NIS2 schreibt konkrete Pflichten für betroffene Unternehmen vor: von Risikomanagement über Meldepflichten bis zur persönlichen Haftung der Geschäftsführung. Dieser Artikel erklärt alle Pflichten praxisnah mit Umsetzungshinweisen.
Was sind die Kernpflichten nach NIS2 Art. 21
Art. 21 definiert 10 Mindestmaßnahmen als Pflicht: Risikoanalyse, Incident-Management, Business Continuity, Lieferkettensicherheit, sichere Systementwicklung, Wirksamkeitsbewertung, Cyberhygiene und Schulungen, Kryptografie, Personalmanagement und Zugriffskontrolle, MFA.
Was bedeutet Meldepflicht unter NIS2 konkret
24h-Frühwarnung an BSI bei Verdacht auf erheblichen Vorfall. 72h-Meldung mit Erstbewertung. 1 Monat: Abschlussbericht. Erheblich = schwere Betriebsstörung, finanzielle Verluste, andere Schäden. Meldung über BSI-Portal. Unterlassene Meldung ist Ordnungswidrigkeit.
Welche Registrierungspflichten gibt es
Betroffene Einrichtungen müssen sich beim BSI registrieren. Angaben: Name, Sektor, Kontaktdaten, IP-Adressbereiche, zuständige Bundesbehörde. Frist war Oktober 2024. Das BSI kann Unternehmen auch von Amts wegen registrieren.
Was bedeutet Lieferkettensicherheit nach NIS2
Unternehmen müssen Sicherheitsrisiken durch Lieferanten und Dienstleister bewerten und vertraglich absichern. Das umfasst: Sicherheitsbewertung vor Vertragsschluss, Sicherheitsklauseln in Verträgen, laufendes Monitoring kritischer Zulieferer, Alternativlieferanten für kritische Dienste.
Welche GF-Pflichten bestehen unter NIS2
GF müssen: Cybersicherheitsmaßnahmen billigen und überwachen, Schulungen absolvieren, persönliche Haftung bei Pflichtverletzung akzeptieren. Temporäres Berufsverbot bei schwerwiegenden Verstößen möglich. GF können sich nicht auf mangelnde IT-Kompetenz berufen.
✓ Checkliste: Welche Pflichten entstehen durch NIS2?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Welche Pflichten entstehen durch NIS2? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Art. 21 definiert 10 Mindestmaßnahmen als Pflicht: Risikoanalyse, Incident-Management, Business Continuity, Lieferkettensicherheit, sichere Systementwicklung, Wirksamkeitsbewertung, Cyberhygiene und Schulungen, Kryptografie, Personalmanagement und Zugriffskontrolle, MFA.
24h-Frühwarnung an BSI bei Verdacht auf erheblichen Vorfall. 72h-Meldung mit Erstbewertung. 1 Monat: Abschlussbericht. Erheblich = schwere Betriebsstörung, finanzielle Verluste, andere Schäden. Meldung über BSI-Portal. Unterlassene Meldung ist Ordnungswidrigkeit.
Betroffene Einrichtungen müssen sich beim BSI registrieren. Angaben: Name, Sektor, Kontaktdaten, IP-Adressbereiche, zuständige Bundesbehörde. Frist war Oktober 2024. Das BSI kann Unternehmen auch von Amts wegen registrieren.
Unternehmen müssen Sicherheitsrisiken durch Lieferanten und Dienstleister bewerten und vertraglich absichern. Das umfasst: Sicherheitsbewertung vor Vertragsschluss, Sicherheitsklauseln in Verträgen, laufendes Monitoring kritischer Zulieferer, Alternativlieferanten für kritische Dienste.
GF müssen: Cybersicherheitsmaßnahmen billigen und überwachen, Schulungen absolvieren, persönliche Haftung bei Pflichtverletzung akzeptieren. Temporäres Berufsverbot bei schwerwiegenden Verstößen möglich. GF können sich nicht auf mangelnde IT-Kompetenz berufen.