsektor.

Compliance-Roadmap

Typischer Ablauf in 12 bis 18 Monaten:

  1. Eignungsdiagnose.
  2. Gap-Analyse.
  3. Kartografie des kritischen SI.
  4. Risikomanagement-Politik.
  5. Vorfall-Benachrichtigungsverfahren.
  6. Sensibilisierungsprogramm.
  7. Jährliches internes Audit.
  8. Registrierung bei der zuständigen Behörde.

Häufig gestellte Fragen

Was ist NIS2?

+

NIS2 (Network and Information Security 2, EU-Richtlinie 2022/2555) ist die europäische Richtlinie, die die Cybersicherheits-Anforderungen in Europa verstärkt. Sie ersetzt die ursprüngliche NIS (2016) und gilt für etwa 160.000 europäische Einheiten — in 18 kritischen Sektoren — mit verstärkten Verpflichtungen zum Cyber-Risikomanagement, zur Vorfall-Benachrichtigung und zur Aufsicht.

Ist mein Unternehmen von NIS2 betroffen?

+

NIS2 gilt für Einheiten mit mindestens 50 Mitarbeitern oder 10 Mio. € Umsatz, die in 18 kritischen Sektoren tätig sind: Energie, Verkehr, Bank, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, aber auch Fertigung, Lebensmittel, Postdienste, digitale Anbieter, Forschung.

Welche Sanktionen riskiert man bei Nichteinhaltung von NIS2?

+

Für die wesentlichen Einheiten: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Für die wichtigen Einheiten: bis zu 7 Mio. € oder 1,4 %. Individuelle Sanktionen für Führungskräfte bei schweren Verstößen. Möglichkeit der Aussetzung der Tätigkeit in extremen Fällen. Die Führungskräfte sind persönlich verantwortlich.

Unterschied zwischen NIS2 und DORA?

+

NIS2 deckt 18 kritische europäische Sektoren ab (Energie, Gesundheit, Verkehr, Wasser, öffentliche Verwaltung usw.). DORA ist lex specialis für den Finanzsektor: Banken, Versicherungen, Fondsmanager. Eine Finanzeinheit unterliegt DORA und nicht NIS2.

Alle Begriffe

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

5R-Methode

Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.

8

8R-Methode

Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.

A

Anwendung

Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.

A

Architektur

Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.

Zurück zum Glossar

Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?

Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.

Kostenlos testen