NIS2 für Webplattformen & SaaS

Die NIS2-Richtlinie ist Deutschlands umfassendste Cybersecurity-Regulierung und betrifft ab sofort 29.500 Unternehmen — darunter jedes SaaS-Unternehmen und jede Webplattform, die digitale Infrastruktur bereitstellt. Hier erfahren Sie, was Sie jetzt tun müssen.

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Cybersecurity-Richtlinie, die in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt wurde. Sie ersetzt die bisherige NIS-Richtlinie und erweitert den Anwendungsbereich massiv.

29.500

betroffene Unternehmen in Deutschland (vorher: 4.500)

€10M

maximales Bußgeld oder 2% des globalen Jahresumsatzes

€2,3 Mrd.

geschätzte jährliche Compliance-Kosten für die Wirtschaft

24h

Frist für die Erstmeldung eines Sicherheitsvorfalls

Betrifft NIS2 mein Unternehmen?

NIS2 betrifft Sie, wenn Ihr Unternehmen:

SaaS-Plattformen betreibt, auf die andere Unternehmen angewiesen sind
Online-Marktplätze oder E-Commerce-Plattformen anbietet
Managed IT Services oder Cloud-Dienste bereitstellt
Digitale Infrastruktur betreibt, die andere Unternehmen nutzen
Mehr als 50 Mitarbeiter hat oder mehr als €10M Jahresumsatz erzielt

Die 10 Pflichtmaßnahmen nach Artikel 21

NIS2 Artikel 21 fordert mindestens diese zehn Cybersecurity-Maßnahmen:

Risikoanalyse und Sicherheitskonzepte für Informationssysteme
Incident Response — Bewältigung von Sicherheitsvorfällen
Business Continuity — Backup-Management und Notfallwiederherstellung
Supply Chain Security — Sicherheit in der Lieferkette und bei Zulieferern, einschließlich DSGVO-konformem Vendor-Management
Sicherheit bei Beschaffung — Entwicklung und Wartung von Systemen
Wirksamkeitsprüfung — Bewertung der Cybersecurity-Maßnahmen
Cyber-Hygiene und Schulungen — Grundlegende Praktiken und Awareness
Kryptographie — Richtlinien für Verschlüsselung
Personalsicherheit und Zugriffskontrolle — Asset Management
Multi-Faktor-Authentifizierung — Sichere Kommunikationssysteme

Meldepflichten bei Sicherheitsvorfällen

Frist	Pflicht
24 Stunden	Frühwarnung an das BSI
72 Stunden	Detaillierte Vorfallmeldung
1 Monat	Abschlussbericht mit Ursachenanalyse

Persönliche Haftung der Geschäftsführung

Ein kritischer Unterschied zu bisherigen Regulierungen: Mitglieder der Geschäftsführung haften persönlich für Schäden, die durch schuldhaftes Unterlassen von Cybersecurity-Maßnahmen entstehen. Dies kann nicht an den CISO oder die IT-Abteilung delegiert werden.

Wie AnvilStack hilft

Wir nutzen KI-Tools, um schnell zu entwickeln — aber jede Zeile Code wird von Senior Engineers geprüft und NIS2-konform gemacht:

Kostenloses Assessment: Wir prüfen Ihre bestehende Plattform gegen alle 10 NIS2-Pflichtmaßnahmen — die vollständige technische Übersetzung finden Sie in unserer NIS2-Sicherheits-Checkliste
Security-by-Architecture: NIS2-Compliance wird in die Systemarchitektur eingebaut, nicht nachträglich angehängt
Incident Response Setup: Wir implementieren die Meldeinfrastruktur für die 24h/72h/30d-Fristen
EU-souveränes Hosting: Hetzner, Deutschland — kein CLOUD Act, keine US-Jurisdiktion
Dokumentation: Prüfbare Nachweise für das BSI, nicht nur technische Maßnahmen

In einem kostenlosen Erstgespräch bewerten wir Ihre Plattform auf NIS2-Relevanz und zeigen konkret, wo Handlungsbedarf besteht — vom Assessment bis zur gehärteten, EU-souveränen Produktionsplattform.

Häufig gestellte Fragen

Betrifft NIS2 mein SaaS-Unternehmen?

Wenn Ihr Unternehmen mehr als 50 Mitarbeiter hat oder mehr als €10M Jahresumsatz erzielt und digitale Dienste für andere Unternehmen bereitstellt — ja. SaaS-Plattformen, Online-Marktplätze, Managed IT Services und Cloud-Dienste fallen unter NIS2.

Welche Strafen drohen bei NIS2-Verstößen?

Bußgelder bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen, €7 Millionen oder 1,4% für wichtige Einrichtungen. Geschäftsführer haften persönlich für Schäden durch schuldhaftes Unterlassen von Cybersecurity-Maßnahmen.

Muss ich mich beim BSI registrieren?

Ja. Die NIS2-Umsetzung verlangt eine Registrierung beim BSI. Die Frist läuft bis April 2026. Ohne Registrierung drohen zusätzliche Sanktionen.

Was sind die 10 Pflichtmaßnahmen nach NIS2?

Artikel 21 fordert: Risikoanalyse, Incident Response, Business Continuity, Supply Chain Security, Sicherheit bei Beschaffung, Wirksamkeitsprüfung, Cyber-Hygiene und Schulungen, Kryptographie-Richtlinien, Zugriffskontrolle und Multi-Faktor-Authentifizierung.

Wie schnell muss ich einen Sicherheitsvorfall melden?

Innerhalb von 24 Stunden müssen Sie eine Frühwarnung an das BSI senden. Innerhalb von 72 Stunden folgt eine detaillierte Vorfallmeldung. Nach einem Monat ist ein Abschlussbericht mit Ursachenanalyse fällig.

Gilt NIS2 auch für KI-gebaute Plattformen?

Ja. Wenn Ihre mit Lovable, v0 oder Bolt gebaute Plattform digitale Dienste für andere Unternehmen erbringt, fallen Sie unter NIS2 — unabhängig davon, wie die Plattform entwickelt wurde.