Die NIS2-Richtlinie ist Deutschlands umfassendste Cybersecurity-Regulierung und betrifft ab sofort 29.500 Unternehmen – darunter jedes SaaS-Unternehmen und jede Webplattform, die digitale Infrastruktur bereitstellt. Hier erfahren Sie, was Sie jetzt tun müssen.
Was ist NIS2?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Cybersecurity-Richtlinie, die in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt wurde. Sie ersetzt die bisherige NIS-Richtlinie und erweitert den Anwendungsbereich massiv.
Betrifft NIS2 mein Unternehmen?
NIS2 betrifft Sie, wenn Ihr Unternehmen:
- SaaS-Plattformen betreibt, auf die andere Unternehmen angewiesen sind
- Online-Marktplätze oder E-Commerce-Plattformen anbietet
- Managed IT Services oder Cloud-Dienste bereitstellt
- Digitale Infrastruktur betreibt, die andere Unternehmen nutzen
- Mehr als 50 Mitarbeiter hat oder mehr als €10M Jahresumsatz erzielt
Die 10 Pflichtmaßnahmen nach Artikel 21
NIS2 Artikel 21 fordert mindestens diese zehn Cybersecurity-Maßnahmen:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Incident Response – Bewältigung von Sicherheitsvorfällen
- Business Continuity – Backup-Management und Notfallwiederherstellung
- Supply Chain Security – Sicherheit in der Lieferkette und bei Zulieferern, einschließlich DSGVO-konformem Vendor-Management
- Sicherheit bei Beschaffung – Entwicklung und Wartung von Systemen
- Wirksamkeitsprüfung – Bewertung der Cybersecurity-Maßnahmen
- Cyber-Hygiene und Schulungen – Grundlegende Praktiken und Awareness
- Kryptographie – Richtlinien für Verschlüsselung
- Personalsicherheit und Zugriffskontrolle – Asset Management
- Multi-Faktor-Authentifizierung – Sichere Kommunikationssysteme
In der deutschen Umsetzung sind diese Maßnahmen in § 30 BSIG kodifiziert. BSI: NIS-2-Risikomanagementmaßnahmen (§ 30 BSIG)
Meldepflichten bei Sicherheitsvorfällen
| Frist | Pflicht |
|---|---|
| 24 Stunden | Frühwarnung an das BSI |
| 72 Stunden | Detaillierte Vorfallmeldung |
| 1 Monat | Abschlussbericht mit Ursachenanalyse |
Persönliche Haftung der Geschäftsführung
Ein kritischer Unterschied zu bisherigen Regulierungen: Mitglieder der Geschäftsführung haften persönlich für Schäden, die durch schuldhaftes Unterlassen von Cybersecurity-Maßnahmen entstehen. Dies kann nicht an den CISO oder die IT-Abteilung delegiert werden.
Wie AnvilStack hilft
Wir nutzen KI-Tools, um schnell zu entwickeln – aber jede Zeile Code wird von Senior Engineers geprüft und NIS2-konform gemacht:
- Analyse: Wir prüfen Ihre bestehende Plattform gegen alle 10 NIS2-Pflichtmaßnahmen – die vollständige technische Übersetzung finden Sie in unserer NIS2-Sicherheits-Checkliste
- Security-by-Architecture: NIS2-Compliance wird in die Systemarchitektur eingebaut, nicht nachträglich angehängt
- Incident Response Setup: Wir implementieren die Meldeinfrastruktur für die 24h/72h/30d-Fristen
- EU-souveränes Hosting: Hetzner, Deutschland – kein CLOUD Act, keine US-Jurisdiktion
- Dokumentation: Prüfbare Nachweise für das BSI, nicht nur technische Maßnahmen
In einem kostenlosen Erstgespräch bewerten wir Ihre Plattform auf NIS2-Relevanz und zeigen konkret, wo Handlungsbedarf besteht – vom Assessment bis zur gehärteten, EU-souveränen Produktionsplattform.