KabeenKabeenIT Playbook
Découvrir Kabeen
Glossaire
NGlossaire

NIS2

Europäische Cybersicherheits-Richtlinie, die die NIS-Anforderungen auf 18 kritische Sektoren ausdehnt, 2024-2025 in nationales Recht umgesetzt.

NIS2 (Network and Information Security 2, EU-Richtlinie 2022/2555) ist die europäische Richtlinie, die die Cybersicherheits-Anforderungen in Europa verstärkt und ausdehnt. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016) und gilt für etwa 160.000 Einheiten in der EU.

Wer von NIS2 betroffen ist

NIS2 deckt 18 kritische Sektoren ab:

### «Wesentliche» Sektoren (11 Sektoren)

Energie, Verkehr, Bank- und Finanzmärkte, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.

### «Wichtige» Sektoren (7 Sektoren)

Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Dienste, Forschung.

### Größenkriterien

NIS2 gilt für Einheiten mit mindestens 50 Mitarbeitern oder 10 Mio. € Umsatz.

Die NIS2-Verpflichtungen

### 1. Governance und Verantwortung

Das Exekutivkomitee ist persönlich verantwortlich.

### 2. Cyber-Risikomanagement

Politik der Informationssicherheit, Management von Vorfällen, BCP / DRP, Sicherheit der Lieferkette, Netzwerk- und Systemsicherheit, Kryptografie, Personalsicherheit, MFA.

### 3. Vorfall-Benachrichtigung

  • Frühwarnung: innerhalb von 24 Stunden.
  • Detaillierte Benachrichtigung: innerhalb von 72 Stunden.
  • Abschlussbericht: innerhalb eines Monats.

### 4. Aufsicht und Sanktionen

  • Geldbußen bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes für wesentliche Einheiten.
  • Individuelle Sanktionen: für Führungskräfte.

NIS2 und Anwendungskartografie

NIS2 verlangt (Artikel 21 und 23):

  • Ein aktuelles Inventar der kritischen Assets.
  • Die Kartografie der IT-Lieferanten.
  • Die Verfolgung der Schwachstellen (vgl. SBOM).
  • Die Nachvollziehbarkeit der Zugriffe.

Kabeen bietet einen lebenden Graphen des SI, der für die NIS2-Konformität nutzbar ist.

NIS2 vs. NIS vs. [DORA](/de/glossary/dora)

  • NIS: (2016): 7 Sektoren, ~18.000 Einheiten.
  • NIS2: (2024): 18 Sektoren, ~160.000 Einheiten.
  • DORA: lex specialis für den europäischen Finanzsektor.

Compliance-Roadmap

Typischer Ablauf in 12 bis 18 Monaten:

  1. Eignungsdiagnose.
  2. Gap-Analyse.
  3. Kartografie des kritischen SI.
  4. Risikomanagement-Politik.
  5. Vorfall-Benachrichtigungsverfahren.
  6. Sensibilisierungsprogramm.
  7. Jährliches internes Audit.
  8. Registrierung bei der zuständigen Behörde.

Questions fréquentes

Was ist NIS2?

NIS2 (Network and Information Security 2, EU-Richtlinie 2022/2555) ist die europäische Richtlinie, die die Cybersicherheits-Anforderungen in Europa verstärkt. Sie ersetzt die ursprüngliche NIS (2016) und gilt für etwa 160.000 europäische Einheiten — in 18 kritischen Sektoren — mit verstärkten Verpflichtungen zum Cyber-Risikomanagement, zur Vorfall-Benachrichtigung und zur Aufsicht.

Ist mein Unternehmen von NIS2 betroffen?

NIS2 gilt für Einheiten mit mindestens 50 Mitarbeitern oder 10 Mio. € Umsatz, die in 18 kritischen Sektoren tätig sind: Energie, Verkehr, Bank, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, aber auch Fertigung, Lebensmittel, Postdienste, digitale Anbieter, Forschung.

Welche Sanktionen riskiert man bei Nichteinhaltung von NIS2?

Für die wesentlichen Einheiten: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Für die wichtigen Einheiten: bis zu 7 Mio. € oder 1,4 %. Individuelle Sanktionen für Führungskräfte bei schweren Verstößen. Möglichkeit der Aussetzung der Tätigkeit in extremen Fällen. Die Führungskräfte sind persönlich verantwortlich.

Unterschied zwischen NIS2 und DORA?

NIS2 deckt 18 kritische europäische Sektoren ab (Energie, Gesundheit, Verkehr, Wasser, öffentliche Verwaltung usw.). DORA ist lex specialis für den Finanzsektor: Banken, Versicherungen, Fondsmanager. Eine Finanzeinheit unterliegt DORA und nicht NIS2.