NIS2-Umsetzung: Dein Fahrplan zur Compliance

Statt der einfachen Unterscheidung „KRITIS oder nicht“ arbeitet NIS2 mit einer neuen Einstufung von Unternehmen. Das Gesetz teilt in “besonders wichtige” und “wichtige” Einrichtungen ein.

1. Die Schwellenwerte (Größenfaktor)

Grundsätzlich bist du betroffen, wenn dein Unternehmen in einem der 18 regulierten Sektoren tätig ist und:

• Wichtige Einrichtungen: Mindestens 50 Mitarbeiter ODER einen Jahresumsatz/Bilanz von über 10 Mio. € hast.
• Besonders wichtige Einrichtungen: Mindestens 250 Mitarbeiter ODER über 50 Mio. € Umsatz (bei >43 Mio. € Bilanzsumme) hat.

2. Die Sektoren (Relevanzfaktor)

• Sektoren mit hoher Kritikalität: Energie, Verkehr, Banken, Gesundheit, Trink-/Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum.
• Sonstige kritische Sektoren: Post/Kurier, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe (z.B. Maschinenbau, Kfz), digitale Anbieter (Marktplätze, Suchmaschinen), Forschung.

Wichtig: Bestimmte Anbieter (z.B. DNS-Dienste, Vertrauensdienste) sind unabhängig von ihrer Größe reguliert.

Die NIS2-Richtlinie ist das „scharfe Schwert“ der Cybersicherheit. Die Sanktionen sind auf einem Niveau mit der DSGVO:

• Horrende Bußgelder: Bei besonders wichtigen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes. Bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %.
• Persönliche Haftung der Geschäftsführung: Das Management kann bei Pflichtverletzungen persönlich haftbar gemacht werden. Regressansprüche der Gesellschaft gegen Geschäftsführer sind im Gesetz explizit vorgesehen.
• Schulungspflicht: Geschäftsführer müssen regelmäßig an Cybersicherheits-Schulungen teilnehmen. Unwissenheit schützt hier wortwörtlich nicht vor Strafe.
• Registrierungspflicht: Seit dem 6. Januar 2026 ist das neue BSI-Portal für die verpflichtende Registrierung freigeschaltet. Wer sich nicht registriert, riskiert bereits das erste Bußgeld.

Bevor wir in die Phasen eintauchen, ein kurzer Realitätscheck: Bei NIS2 geht es nicht nur um Firewalls. Es geht um die Haftung der Geschäftsführung, Lieferkettensicherheit und Business Continuity. Wer die Anforderungen ignoriert, riskiert nicht nur Bußgelder, sondern verliert im Ernstfall das Vertrauen von Kunden und Partnern.

Phase 1: Scoping – Wo stehen wir überhaupt?

Zuerst klären wir die Basis. Nicht jedes Unternehmen muss alles umsetzen. Wir finden heraus, was für dich relevant ist.

• Was wir machen: Wir prüfen die Anwendbarkeit (bist du ein „wichtiger“ oder „wesentlicher“ Pivot?), klären die Registrierungspflichten und holen das Management an Bord.
• Dein Benefit: Ein klar definierter Scope. Wir verschwenden keine Zeit mit Dingen, die du gar nicht brauchst.

Phase 2: Risk Assessment – Deine digitale Landkarte

Wir identifizieren, was wirklich geschützt werden muss.

• Was wir machen: Wir inventarisieren deine Assets und Systeme. Danach führen wir eine Risikoanalyse durch: Wo sind deine Schwachstellen? Welche Auswirkungen hätte ein Ausfall?
• Dein Benefit: Du kennst deine Risiken schwarz auf weiß und weißt genau, welche Hebel wir zuerst bewegen müssen.

Phase 3: Control Design – Das Schutzschild bauen

Jetzt wird es konkret. Wir entwickeln die Maßnahmen, die dein Unternehmen resilient machen.

• Was wir machen: Wir erstellen Policies, führen technische Kontrollen ein und – ganz wichtig – nehmen deine Lieferkette unter die Lupe. Außerdem bereiten wir dich auf den Ernstfall vor (Incident Response).
• Dein Benefit: Ein maßgeschneiderter Sicherheitsrahmen, der absolut Sinn macht.

Phase 4: Monitoring – Funktioniert alles wie geplant?

Compliance ist kein Sprint, sondern ein Marathon. Wir stellen sicher, dass die Maßnahmen auch im Alltag greifen.

• Was wir machen: Wir führen interne Audits durch und tracken KPIs. Das Management bekommt regelmäßige Reviews, um die Wirksamkeit zu bestätigen.
• Dein Benefit: Du hast immer einen Beweis dafür, dass du dich um deine Verpflichtungen gekümmert hast – das ist von unschätzbarem Wert, wenn es um behördliche Ermittlungen geht.

Phase 5: Handover – Du übernimmst das Steuer

Wir lassen dich nicht allein, aber wir machen dich unabhängig.

• Was wir machen: Wir übergeben alle Dokumente strukturiert und schulen deine „Domain Owner“, damit sie ihre Rollen kennen.
• Dein Benefit: Ein fertiges, auditfähiges Repository und ein Team, das genau weiß, was zu tun ist.

NIS2 klingt nach einem Monsterprojekt, aber mit dem richtigen Partner an deiner Seite ist es absolut machbar. Unser Ziel bei heyData ist es, den Prozess so effizient und transparent wie möglich zu gestalten, damit du dich auf das konzentrieren kannst, was du am besten kannst: dein Business führen.