Die NIS2-Richtlinie ist Deutschlands umfassendste Cybersecurity-Regulierung und betrifft ab sofort 29.500 Unternehmen — darunter jedes SaaS-Unternehmen und jede Webplattform, die digitale Infrastruktur bereitstellt. Hier erfahren Sie, was Sie jetzt tun müssen.
Was ist NIS2?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Cybersecurity-Richtlinie, die in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt wurde. Sie ersetzt die bisherige NIS-Richtlinie und erweitert den Anwendungsbereich massiv.
Betrifft NIS2 mein Unternehmen?
NIS2 betrifft Sie, wenn Ihr Unternehmen:
- SaaS-Plattformen betreibt, auf die andere Unternehmen angewiesen sind
- Online-Marktplätze oder E-Commerce-Plattformen anbietet
- Managed IT Services oder Cloud-Dienste bereitstellt
- Digitale Infrastruktur betreibt, die andere Unternehmen nutzen
- Mehr als 50 Mitarbeiter hat oder mehr als €10M Jahresumsatz erzielt
Die 10 Pflichtmaßnahmen nach Artikel 21
NIS2 Artikel 21 fordert mindestens diese zehn Cybersecurity-Maßnahmen:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Incident Response — Bewältigung von Sicherheitsvorfällen
- Business Continuity — Backup-Management und Notfallwiederherstellung
- Supply Chain Security — Sicherheit in der Lieferkette und bei Zulieferern, einschließlich DSGVO-konformem Vendor-Management
- Sicherheit bei Beschaffung — Entwicklung und Wartung von Systemen
- Wirksamkeitsprüfung — Bewertung der Cybersecurity-Maßnahmen
- Cyber-Hygiene und Schulungen — Grundlegende Praktiken und Awareness
- Kryptographie — Richtlinien für Verschlüsselung
- Personalsicherheit und Zugriffskontrolle — Asset Management
- Multi-Faktor-Authentifizierung — Sichere Kommunikationssysteme
Meldepflichten bei Sicherheitsvorfällen
| Frist | Pflicht |
|---|---|
| 24 Stunden | Frühwarnung an das BSI |
| 72 Stunden | Detaillierte Vorfallmeldung |
| 1 Monat | Abschlussbericht mit Ursachenanalyse |
Persönliche Haftung der Geschäftsführung
Ein kritischer Unterschied zu bisherigen Regulierungen: Mitglieder der Geschäftsführung haften persönlich für Schäden, die durch schuldhaftes Unterlassen von Cybersecurity-Maßnahmen entstehen. Dies kann nicht an den CISO oder die IT-Abteilung delegiert werden.
Wie AnvilStack hilft
Wir nutzen KI-Tools, um schnell zu entwickeln — aber jede Zeile Code wird von Senior Engineers geprüft und NIS2-konform gemacht:
- Kostenloses Assessment: Wir prüfen Ihre bestehende Plattform gegen alle 10 NIS2-Pflichtmaßnahmen — die vollständige technische Übersetzung finden Sie in unserer NIS2-Sicherheits-Checkliste
- Security-by-Architecture: NIS2-Compliance wird in die Systemarchitektur eingebaut, nicht nachträglich angehängt
- Incident Response Setup: Wir implementieren die Meldeinfrastruktur für die 24h/72h/30d-Fristen
- EU-souveränes Hosting: Hetzner, Deutschland — kein CLOUD Act, keine US-Jurisdiktion
- Dokumentation: Prüfbare Nachweise für das BSI, nicht nur technische Maßnahmen
In einem kostenlosen Erstgespräch bewerten wir Ihre Plattform auf NIS2-Relevanz und zeigen konkret, wo Handlungsbedarf besteht — vom Assessment bis zur gehärteten, EU-souveränen Produktionsplattform.