Zum Hauptinhalt springen Zur Navigation springen Zur Fußzeile springen
Begrenzte Zeit: Design Partner Programm — BUSINESS Plan auf Lebenszeit

Kostenloser Download · 24 Seiten · A4-PDF

NIS2-Richtlinie: Englische Zusammenfassung für CISOs und Compliance-Verantwortliche

Eine 24-seitige englischsprachige Zusammenfassung der Richtlinie (EU) 2022/2555. Behandelt Anwendungsbereich, die zehn Maßnahmen nach Artikel 21, den 24h/72h/1-Monat-Meldefristen nach Artikel 23, Anhang-I- und -II-Sektoren, Bußgelder und einen 10-Schritte-Compliance-Fahrplan. Erstellt von Rediacc; keine autoritative Übersetzung.

PDF herunterladen Im Browser öffnen

Dieses Dokument ist eine inoffizielle Zusammenfassung. Für eine verbindliche Auslegung ist der offizielle Text unter ABl. L 333/80 vom 27.12.2022 maßgeblich.

Was im PDF enthalten ist

Neunzehn Abschnitte, strukturiert für den tätigen CISO oder Compliance-Verantwortlichen, der den Inhalt der Richtlinie verstehen möchte, ohne sich durch 73 Seiten Erwägungsgründe zu arbeiten.

  1. Zusammenfassung
  2. Zweck und Rechtsgrundlage
  3. Von NIS1 zu NIS2: Warum eine neue Regelung?
  4. Anwendungsbereich und ausgeschlossene Bereiche
  5. Wesentliche Definitionen
  6. Entitätskategorien: Wesentliche und wichtige Einrichtungen
  7. Erfasste Sektoren (Anhang I und Anhang II)
  8. Pflichten der Mitgliedstaaten
  9. Maßnahmen zum Risikomanagement der Cybersicherheit (Artikel 21)
  10. Meldepflichten bei Vorfällen (Artikel 23)
  11. Sicherheit der Lieferkette
  12. Verantwortung des Leitungsorgans
  13. Kooperationsstrukturen auf EU-Ebene
  14. Aufsicht und Durchsetzung
  15. Bußgelder
  16. Umsetzungszeitplan und Übergangsregelungen
  17. Auswirkungen für Unternehmen außerhalb der EU
  18. Praktischer Compliance-Fahrplan (10 Schritte)
  19. Schlussfolgerung und Bewertung

Drei Begleitleitfäden

Das PDF bildet die Richtlinie ab. Die Begleitleitfäden übersetzen die Pflichten in Beschaffungs- und Betriebsentscheidungen, jeweils zugeschnitten auf eine Zielgruppe.

Artikel 21(2)(d) ist eine Anbieterfrage

Warum das Drittanbieter-IKT-Register kleiner wird, wenn die Datenebene nie deine Mandantenumgebung verlässt. Für CISOs und Beschaffungsverantwortliche, die 2026 DPAs neu verhandeln.

Leitfaden lesen →

Kontinuierliche Wirksamkeit ohne Theater

Artikel 21(2)(e), (f) und 23 gemeinsam gelesen. Der Fork mit konstanter Laufzeit, der wöchentliche Übungen realistisch macht, und der Artikel-23-Meldefristen, die ohne forensisch verwertbare Artefakte nicht einzuhalten sind. Für SRE- und Ops-Verantwortliche.

Leitfaden lesen →

Was uns Käufer im ersten NIS2-Prüfzyklus berichtet haben

Der Fünf-Tool-Compliance-Stack, den mittelständische wesentliche Einrichtungen still zusammenstellen, was eine selbst gehostete Steuerungsebene zusammenfasst und welche Posten so oder so bei euch verbleiben. Für CFOs und Käufer, die in einen Erneuerungszyklus eintreten.

Leitfaden lesen →

Häufig gestellte Fragen

Ist dies eine autoritative Übersetzung der Richtlinie?

Nein. Es handelt sich um eine inoffizielle englischsprachige Zusammenfassung, die die Struktur und Pflichten der Richtlinie zugänglich machen soll. Für eine verbindliche Auslegung ist der offizielle Text unter ABl. L 333/80 (27. Dezember 2022) oder über EUR-Lex (CELEX 32022L2555) maßgeblich. Die nationalen Umsetzungsgesetze in deinem Mitgliedstaat können strengere oder abweichend gefasste Pflichten vorsehen als die Richtlinie selbst.

Wer fällt unter NIS2?

Einrichtungen, die in Sektoren von Anhang I (hohe Kritikalität) oder Anhang II (sonstige kritische) tätig sind und die Schwellenwerte für mittlere Unternehmen erfüllen (50+ Mitarbeiter oder Jahresumsatz ab 10 Mio. EUR gemäß Empfehlung 2003/361/EG). Einige Einrichtungen fallen unabhängig von ihrer Größe in den Anwendungsbereich, darunter TLD-Registrare, DNS-Anbieter, Vertrauensdienstanbieter und zentrale öffentliche Verwaltung. Die Abschnitte 4, 6 und 7 des PDFs behandeln den Anwendungsbereich im Detail.

Wann ist NIS2 in Kraft getreten und was ist die Umsetzungsfrist?

Die Richtlinie ist am 16. Januar 2023 in Kraft getreten. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen; die Anwendung begann am 18. Oktober 2024 (gleichzeitig wurde NIS1 aufgehoben). Den vollständigen Zeitplan einschließlich der Frist für die Entitätenliste an die Kommission (17. April 2025) und den regelmäßigen Überprüfungsplan enthält Abschnitt 16.

Wie hoch sind die Höchstbußgelder?

Für wesentliche Einrichtungen: 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen: 7.000.000 EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die Richtlinie erlaubt zudem nichtmonetäre Sanktionen, einschließlich vorübergehender Verbote für leitende Manager wesentlicher Einrichtungen (als letztes Mittel). Abschnitt 15 behandelt die Faktoren zur Bußgeldbemessung.

Gilt NIS2 für Unternehmen außerhalb der EU?

Ja, auf zwei Wegen. Direkt: Nicht-EU-Anbieter von DNS, Cloud, Rechenzentren, CDN, MSP/MSSP, Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken, die Dienste in der EU anbieten, müssen einen EU-Vertreter benennen und die Anforderungen erfüllen. Indirekt: Jeder Nicht-EU-Lieferant, der Produkte oder Dienstleistungen an wesentliche oder wichtige Einrichtungen in der EU liefert, unterliegt den vertraglichen Anforderungen an die Lieferkettensicherheit, die seine EU-Kunden nach Artikel 21(2)(d) auferlegen. Abschnitt 17 behandelt beide Fälle.

Wie funktioniert die Meldepflicht nach Artikel 23?

Drei Fristen, alle ausgelöst durch das "Bekanntwerden" eines erheblichen Vorfalls: 24 Stunden für eine Frühwarnung, 72 Stunden für eine vollständige Vorfallsmeldung und ein Monat für den abschließenden Bericht. Dienstleistungsempfänger müssen ebenfalls unverzüglich informiert werden, wenn eine erhebliche Cyberbedrohung wahrscheinlich ist. Abschnitt 10 enthält die vollständige Meldematrix.

Über diese Zusammenfassung

Rediacc ist eine selbst gehostete Infrastrukturplattform, registriert in Estland (OÜ 17363830, USt-IdNr. EE102920091). Diese Zusammenfassung wurde im Rahmen unseres NIS2-Inhaltsprogramms verfasst. Die Begleitleitfäden beschreiben, wie Rediacc spezifische Artikel der Richtlinie adressiert, einschließlich der Bereiche, in denen Rediacc keine Antwort ist (noch keine Zertifizierungen; keine GRC-Ebene; kein verwaltetes Artikel-23-Reporting; nur Portal-MFA). Für das öffentliche Fähigkeits-Mapping siehe NIS2 and DORA in der Dokumentation.

Schick uns deinen Anbieter-Fragebogen oder deine drei größten Sicherheitsposten aus dem letztjährigen Budget. Wir antworten auf Basis einer eingesetzten Instanz, schriftlich, einschließlich der Lücken. Oder lade das PDF herunter und leite es an einen Kollegen weiter.

PDF herunterladen