DSGVO | HinSchG | ErwG | BDSG | TTDSG | aktuelle Bußgelder | DSMS | Webseitenanalyse

Sind Sie bereit für NIS-2 ?

Seit dem 6. Dezember gilt NIS-2 für fast 29.500 deutsche Unternehmen. Hohe Bußgelder und persönliche Haftung der Geschäftsführung drohen bei Verstößen.

Überprüfen Sie Ihren NIS-2 Status in nur 5 Minuten

Die NIS2-Richtlinie bringt verschärfte Cybersicherheitsanforderungen für den Mittelstand. Sind Sie bereits ausreichend vorbereitet? Unser kostenloser NIS2-Selbstcheck sowie Betroffenheitscheck gibt Ihnen eine erste Einschätzung Ihres Compliance-Status, konkrete Handlungsempfehlungen und ob NIS-2 überhaupt auf Sie zutrifft.

Der Check ist speziell für Geschäftsführer und Verantwortliche entwickelt worden, die sich einen schnellen Überblick verschaffen möchten – ohne komplizierte Fachbegriffe oder zeitaufwändige Analysen.

NIS2 Diagramm

Sind Sie von NIS-2 betroffen?

Unter NIS-2 fallen grundsätzlich Unternehmen aus 18 definierten Sektoren, wenn sie mindestens 50 Beschäftigte haben oder mehr als 10 Mio. € Umsatz erzielen. Zusätzlich können künftig u. a. IT-Dienstleister, Online-Marktplätze, Maschinenbauunternehmen, Lebensmittelunternehmen, Labore und Forschungseinrichtungen erfasst sein. Ebenso betroffen sind Organisationen, die wesentliche Unterstützungsleistungen für solche Einrichtungen erbringen. Wenn Sie KRITIS-Betreiber sind, müssen Sie NIS-2/BSIG ebenfalls berücksichtigen – unabhängig davon, wie Sie im Reifegrad aktuell aufgestellt sind. Sie sind sich immer noch unsicher?

Die NIS-2-Betroffenheitsprüfung der Gesellschaft für Datenschutz unterstützt Sie dabei, in wenigen Schritten eine erste Orientierung zu erhalten, ob und in welchem Umfang Ihr Unternehmen voraussichtlich unter die Anforderungen der NIS-2-Regulierung fällt.

Dazu stellen wir Ihnen einen kurzen Fragenkatalog bereit, der sich an den relevanten gesetzlichen Kriterien orientiert. Die Fragen sind kompakt und verständlich formuliert.

Nach Abschluss erhalten Sie ein Ergebnis, das auf Ihren Angaben basiert. Dieses Ergebnis bietet eine automatisierte Ersteinschätzung, ob eine Betroffenheit nach NIS-2 naheliegt, und zeigt Ihnen in Grundzügen, welche organisatorischen und technischen Pflichten typischerweise damit verbunden sein können.

Bitte beachten Sie: Die Betroffenheitsprüfung ist eine Orientierungshilfe und ersetzt keine rechtliche Beratung im Einzelfall. Die Auswertung erfolgt automatisiert anhand Ihrer Eingaben und wird nicht durch Behörden oder unabhängige Dritte geprüft. Daher kann keine Gewähr für Vollständigkeit, Aktualität oder Richtigkeit übernommen werden.

Was sind die Konsequenzen bei Nichteinhaltung von NIS-2?

Mögliche Vorfälle können nicht nur technische Ausfälle, finanzielle Schäden und Reputationsverluste verursachen, darüber hinaus können auch die Verantwortlichen persönlich in die Pflicht genommen werden.

  • Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

  • Behördlich angeordnete Zusatzmaßnahmen (z. B. Audits, Auflagen, Nachweise)

  • Persönliche Haftungsrisiken für Geschäftsführung/Vorstand

  • Erhöhte Cybersicherheitsrisiken (Hacker, Malware, etc.)

Nis-2 risiken konsequenzen

Geschäftsführer-Schulung nach § 38 BSIG

Nach § 38 BSIG trägt die Geschäftsleitung (z. B. Geschäftsführung, Vorstand) von besonders wichtigen und wichtigen Einrichtungen eine eigenständige Leitungsverantwortung für die Cybersicherheitsmaßnahmen: Sie muss die nach § 30 BSIG geforderten Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen.

Damit diese Verantwortung nicht nur „auf dem Papier“ besteht, schreibt § 38 Abs. 3 BSIG zusätzlich vor, dass Geschäftsleitungen regelmäßig an Schulungen teilnehmen müssen. Ziel ist, dass die Leitungsebene ausreichende Kenntnisse und Fähigkeiten erlangt, um

  • IT-/Cyber-Risiken zu erkennen und zu bewerten,
  • Risikomanagementpraktiken einordnen zu können und
  • die Auswirkungen von Risiken sowie Gegenmaßnahmen auf die erbrachten Dienste beurteilen zu können.

Die Schulungspflicht kommt nicht „zufällig“: Sie ist die nationale Umsetzung einer EU-Vorgabe aus NIS-2. Dort heißt es sinngemäß, dass Mitgliedstaaten sicherstellen müssen, dass Mitglieder von Leitungsorganen Schulungen absolvieren, um Risiken und Maßnahmen angemessen beurteilen zu können.

§ 38 Abs. 2 BSIG stellt außerdem klar, dass Geschäftsleitungen bei Pflichtverletzungen nach gesellschaftsrechtlichen Grundsätzen für schuldhaft verursachte Schäden haften können. Schulungen sind daher auch ein praktischer Baustein, um die Überwachungs- und Organisationspflichten nachweisbar zu erfüllen.

Fragen und Antworten

Die Schulungspflicht gilt für jede natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist. Ziel ist es, dass jedes Mitglied der Geschäftsleitung über ausreichende Kenntnisse im Bereich Cybersicherheit verfügt, um seiner Verantwortung nachkommen zu können.

Im NIS-2-Umsetzungsgesetz ist ausdrücklich geregelt, dass die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen verpflichtet sind, die Risikomanagementmaßnahmen nach diesem Gesetz umzusetzen und deren Umsetzung zu überwachen. Außerdem ist vorgesehen, dass die Geschäftsleitungen regelmäßig an Schulungen teilnehmen müssen, um über ausreichende Kenntnisse im Bereich Cybersicherheit zu verfügen. Eine mögliche persönliche Haftung von Geschäftsführungen für schuldhaft verursachte Schäden richtet sich nach den einschlägigen zivilrechtlichen Regelungen. Wenn solche fehlen sollten, kann sich eine Rechtsgrundlage für eine Haftung auch unmittelbar aus dem NIS-2-Umsetzungsgesetz ergeben.

Das BSIG sieht vor, dass Geschäftsleitungen regelmäßig an Cybersicherheitsschulungen teilnehmen. Das NIS-2-Umsetzungsgesetz gibt keine Intervalle zur Durchführung vor, aber in der Gesetzesbegründung ist eine Orientierung enthalten, wie oft Schulungen mindestens durchgeführt werden müssen. Schulungen im Sinne des NIS-2-Umsetzungsgesetzes sollten innerhalb von drei Jahren über eine Dauer von mindestens 4 Stunden durchgeführt werden. Sie finden das passende Seminar hier.

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes verlängert sich der Nachweiszyklus von zwei auf drei Jahre. Betreiber kritischer Anlagen wurden vom BSI am 08.12.2025 über die hier registrierten Ansprechpersonen individuell über ihre Nachweisfristen nach neuer Rechtslage informiert. Das vom BSI mitgeteilte neue Nachweisdatum ersetzt grundsätzlich das Datum für den nächsten regelmäßigen Nachweis. Es berührt jedoch keine bestehenden Anordnungen oder noch ausstehende Nachweiserbringungen auf Nachweistermine vor dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025. Es ist zudem eine Übergangsfrist vorgesehen.

Sofern Sie nach bisheriger Gesetzeslage innerhalb der nächsten 12 Monate nach Inkrafttreten nachweispflichtig waren, steht es Ihnen frei, alternativ zum ursprünglichen Nachweisdatum einzureichen, z. B. wenn die KRITIS-Prüfung bereits durchgeführt oder beauftragt wurde.

Auch wenn die IT komplett ausgelagert ist, bleiben Sie als besonders wichtige oder wichtige Einrichtung selbst verantwortlich. Sie müssen sicherstellen, dass Ihre Dienstleister die nötigen NIS-2-Vorgaben umsetzen, diese regelmäßig überprüft werden und dass Vorfälle ordnungsgemäß gemeldet werden. Verträge allein genügen nicht – die Geschäftsleitung bleibt in der Pflicht, das Risikomanagement zu steuern und umzusetzen.

Nach dem NIS-2-Umsetzungsgesetz sind Unternehmen verpflichtet, die Umsetzung ihrer Risikomanagementmaßnahmen nachvollziehbar zu dokumentieren. Dazu gehört insbesondere, dass Prozesse, Zuständigkeiten und getroffene Sicherheitsmaßnahmen schriftlich festgehalten und regelmäßig überprüft werden.

Nachweise (Aufzählung nicht abschließend) könnten z. B. durch folgende Mittel erbracht werden:

  • interne Dokumentation und Berichte,
  • Zertifizierungen nach anerkannten Standards (z. B. ISO/IEC 27001 oder BSIIT-Grundschutz)*,
  • Nachweise über Schulungen und Awareness-Maßnahmen,
  • Auditberichte oder interne Kontrollverfahren.

*Eine Zertifizierung nach ISO 27001 oder IT-Grundschutz kann den Nachweis erleichtern, muss aber im Hinblick auf den gesetzlich vorgegebenen Maßnahmenkatalog geprüft und gegebenenfalls ergänzt werden.

Was ist eine „wesentliche Einrichtung“?
„Wesentliche Einrichtungen“ sind der EU-Begriff aus der NIS-2-Richtlinie („essential entities“). Ob Sie darunterfallen, hängt u. a. von Sektor (Anhang I/II), Rolle und Größe sowie bestimmten Ausnahmen ab.

Warum spricht das deutsche Gesetz (BSIG) von „besonders wichtigen Einrichtungen (bwE)“ – ist das etwas anderes?
Nein – das ist im Kern die deutsche Bezeichnung für die EU-Kategorie „wesentlich/essential“. Das BSI kommuniziert im Rahmen der NIS-2-Umsetzung ausdrücklich mit den Kategorien „besonders wichtige“ und „wichtige“ Einrichtungen.

Was ist dann eine „wichtige Einrichtung“?
„Wichtige Einrichtungen“ sind die zweite EU-Kategorie („important entities“). Vereinfacht: Einrichtungen aus Anhang I oder II, die nicht als „wesentlich“ eingestuft sind, gelten als „wichtig“.

Was ist der praktische Unterschied zwischen bwE (wesentlich) und wE (wichtig)?
Der Hauptunterschied liegt in der Aufsicht/Prüfungstiefe:

  • Für wesentliche/bwE sieht NIS-2 ausdrücklich umfangreiche Aufsichts- und Durchsetzungsmaßnahmen vor (z. B. Audits/Inspektionen/Anforderung von Nachweisen).

  • Bei wichtigen/wE erfolgt Aufsicht typischerweise anlassbezogen/nachträglich, wenn Hinweise/Informationen auf Nicht-Compliance vorliegen („ex post“). 
    Auch im BSIG spiegelt sich das wider: Für bwE sind explizite Audit-/Prüfanordnungen vorgesehen, für wE eher bei konkreten Anhaltspunkten.

Wo ordnet sich KRITIS ein?
KRITIS ist kein Synonym für bwE/wE, aber in der Praxis gilt: KRITIS-Betreiber haben zusätzliche Pflichten und werden im neuen Regime typischerweise im „höheren“ Aufsichts-/Pflichtenbereich eingeordnet. Das BSI nennt KRITIS neben bwE/wE explizit im Kontext von Pflichten wie z. B. Meldewegen.

Unternehmen fallen unter den Anwendungsbereich des NIS-2-Umsetzungsgesetzes wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anlagen 1 und 2 fallen und zudem die im Gesetz festgeschriebenen Größenschwellen für Mitarbeiterzahl oder Umsatz (vgl. § 28 Absatz 1 und 2 BSIG) erreichen oder überschreiten (sog. Size-Cap). Unabhängig von ihrer Größe werden vom NIS-2-Umsetzungsgesetz auch bestimmte Einrichtungen erfasst, etwa wenn die Dienste erbracht werden von:

  • Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
  • Vertrauensdiensteanbietern;
  • Namensregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;

Darüber hinaus enthält die NIS-2-Umsetzungsgesetz weitere Sonderfälle.

Ob Sie als Betreiber einer kritischen Anlage gelten (als Teilmenge besonders wichtiger Einrichtungen), ist wie bisher anhand der BSI-Kritisverordnung zu prüfen.

Ob Ihr Unternehmen unter den Anwendungsbereich des NIS-2-Umsetzungsgesetzes fällt, können Sie mit unserem Selbstcheck unverbindlich und selbständig prüfen.

Das NIS-2-Umsetzungsgesetz ist als Artikelgesetz ausgestaltet. Ein Artikelgesetz – auch Mantelgesetz oder Omnibusgesetz – bezeichnet ein Gesetzgebungsverfahren, in dem mehrere Gesetze gleichzeitig erlassen, geändert oder aufgehoben werden. Es ist in einzelne Artikel gegliedert, wobei jeder Artikel ein eigenes Gesetz ändert oder neu fasst. Solche Artikelgesetze werden genutzt, wenn beispielsweise eine europäische Vorgabe (wie die NIS-2-Richtlinie) eine Vielzahl unterschiedlicher Rechtsbereiche gleichzeitig betrifft.

Das NIS-2-Umsetzungsgesetz ändert daher nicht nur das BSIG, sondern auch weitere Fachgesetze, z. B. im Telekommunikations-, Energie- oder Sozialversicherungsrecht. Es dient damit als gesetzgeberischer „Mantel“, der alle notwendigen Anpassungen an der deutschen Rechtsordnung bündelt, um die EU-Richtlinie vollständig umzusetzen.

Demgegenüber ist das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) ein Einzelgesetz, das eigenständig die Aufgaben des BSI, die Anforderungen an die Informationssicherheit und künftig die Pflichten besonders wichtiger und wichtiger Einrichtungen regelt. Das BSIG ist damit ein in sich geschlossenes Stammgesetz, während das NIS-2-Umsetzungsgesetz als Artikelgesetz nur die Änderungen an diesem Stammgesetz (und weiteren Gesetzen) vornimmt.

Das aktuell gültige BSIG findet sich auf Gesetze-im-Internet.

Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht.

HABEN SIE NOCH FRAGEN?

Wir helfen Ihnen gerne weiter

Für Rückfragen oder eine persönliche Beratung stehen wir Ihnen gerne zur Verfügung. Rufen Sie uns an, chatten Sie mit uns oder schreiben Sie uns eine E-Mail.

Wir sind Montags bis Freitags von 09:00 – 17:00 Uhr für Sie da. Am Wochenende erreichen Sie uns via E-Mail oder Chat.

Lisa

Kundenservice

info@gesellschaft-datenschutz.de
+49 531 213 602 0
+49 151 5191 6871

* Pflichtfelder

Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.

Gesellschaft für Datenschutz Logo Footer

Gesellschaft für Datenschutz
Bankplatz 1a
38100 Braunschweig

☎️ +49 531 213 602 0

📱 +49 151 5191 6871

Hinweis

Verkauf nur an Unternehmer, Gewerbetreibende, Freiberufler und öffentliche Einrichtungen. Kein Verkauf an Verbraucher im Sinne des § 13 BGB.

Weiterbildungen

Datenschutz

Datenschutzbeauftragter (DEKRA)

Datenschutzauditor (DEKRA)

Fortbildung für Datenschutzbeauftragte

Datenschutz für Betriebsräte

Datenschutz im Online Marketing

Datenschutz im Personalwesen

IT für Datenschutzbeauftragte

Datenschutz in Behörden

Datenschutz in Banken

Datenschutz bei Microsoft 365

Compliance

Compliance-Officer (DEKRA)

Lieferkettensorgfaltspflichtengesetz

Fachkunde Hinweisgeberschutzgesetz

Fortbildung für Compliance-Officer

Künstliche Intelligenz

KI-Beauftragter (DEKRA)

Datenschutz & KI

ChatGPT für Einsteiger

ChatGPT für Fortgeschrittene

Informationssicherheit

Informationssicherheitsbeauftragter (DEKRA)

e-Learning

Inhouse

Beratung

Datenschutzaudit

Datenschutzberatung

Projektarbeit

Externer Datenschutzbeauftragter:

Braunschweig

Wolfenbüttel

Wolfsburg

Hannover

Magdeburg

TOOLS

Hinweisgeberschutzsystem

Google Analytics Scanner

Google Fonts Scanner

Cookie Scanner

Brauche ich einen Datenschutzbeauftragten?

Benötige ich eine interne Meldestelle?

Unternehmen

Über uns

Karriere

Referenzen

Partnerschaften

Kontakt

Standorte

FAQ

© 2024 Gesellschaft für Datenschutz – Weiterbildungen & Seminare im Bereich Datenschutz, Compliance, Informationssicherheit und künstlicher Intelligenz (KI)

Eintracht 100 Braunschweig Fussball
Basketball Braunschweig
Gesellschaft für Datenschutz DEKRA Kooperationspartner Logo
Gesellschaft für Datenschutz Teilnehmer Allianz für Cyber-Sicherheit
gesellschaft für datenschutz
BvD Datenschutz
Qualitätsmanagement ISO 9001 Gesellschaft für Datenschutz
Erfahrungen Bewertung Gesellschaft für Datenschutz 2023
Bewertung Erfahrung Gesellschaft für Datenschutz 2024
Bewertung Erfahrung Gesellschaft für Datenschutz Top Dienstleister
Gesellschaft für Datenschutz Bewertung Auszeichnung 2025

© 2024 Gesellschaft für Datenschutz
Weiterbildungen & Seminare im Bereich Datenschutz, Compliance und künstlicher Intelligenz (KI)

Gesellschaft für Datenschutz 143 Bewertungen auf ProvenExpert.com