EU NIS2-Richtlinie

NIS2 effizient umsetzen, AI-Act-Synergien nutzen und Vertrauen schaffen

Von der Betroffenheitsanalyse über Governance und Technik bis zur auditfähigen Umsetzung – effizient, integriert und regulatorisch belastbar. Mit ISO 27001/42001 als Fundament.

Gap-Analyse buchen → 10 NIS2-Anforderungen entdecken

161+

Sicherheitsanforderungen in 13 Kapiteln

Kernpflichten nach Art. 21 NIS2

72h

Gesetzliche Incident-Meldepflicht

10Mio€

Max. Bußgeld besonders wichtige Einrichtungen

NIS2 seit 06.12.2025 in Kraft

ISO 27001 integriert

AI Act Synergien

DSGVO-konform

Auditfähige Umsetzung

BSI-relevant

Expertenmeinung · Marktplatz IT-Sicherheit

Interview mit Oliver Schonschek zu NIS2, dem AI Act und der Sicherheit von KI-Systemen

VamiSec-CEO Valeri Milke im Gespräch mit Oliver Schonschek vom „Marktplatz IT-Sicherheit" über die Zusammenhänge zwischen NIS2, dem EU AI Act und der sicheren Governance von KI-Systemen in kritischen Infrastrukturen — und wie Unternehmen diese regulatorischen Anforderungen in einem integrierten Managementsystem effizient abbilden können.

🎙️

Oliver Schonschek

Marktplatz IT-Sicherheit

NIS2-Implementierung: Von unzureichender Cybersicherheit zur Compliance

⚡

Angriffe auf KRITIS

Ransomware-Erpressung (WannaCry)
Staatliche Spionage (Stuxnet)
Datenmanipulation (verfälschte Messwerte)
Sabotage von Versorgungsketten

💥

Folgen

Vertrauensverlust in Institutionen
Gefährdung von Menschenleben
Versorgungsausfälle EU-weit
Milliardenschäden

Warum NIS2?

Schutz kritischer Infrastrukturen und wichtiger Einrichtungen

Die EU-NIS2-Richtlinie ist das erste umfassende Gesetz zur Stärkung der Cybersicherheit in der EU. Sie verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu deutlich stärkerer IT-Sicherheit und sichert die digitale Wirtschaft.

🛡️

Cybersicherheit & Verbraucherschutz

Einheitliche Mindeststandards für sicheren Betrieb von Netz- und Informationssystemen EU-weit

📋

Einheitliche Meldepflichten

Verbindliche Meldewege auf Bundes- und EU-Ebene — 24h Frühwarnung, 72h Meldung, 1 Monat Abschlussbericht

⛓️

Lieferkettensicherheit

Risikomanagement und Sicherheitspflichten erstrecken sich auf alle kritischen Zulieferer und Partner

🔐

Verhinderung von Angriffen

MFA, Verschlüsselung, Netzwerksegmentierung und Incident Detection als verbindliche Mindestmaßnahmen

Wer ist von NIS2 betroffen?

Die folgende Übersicht zeigt die zentralen KRITIS- und Schlüsselbereiche, die unter NIS2 besonders im Fokus stehen. So erkennen Unternehmen schneller, ob ihre Branche und kritische Prozesse von den erweiterten Sicherheits- und Meldepflichten betroffen sind.

Übersicht zentraler NIS2-relevanter KRITIS- und Schlüsselsektoren

Übersicht: NIS2-relevante KRITIS- und Schlüsselsektoren

NIS2 ≙ ISMS-Erweiterung

NIS2 mittels ISMS nach ISO 27001 effizient umsetzen

ISO 27001 liefert das Management-Framework, NIS2 konkretisiert die regulatorischen Mindestpflichten. Durch direktes Mapping auf ISO-27001-Controls lassen sich Anforderungen ohne Doppelstrukturen umsetzen und revisionssicher nachweisen.

Gleiches Framework, klare Erweiterung

ISO 27001 und NIS2 teilen dieselbe High-Level-Structure (Annex SL) — gleiche Kapitel, Terminologie und PDCA-Zyklus

Direkte Control-Zuordnung

NIS2-Pflichten lassen sich direkt auf ISO-27001-Controls mappen — mit klaren Umsetzungsschritten und messbaren Ergebnissen

Kombinierte Audit-Zyklen

Ein integriertes Policy-Set und gemeinsame Audit-Zyklen reduzieren den Aufwand erheblich

Zukunftssicher durch IMS

Das integrierte Managementsystem (IMS) skaliert für AI Act, CRA, DORA und weitere EU-Regulatorik

🔗

Integrierte NIS2 und AI Act Umsetzung angelehnt an ISO 27001 & ISO 42001

Anstatt NIS2 und EU AI Act isoliert zu betrachten, verfolgen wir einen integrierten Ansatz, der Governance-, Risiko-, Audit- und Reporting-Prozesse zusammenführt.

Dadurch entstehen skalierbare Compliance-Strukturen, die regulatorische Anforderungen erfüllen und gleichzeitig operativ tragfähig bleiben – optional mit Vorbereitung auf eine kombinierte ISO-27001- und ISO-42001-Zertifizierung.

NIS2 Pflichten Art. 21 zu ISO/IEC 27001:2022 Clause und Control Einordnung

Integrierter Ansatz

Integrierte NIS2 und AI Act Umsetzung angelehnt an ISO 27001 & ISO 42001

Anstatt NIS2 und EU AI Act isoliert zu betrachten, verfolgen wir einen integrierten Ansatz, der Governance-, Risiko-, Audit- und Reporting-Prozesse zusammenführt.

🧩

Skalierbare Compliance-Strukturen mit operativer Tragfähigkeit

Integrierte NIS2 und AI Act Umsetzung auf Basis ISO 27001 und ISO 42001

Cyber & AI Compliance 2.0

Vom Kontroll-Chaos zur strukturierten Governance: NIS2 und AI Act im ISMS & KIMS integriert

Statt isolierte Managementsysteme aufzubauen, setzen wir auf Effizienz durch Integration. Dieses Framework zeigt, wie Sie NIS2/ISO 27001 und AI Act/ISO 42001 nahtlos in Ihre bestehenden Governance-Strukturen einbetten — ohne Doppelarbeit, mit reduzierten Risiken und optimal genutzten Ressourcen.

ISO 27001 · ISMS

Cyber-Resilienz & NIS2

Risikomanagement & Asset-Register
Incident Response & CSIRT
Business Continuity (BCM/DRP)
Lieferkettensicherheit (TPRM)
Zugriffskontrollen & MFA
Kryptografie & Verschlüsselung
Schwachstellen- & Patch-Management
Meldepflichten (24h/72h/1 Monat)

IMS – Integriertes Management

Gemeinsame Governance-Ebene

Shared Policy Framework
Integriertes Risikoregister
Einheitliche Rollen & RACI-Matrix
Kombinierte Audit-Zyklen
Zentrales Compliance Dashboard
Gemeinsame KPIs & Metriken
ISO 27001 + ISO 42001 Zertifizierung
Skalierbar für CRA, DORA, GDPR

ISO 42001 · KIMS

KI-Governance & AI Act

KI-Risikobewertung & -Klassifizierung
Technische Dokumentation nach AI Act
Governance für KI-Systeme
Monitoring & Nachweisführung
KI Officer Funktion
Transparenz & Erklärbarkeit
KI-Lifecycle-Management
Konformitätsbewertung

Individuelle Roadmap erstellen →

Umsetzungs-Roadmap

NIS2 Schritt für Schritt umsetzen

Strukturierter Aufbau Ihrer NIS2-Compliance — von Governance bis zur auditfähigen Dokumentation.

01
Governance festlegen — Geschäftsleitung trägt Verantwortung, Rollen definieren
02
Risikomanagement etablieren — technische & organisatorische Maßnahmen
03
ISMS aufbauen / erweitern — ISO 27001 als Fundament nutzen
04
Asset- & Risikoübersicht erstellen — vollständiges Register kritischer Systeme
05
Supply-Chain-Security umsetzen — Zulieferer bewerten, Verträge ausstatten
06
Schwachstellen- & Patch-Management — Vulnerability Management nach Kritikalität
07
Logging, Monitoring & Incident Detection — SIEM-Anbindung und Alarmierung
08
Incident- & Meldeprozess — 24h / 72h Meldefristen, CSIRT einrichten
09
BCM & Krisenmanagement — DRP, RTO/RPO definieren, Notfallübungen
10
Schulungen & Awareness — Management-Fortbildungen nachweislich wahrnehmen
11
Nachweise & Dokumentation — auditfähige Evidenzen für interne und externe Prüfungen

NIS2 Art. 21

Die 10 Kernpflichten der NIS2-Richtlinie

NIS2 definiert verbindliche Mindestanforderungen. Die Durchführungsverordnung ergänzt diese durch 161 detaillierte Sicherheitsmaßnahmen in 13 Kapiteln.

01Risikoanalyse & IT-Sicherheitskonzepte — Details & Best Practices

Risikoanalyse

Identifikation und Bewertung von Cyber- und Betriebsrisiken entlang der gesamten Dienstleistungskette
Betrachtung technischer und organisatorischer Schwachstellen
Regelmäßige Aktualisierung und Dokumentation von Risikobewertungen

Technische und organisatorische Maßnahmen (TOMs)

Zugangskontrollen, Verschlüsselung, Netzwerksicherheit, Systemhärtung
Schutz vor physischem Zugriff und Sabotage
Sichere Schnittstellen zu IT-Systemen (z. B. bei hybrider Systemverarbeitung)

Awareness & Notfallvorsorge

Sensibilisierung von Mitarbeitenden für Sicherheitsvorfälle und Bedrohungen
Einführung strukturierter Melde- und Reaktionsprozesse (Incident Response)
Entwicklung von Business Continuity- und Wiederanlaufplänen

02Bewältigung von Sicherheitsvorfällen — Details & Best Practices

Was versteht NIS2 unter einem Sicherheitsvorfall?

Ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit der Netz- und Informationssysteme erheblich beeinträchtigt.

Beispiele

Datenlecks durch kompromittierte Schnittstellen · DDoS-Attacken auf kritische Systeme · Ransomware-Angriffe

Interne Sofortmaßnahmen

Sofortige Eindämmung des Vorfalls · Dokumentation aller Schritte · Wiederherstellung betroffener Systeme

Best Practices

Backup-Strategien & Business Continuity Plans
Implementierung von SIEM-Lösungen für Echtzeit-Überwachung
Regelmäßige Notfallübungen & Tabletop-Szenarien
Einrichtung eines CSIRT (Computer Security Incident Response Team)

03Krisenmanagement & Business Continuity — Details & Best Practices

1. Backup-Management

Dokumentierte Backup-Strategien gemäß NIS2-Anforderungen
Test der Wiederherstellbarkeit (Disaster Recovery Drills)
Sichere Speicherung (Offline/Offsite = „Air-Gapped")
Regelmäßige Backups aller kritischen Systeme (vollständig & inkrementell)

2. Wiederherstellung (Disaster Recovery)

Alternativsysteme und redundante Infrastrukturen für KRITIS-Betrieb
Definition von RTO (Recovery Time Objective) und RPO (Recovery Point Objective)
Entwicklung & Pflege eines Disaster Recovery Plans (DRP)
Regelmäßige Simulation von Wiederherstellungsszenarien

3. Krisenmanagement

Einrichtung eines Krisenstabs für IT-Sicherheitsvorfälle
Koordination mit Behörden (BSI) und Partnern im KRITIS-Umfeld
Kommunikationspläne (intern & extern) für Vorfälle nach NIS2-Meldepflichten
Notfallübungen für technische und organisatorische Teams

Best Practices

Integration von Business Continuity Management (BCM) in die IT-Strategie
Schulung aller Mitarbeitenden im Umgang mit Betriebsunterbrechungen
SIEM-gestütztes Monitoring zur Früherkennung von Vorfällen

04Sicherheit der Lieferkette — Details & Best Practices

Warum ist Lieferkettensicherheit wichtig?

Angriffe auf externe IT-Dienstleister oder Logistikpartner können den Betrieb stören. NIS2 verpflichtet Organisationen, auch die Sicherheitspraktiken von Zulieferern & Partnern zu überprüfen.

NIS2-Anforderungen an die Lieferkette

Risikobasierte Auswahl und Monitoring von Anbietern (IT-Provider, Cloud-Dienste)
Verträge mit Sicherheits- und Compliance-Klauseln (z. B. ISO 27001, DSGVO)
Verpflichtung von Dienstleistern zur Meldung von Vorfällen an die Organisation
Enge Abstimmung bei der Bewältigung von Sicherheitsvorfällen in der Lieferkette

Best Practices

Einführung eines Third-Party Risk Management (TPRM)-Programms
Aufbau redundanter Lieferantenbeziehungen zur Vermeidung von Single Points of Failure
Durchführung von Sicherheits-Audits bei IT-Dienstleistern und Cloud-Providern
Standardisierung von Verträgen mit klar definierten Cybersecurity-Pflichten
Notfallübungen, die auch externe Partner einbeziehen

05Cyberhygiene & Schulungen — Details & Best Practices

Grundlegende Cyberhygiene-Verfahren

Regelmäßige Passwort-Rotation und Passwort-Manager-Einsatz
Software-Updates und Patch-Management nach Kritikalität
Netzwerksegmentierung und Zero-Trust-Prinzipien

Schulungen

Gezielte Awareness-Kampagnen für alle Mitarbeitenden
Phishing-Simulationen und Trainings für kritische Bereiche
Krisenmanagement-Workshops für Führungskräfte
Red Team / Blue Team Szenarien in kritischen Betriebszentren
Incident Response Trainings & Tabletop-Übungen

Rollen & Verantwortlichkeiten (NIS2)

Abstimmung mit Behörden (BSI, KRITIS-Stellen)
Klare Definition von Meldewegen und Zuständigkeiten
Management muss Fortbildungsangebote nachweislich wahrnehmen

Best Practices

Integration der Schulungen in das Onboarding neuer Mitarbeitender
Erstellung eines Cyberhygiene-Dashboards für das Management
Kooperation mit externen Partnern für Awareness-Kampagnen

06Kryptografie & Verschlüsselung — Details & Best Practices

NIS2-Anforderungen

Einsatz starker Verschlüsselungsverfahren (z. B. AES-256, TLS 1.3)
Absicherung von Kommunikationswegen (End-to-End Encryption)
Schlüsselmanagement: sichere Erstellung, Speicherung, Rotation und Löschung
Schutz sensibler Daten in Ruhe (at rest) und während der Übertragung (in transit)
Proaktive Bewertung und Aktualisierung der Kryptoverfahren

Praxisbeispiele

Datenübertragung

Verschlüsselung zwischen Systemen via TLS 1.3 für API-Schnittstellen

Speicherung

Verschlüsselung sensibler Daten, HSMs für Schlüsselverwaltung

IoT-Systeme

Zertifikatsbasierte Authentifizierung für IoT-Geräte und Sensoren

E-Mail

S/MIME oder PGP zur Absicherung des E-Mail-Verkehrs mit Behörden

Best Practices

Regelmäßige Krypto-Audits (Prüfung auf veraltete Algorithmen wie SHA-1)
Krypto-Policies: dokumentierte Richtlinien zur Auswahl von Verschlüsselungsverfahren
Monitoring von Zertifikats- und Schlüsselabläufen
Schulungen für IT-Teams zum sicheren Umgang mit Kryptografie

07MFA & Notfallkommunikation — Details & Best Practices

Multi-Faktor-Authentifizierung (NIS2-Pflicht)

MFA für alle kritischen Systeme, Cloud-Plattformen und Admin-Zugänge
Biometrische Authentifizierung für Zugänge zu Serverräumen und KRITIS-Systemen
Rollout einer einheitlichen MFA-Policy für alle IT- und OT-Systeme

Gesicherte Kommunikation

Verschlüsselung interner Chat-Systeme (z. B. Matrix/Element oder Signal)
Einsatz von verschlüsselten VoIP-Lösungen für kritische Kommunikationsstrecken

Notfallkommunikation

Redundante Kommunikationsserver für interne Krisenteams
Backup-Kommunikationslösungen (z. B. unabhängige Funklösungen) für KRITIS-Standorte

Best Practices

Regelmäßige Tests der Notfallkommunikationssysteme im Rahmen von BCM-Übungen
Awareness-Trainings zu sicherer Kommunikation

08Zugriffskontrolle, Personal & Anlagenmanagement — Details & Best Practices

Personal-Sicherheit

Hintergrundprüfungen für IT-Mitarbeiter mit Zugang zu kritischen Netzwerken
Awareness-Trainings zur Erkennung von Social-Engineering-Versuchen

Zugriffskontrolle

RFID-basierte Zutrittskarten für kritische Betriebszentren und Serverräume
RBAC (Role-Based Access Control) für alle Systeme
MFA für Backend und Admin-Zugänge zu kritischen Managementsystemen

Anlagenmanagement

Videoüberwachung und Bewegungsmelder an kritischen Standorten
Asset-Tracking-System für Anlagen und IoT-Geräte (CMDB)

Best Practices

Einführung eines zentralen Asset-Management-Tools (CMDB)
Erstellung einer Access-Control-Policy mit regelmäßiger Review
Red-Teaming-Übungen zur Überprüfung physischer Sicherheit

09Sicherheit bei Erwerb & Entwicklung von IT-Systemen — Details & Best Practices

Relevante Systeme unter NIS2

Netz- & Informationssysteme steuern kritische Bereiche: interne Transaktionssysteme, Kundenportale, E-Commerce-Plattformen und Kernproduktionssysteme. Schwachstellen können den zentralen Geschäftsbetrieb lahmlegen oder sensible Daten gefährden.

NIS2-Anforderungen

Sicherheit bereits beim Erwerb und der Entwicklung von IT-Systemen („Security by Design & by Default")
Einrichtung eines Schwachstellen-Managements (Vulnerability Management) inkl. Priorisierung nach Kritikalität
Patch-Management & regelmäßige Wartung zur Schließung bekannter Schwachstellen
Verpflichtung zur Offenlegung schwerwiegender Schwachstellen gegenüber Behörden (BSI)

10Wirksamkeit der Risikomanagementmaßnahmen — Details & Best Practices

Kontinuierliche Risikoanalyse

Identifikation und Bewertung neuer Bedrohungen (Ransomware, Supply-Chain-Angriffe)
Analyse der Angriffsfläche kritischer Systeme

KPIs & Metriken für Cybersicherheit

KPI „Patch-Compliance-Rate" für Kernbetriebssysteme
Anzahl erfolgreich geschlossener Schwachstellen pro Monat
Zeit bis zur Erkennung (MTTD), Zeit bis zur Behebung (MTTR)

Technische Prüfungen & Audits

Red Teaming gegen kritische Systeme (Datenbanken, Produktionszentren)
Regelmäßige Penetrationstests auf kritische Dienste
Einbeziehung externer Prüfer für unabhängige Audits

Management-Reporting

Vorbereitung für Prüfungen durch das BSI oder andere Aufsichtsbehörden
Dokumentation der Wirksamkeitsbewertung an das Top-Management
Simulationen & Tabletop-Übungen mit dem Krisenstab

Meldepflichten

Meldepflichten bei Sicherheitsvorfällen

NIS2 definiert verbindliche Meldefristen an das BSI und die zuständigen Behörden. Die Meldeverpflichtung gilt für alle wesentlichen Vorfälle, die den Betrieb erheblich beeinträchtigen.

24h

Frühwarnung

Sofortige Erstmeldung beim BSI innerhalb von 24 Stunden nach Erkennung des Vorfalls

Frist: 24 Stunden

72h

Incident-Meldung

Detaillierte Meldung inkl. Erstbewertung, betroffene Systeme und eingeleitete Gegenmaßnahmen

Frist: 72 Stunden

Abschlussbericht

Vollständiger Abschlussbericht mit Ursachenanalyse, Schadensausmaß und getroffenen Maßnahmen

Frist: 1 Monat

NIS2 Incident Response Lifecycle: Prepare, Detect, Contain, Recover, Learn

Inhalte der Meldung

Was muss gemeldet werden?

Jede Meldung muss folgende Angaben enthalten:

→Art und Ausmaß des Vorfalls
→Betroffene Systeme und Dienste
→Eingeleitete Maßnahmen zur Eindämmung
→Einschätzung möglicher Auswirkungen

Organisatorischer Handlungsbedarf

Zur Einhaltung der Meldefristen müssen Unternehmen vorab

→Klare Meldewege und Verantwortlichkeiten einrichten
→Schulung der Mitarbeitenden zum Erkennen und Melden
→Abstimmung mit dem zentralen IT-Sicherheitsmanagement und CISO

NIS2 Art. 21 Abs. 1

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen nach NIS2

NIS2 fordert nicht nur die Implementierung von Maßnahmen, sondern auch deren regelmäßige und nachweisbare Wirksamkeitsbewertung. Unternehmen müssen zeigen, dass ihre Sicherheitsmaßnahmen messbar funktionieren und kontinuierlich verbessert werden.

📈

Messbare Wirksamkeit statt reiner Dokumentation

Kontinuierliche Risikoanalyse und Bewertung neuer Bedrohungen
KPI-basierte Steuerung (z. B. Patch-Compliance, MTTD, MTTR)
Regelmäßige Penetrationstests, Audits und technische Reviews
Management-Reporting mit klaren Entscheidungen und Maßnahmen

Praxisanforderung

Die Wirksamkeitsprüfung muss revisionssicher dokumentiert sein und in den PDCA-Zyklus des ISMS eingebunden werden.

→Regelmäßige interne und externe Prüfungen
→Abweichungen mit Maßnahmenplan und Fristen
→Nachweisbare Management-Reviews

Bewertung der Wirksamkeit von Risikomanagementmaßnahmen nach NIS2

Wirksamkeitsbewertung von NIS2-Risikomanagementmaßnahmen mit messbaren KPIs und Audit-Nachweisen

Governance

NIS2 macht Informationssicherheit zur Führungsaufgabe

Governance und Sicherheit rücken enger zusammen — NIS2 verpflichtet die Geschäftsführung zu klarer Verantwortlichkeit, Entscheidungsfähigkeit und nachweisbarer Steuerung aller Sicherheitsmaßnahmen.

🏛️

Verantwortung der Geschäftsführung

Geschäftsführung und obere Leitungsebene müssen Cybersicherheitsmaßnahmen aktiv steuern. Haftung bei Versäumnissen — kein Delegieren ohne Kontrolle.

🔧

Integration in Unternehmenssteuerung

Cybersicherheit wird Teil der Governance-Struktur. Pflicht zur Einbindung in Risikomanagement, Compliance und Reporting auf höchster Ebene.

👤

Organisatorische Mindestanforderungen

Benennung einer verantwortlichen Person für IT- und Informationssicherheit, klare Prozesse für Prävention, Überwachung und Reaktion.

🎓

Pflicht zur Schulung & Awareness

Management muss Fortbildungsangebote nachweislich wahrnehmen. Sensibilisierung der gesamten Belegschaft ist verpflichtend.

📊

CISO / ISB

Chief Information Security Officer oder Informationssicherheitsbeauftragter als zentrale Rolle mit klaren Zuständigkeiten und direktem Zugang zur Führungsebene.

⚖️

Regelmäßige Wirksamkeitsprüfung

Regelmäßige Überprüfung aller Schutzmaßnahmen durch interne und externe Audits als Pflicht — mit Eskalationsprozessen bei Abweichungen.

Unser synergisches Vorgehen

NIS2-Umsetzung in 5 Schritten

Statt NIS2 isoliert zu betrachten, integrieren wir alle Anforderungen direkt in Ihr bestehendes ISO-27001-ISMS — effizient, nachweisbar und zukunftssicher.

NIS2-Gap-Analyse

Lücken zwischen Ihrem ISMS und NIS2-Anforderungen identifizieren — inkl. ISO 27001 und AI Act Synergien. Gap-Report mit priorisierten Maßnahmen.

Governance-Struktur & Verantwortlichkeiten

Klare Zuständigkeiten, NIS2-Rollen (CISO, CRO, DPO), RACI-Matrix und Managementhaftung aufbauen — kombinierbar mit ISO 27001 und AI Act.

Synergisches Integrationskonzept

NIS2-Controls in bestehende ISMS-Module einbetten — Asset-, Risiko-, Supplier-Management, Policies, Awareness, Audits. AI Act Synergien einbeziehen.

Technik & Organisation im Einklang

ISO-27001-Schutzmaßnahmen mit NIS2-spezifischen Kontrollen, Schulungen und Meldepflichten kombinieren für parallele Erfüllung von AI Act und NIS2.

Betrieb & kontinuierliche Verbesserung

Etablierung eines integrierten, auditierten Managementsystems für nachhaltige NIS2-Readiness und kontinuierliche Verbesserung.

Ergebnis

Mehrwert statt Bürokratie

Ein integriertes Managementsystem (IMS) aus ISMS nach ISO 27001 und AIMS nach ISO 42001 schafft echten Mehrwert — weit über bloße Compliance-Erfüllung hinaus und nachhaltig über 2026 hinaus.

⚡

Weniger Bürokratie

Integrierte Compliance-Strukturen vermeiden Doppelarbeit

🎯

Einheitliches Governance-Modell

NIS2 und AI Act in einem Framework

📋

Auditfähige Nachweise

Revisionssichere Evidenzen für BSI-Prüfungen

🔮

Zukunftssichere Compliance

Skaliert für CRA, DORA und weitere Regulatorik

🏆

ISO 27001 & 42001

Grundlage für kombinierte Zertifizierung

🔗

Nachhaltige Compliance

Prüfungssichere Nachweisführung über 2026 hinaus

NIS2 & ISO 27001 Gap-Analyse

Im Rahmen der Gap-Analyse identifizieren wir zielgerichtet die Abweichungen zu NIS2 und entwickeln daraus einen priorisierten Fahrplan zur Umsetzung — optional kombiniert mit der Vorbereitung auf eine ISO 27001-Zertifizierung und unter Nutzung von Synergien zum EU AI Act.

Jetzt Gap-Analyse buchen → Kontakt aufnehmen

Valeri Milke

CEO, VamiSec GmbH

Organisationen, die NIS2 nicht isoliert umsetzen, sondern als Teil eines integrierten Managementsystems auf Basis von ISO 27001 denken, schaffen nachhaltige Effizienz. Dieselben Strukturen, Prozesse und Governance-Mechanismen bilden auch die Grundlage, um weitere regulatorische Anforderungen – wie etwa KI-Compliance – strategisch zu integrieren. Ein zertifiziertes Managementsystem ist damit weit mehr als ein Compliance-Nachweis: Es ist ein echter Wettbewerbsvorteil für Resilienz, Transparenz und Führung.

Valeri Milke · CEO VamiSec GmbH · vamisec.com

Chronologie

NIS2 Timeline & Fristen

Von der politischen Einigung bis zum Inkrafttreten des deutschen Umsetzungsgesetzes.

13. Dezember 2022

Politische Einigung über NIS2

Die EU-Institutionen erzielen eine politische Einigung zur neuen NIS2-Richtlinie.

16. Januar 2023

Inkrafttreten der NIS2-Richtlinie

Die Richtlinie wird im EU-Amtsblatt veröffentlicht und tritt offiziell in Kraft.

3. Juli 2024

Zustimmung des deutschen Bundeskabinetts

Das Bundeskabinett stimmt dem Entwurf für das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) zu.

13. November 2025

Verabschiedung durch den Bundestag

Der Bundestag beschließt das deutsche Cybersicherheitsgesetz / NIS2UmsuCG.

6. Dezember 2025 — Jetzt gültig

Nationale Umsetzung / Wirksamwerden

Die normierten Pflichten für betroffene Unternehmen in Deutschland sind verbindlich anzuwenden.

Bußgelder & Durchsetzung

Verwaltungsbußgelder nach Art. 32–34 NIS2

NIS2 führt ein einheitliches europäisches Bußgeldregime ein. Die NIS2-Richtlinie verschärft die bisherige nationale Praxis deutlich.

Harmonisierte Geldbußen gemäß NIS2 Art. 34

Besonders wichtige Einrichtungen

10 Mio€

oder 2% des weltweiten Umsatzes

Je nachdem welcher Betrag höher ist.

Wichtige Einrichtungen

7 Mio€

oder 1,4% des weltweiten Umsatzes

Maximalbußgeld für „wichtige" Einrichtungen.

Aufsichts- und Durchsetzungsmaßnahmen (Art. 32–33)

Neben Bußgeldern können die zuständigen Behörden verhängen:

Temporäre Einschränkungen bestimmter geschäftlicher Aktivitäten
Strengere Berichts- und Dokumentationspflichten
Anordnungen zur Umsetzung konkreter technischer und organisatorischer Maßnahmen
Verpflichtende Sicherheitsprüfungen durch die Behörde

⚖️

Persönliche Haftung der Leitungsorgane (Art. 32 Abs. 5)

Aktive Überwachung aller Sicherheitsmaßnahmen verpflichtend
Bereitstellung ausreichender Ressourcen durch die Leitungsorgane
Sicherstellen, dass die Organisation ihre Meldepflichten erfüllt
Bei groben Verstößen: Maßnahmen bis zur Einschränkung von Leitungsfunktionen

Durchführungsverordnung

161 NIS2-Sicherheitsanforderungen in 13 Kapiteln

Die Durchführungsverordnung ergänzt die NIS2-Richtlinie durch 161 Sicherheitsanforderungen. Klicken Sie auf ein Kapitel, um die inhaltlichen Schwerpunkte zu sehen.

K01Governance & Risikomanagement

Steuerung, Verantwortlichkeiten und systematische Risikoanalysen als Grundlage der NIS2-Umsetzung.

Risikoregister, Bewertungsmethodik und Priorisierung
Management-Review und Verantwortlichkeitsmodell
Dokumentierte Sicherheitsziele und KPIs

K02Incident Handling & Reporting

Prozesse zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen gemäß NIS2-Fristen.

Incident-Response-Playbooks und Eskalationswege
Meldeprozesse für 24h/72h/1 Monat
Nachweisführung und Lessons Learned

K03Business Continuity & BCM

Sicherstellung der Betriebsfähigkeit bei Störungen und Cybervorfällen.

BCP/DRP, Wiederanlauf- und Notfallplanung
RTO/RPO-Definition und regelmäßige Tests
Krisenorganisation und Kommunikationspläne

K04Supply Chain Security

Absicherung von Lieferanten und Dienstleistern entlang der gesamten Wertschöpfungskette.

Third-Party-Risk-Management (TPRM)
Vertragliche Sicherheitsanforderungen
Monitoring, Audits und Vorfallabstimmung

K05Schwachstellenmanagement

Kontinuierliche Identifikation, Bewertung und Behebung von Schwachstellen.

Vulnerability-Scanning und Priorisierung
Patch-Management nach Kritikalität
Dokumentierte Behebungsfristen

K06Zugriffskontrollen & IAM

Schutz kritischer Systeme durch rollenbasierte und nachweisbare Zugriffskonzepte.

RBAC, Least-Privilege und Rezertifizierungen
Administrative Zugriffssteuerung
Joiner/Mover/Leaver-Prozesse

K07Kryptografie & Verschlüsselung

Schutz von Daten in Ruhe und in Übertragung durch zeitgemäße Kryptostandards.

Verschlüsselungsstandards (z. B. TLS 1.3, AES)
Schlüsselmanagement und Rotation
Krypto-Policies und Compliance-Nachweise

K08Netzwerksicherheit

Segmentierung, Überwachung und Härtung der Netzwerkumgebung.

Netzsegmentierung und Zero-Trust-Prinzipien
Firewall-/IDS-/IPS-Kontrollen
Monitoring kritischer Verbindungen

K09Systemhärtung & Konfiguration

Standardisierte, sichere Konfiguration von Endpunkten, Servern und Plattformen.

Hardening-Baselines
Konfigurationsmanagement und Drift-Kontrolle
Regelmäßige technische Reviews

K10Logging & Monitoring

Früherkennung von Angriffen und Nachvollziehbarkeit sicherheitsrelevanter Ereignisse.

Zentrale Log-Sammlung und SIEM-Anbindung
Alarmierung und Use-Case-Management
Aufbewahrung und Integrität von Logs

K11Physische Sicherheit

Schutz kritischer Räume, Anlagen und Infrastruktur vor physischem Zugriff.

Zutrittskontrollen und Sicherheitszonen
Umwelt- und Gebäudeschutzmaßnahmen
Besucher- und Lieferantenprozesse

K12HR-Sicherheit & Awareness

Mitarbeitende als Teil der Sicherheitsstrategie durch Schulung und klare Verhaltensregeln.

Awareness-Programme und Trainingsnachweise
Sicherheitsanforderungen im HR-Lifecycle
Vertraulichkeits- und Rollenpflichten

K13Auditierung & Nachweisführung

Regelmäßige Prüfungen und revisionssichere Evidenzen zur Wirksamkeitsbewertung.

Interne/externe Audits und Maßnahmen-Tracking
Dokumentierte Kontrolldurchführung
Kontinuierliche Verbesserung (PDCA)

Rollen & Verantwortlichkeiten

NIS2: Klare Rollen auf allen Ebenen

NIS2 definiert präzise organisatorische und sicherheitstechnische Rollen, um sicherzustellen, dass Verantwortung, Steuerung und Umsetzung von Cybersicherheitsmaßnahmen eindeutig geregelt sind — auf Management-, Betriebs- und Lieferkettenebene.

👨‍💼

CISO / vCISO

Strategische Steuerung der Informationssicherheit, Berichterstattung an Geschäftsleitung, Aufsichtsbehörden und Auditoren

⚖️

CRO

Chief Risk Officer: Verantwortung für das unternehmensweite Risikoregister und NIS2-Risikobewertungen

🔒

ISB / vISB

Informationssicherheitsbeauftragter: operative Umsetzung und Kontrolle aller NIS2-Sicherheitsmaßnahmen

📜

DPO

Datenschutzbeauftragter: Koordination von NIS2-Anforderungen mit DSGVO-Pflichten

🛡️

CSIRT

Computer Security Incident Response Team: operative Bewältigung von Sicherheitsvorfällen und Einhaltung der Meldefristen

🤝

Lieferkettenverantwortliche

Third-Party Risk Manager: Bewertung und Absicherung von Dienstleistern und Cloud-Providern nach NIS2

Synergie durch Mapping

NIS2 ↔ ISO 27001 Framework

Die folgende Übersicht zeigt die direkte Zuordnung der NIS2-Anforderungen zu bestehenden ISO 27001 Controls und verdeutlicht die hohe Kompatibilität beider Standards.

NIS2-Anforderung	ISO 27001 Control	Kernmaßnahmen	Ergebnis
Risikoanalyse & IT-Sicherheit (Art. 21.2a)	6.1, 8.2, A.5.x	Risikoregister, TOMs	Klare Risikoübersicht
Bewältigung von Sicherheitsvorfällen (Art. 21.2b)	A.5.24–5.28	IR-Prozess, CSIRT	24h/72h Meldung
Business Continuity & Krisenmanagement (Art. 21.2c)	A.5.29–5.30	DRP, BCP, RTO/RPO	Ausfallsicherheit
Lieferkettensicherheit (Art. 21.2d)	A.5.19–5.22	TPRM, Vertragsklauseln	Supply Chain Schutz
Schwachstellenmanagement (Art. 21.2e)	A.8.8, A.8.19	Patch-Management, CVSS	Reduzierte Angriffsfläche
Cyberhygiene & Schulungen (Art. 21.2g)	A.6.3, A.7.x	Awareness, Phishing-Tests	Stärkere Human Security
Kryptografie (Art. 21.2h)	A.8.24	AES-256, TLS 1.3, HSMs	Datensicherheit at rest & transit
Zugriffskontrolle (Art. 21.2i)	A.5.15–5.18, A.8.2	RBAC, MFA, CMDB	Zero Trust Fundament
MFA & sichere Kommunikation (Art. 21.2j)	A.8.5, A.8.20	MFA-Rollout, VPN, E2E	Zugangs- und Kommunikationsschutz
Wirksamkeitsprüfung (Art. 21.1)	9.1, 9.3, 10.x	KPIs, Audits, PDCA	Kontinuierliche Verbesserung

Cross-Standard-Synergie: Beide Standards nutzen die High-Level Structure (Annex SL) — gleiche Kapitel, Terminologie und PDCA-Zyklus. Dies ermöglicht ein integriertes Policy-Set und kombinierte Audit-Zyklen.

IMS = ISMS + KIMS + CSMS

Roadmap zur NIS2, AI Act und CRA Readiness

Auf Basis einer strukturierten Gap-Analyse entwickeln wir eine integrierte Roadmap zur NIS2-, EU-AI-Act- und CRA-Readiness — umgesetzt in einem ganzheitlichen IMS mit klaren Meilensteinen und optionaler ISO 27001-Zertifizierung.

Gap-Analyse

Bewertung des aktuellen ISMS gegen NIS2-Artikel 21–23 und BSIG §8a. Identifikation kritischer Lücken und priorisierter Maßnahmenplan.

Monate 1–2

→ Gap-Report

→ Maßnahmenplan

Governance-Upgrade

Definition von NIS2-Rollen (CISO, CRO, DPO), Genehmigung der Policies durch Steering Committee. RACI-Matrix für alle Verantwortlichkeiten.

Monate 2–3

→ Governance-Charter

→ RACI-Matrix

Prozessintegration

Einbettung der NIS2-Controls in bestehende ISMS-Module (Risk, Incident, BCM, Supplier). Harmonisierte Workflows und Schnittstellen.

Monate 3–6

→ ISMS–NIS2-Prozesslandkarte

→ Harmonisierte Workflows

Automatisierung & Nachweisführung

Implementierung von Ticketing- und SIEM-Systemen für Nachweiserhebung und Monitoring. Continuous Compliance Dashboard.

Monate 6–8

→ Compliance Dashboard

→ Auto-Reporting

Audit & Review

Durchführung interner Audits, Management-Review und Vorbereitung auf externe Audits / BSI-Behördenprüfungen. Zertifizierungsreife herstellen.

Monate 9–12

→ Audit-Report

→ ISO 27001 Zertifizierung

Roadmap: AI Act, NIS2, CRA und ISO 27001 als Integriertes Management System – Gantt-Diagramm

Integriertes Roadmap-Gantt-Diagramm: NIS2, AI Act, EU CRA & ISO 27001 als IMS

Individuelle NIS2-Roadmap erstellen →

Herausforderungen

Die 4 größten NIS2-Hürden

Diese Bereiche stellen Unternehmen vor die größten operativen und organisatorischen Herausforderungen bei der NIS2-Umsetzung.

Herausforderung 01

Managementverantwortung & Governance

NIS2 verpflichtet die Geschäftsführung zu klarer Verantwortlichkeit, nachweisbarer Steuerung und regelmäßigen Management-Reviews — inkl. persönlicher Haftungsrisiken.

Herausforderung 02

Risikomanagement & technische Maßnahmen

Vollständiges, nachvollziehbares Risikoregister führen und technische Anforderungen (MFA, Segmentierung, Logging, Kryptografie) umfassend und nachweisbar umsetzen.

Herausforderung 03

Lieferkettensicherheit & Drittparteirisiken

Bewertung und Absicherung von Dienstleistern, IT-Providern, Cloud-Anbietern. Vertragliche Sicherheitsanforderungen, Audits und kontinuierliches Monitoring sind verpflichtend.

Herausforderung 04

Incident Response, BCM & Meldepflichten

Einhaltung der Meldefristen (24h/72h/1 Monat) sowie funktionsfähige DRP-/BCP-Strukturen sind eine große organisatorische Herausforderung.

Qualitätssicherung

Definition of Done für Kontrollen

Jede NIS2-Kontrolle gilt erst dann als erfüllt, wenn diese vier Kriterien nachweisbar erfüllt sind.

✅ Policy freigegeben

Dokumentiert, versioniert, vom Management freigegeben und an alle Rollen kommuniziert. Governance und RACI klar definiert.

⚙️ Prozess im ISMS verankert

Kontrolle operativ umgesetzt und in ISMS, Risikoregister, Incident-Tool und BCM abgebildet. Prozessabläufe standardisiert und wiederholbar.

📁 Evidenz revisionssicher

Alle Nachweise (Logs, Reports, Freigaben) systematisch erzeugt, versioniert und zentral abgelegt — für interne und externe Audits sowie NIS2-Meldeprozesse.

📊 KPI & Wirksamkeit geprüft

Wirksamkeit über KPIs bewertet. Abweichungen lösen automatisch definierte Eskalations- oder Verbesserungsprozesse aus (PDCA-Zyklus).

Unsere Leistungen

NIS2-Compliance & ISMS-Integration aus einer Hand

Unter der Leitung von VamiSec-CEO Valeri Milke unterstützen erfahrene NIS2- und ISO-27001-Expertinnen und Experten Ihr Unternehmen. Alle Prozesse werden in Abstimmung mit dem Datenschutzbeauftragten harmonisiert.

Regulatorische & organisatorische Umsetzung

🔍

NIS2-Klassifizierung & Gap-Analyse

Einordnung als wichtige/besonders wichtige Einrichtung, Ableitung relevanter Pflichten, Gap-Report

🏛️

ISMS-Integration nach ISO 27001

Erweiterung Ihres ISMS um alle NIS2-Anforderungen — mit klaren Rollen, Prozessen und Policies

📋

Gap-Analyse, Policy-Framework & Audit-Vorbereitung

Analyse des Ist-Stands, Entwicklung notwendiger Richtlinien, Vorbereitung auf BSI-Audits

📑

Nachweisführung für NIS2-Compliance

Risikoregister, Incident-Prozesse, Lieferkettendokumentation und Management-Reports

Technische Prüfung & Risikobewertung

🔬

Technische Sicherheitsprüfungen & Schwachstellenanalysen

Analyse von Anwendungen, Schnittstellen, Netzwerken und OT-Systemen nach NIS2 und ISO 27001

🎯

Threat Modeling operativer Prozesse

Identifikation relevanter Risiken in IT-, OT- und Geschäftsprozessen

⛓️

Lieferkettensicherheitsprüfung

Analyse von Dienstleistern, Cloud-Providern und Lieferanten gemäß NIS2

📊

Business Continuity & Resilience Checks

Bewertung von DRP, BCP, Wiederanlaufzeiten, Logging-, Monitoring- und Detection-Analyse

vCISO & vISB Services

Externe Sicherheitsführung auf Abruf

Nicht jedes Unternehmen kann oder möchte einen CISO oder ISB fest einstellen. Unsere vCISO- und vISB-Services bieten erfahrene Sicherheitsexperten flexibel und bedarfsgerecht — strategische Steuerung und operative Umsetzung genau dann, wenn Sie sie benötigen.

🧭

NIS2 & AI Act Governance

Strategische Entwicklung und Steuerung einer ganzheitlichen Informationssicherheitsstrategie — explizit mit NIS2 und EU AI Act vereint.

📜

Regulatorische Sicherheit

Nahtlose und auditierbare Erfüllung der Vorgaben aus NIS2 und EU AI Act — einschließlich der KI Officer Funktion nach ISO 42001.

🤝

Führung auf Abruf

Beratung der Geschäftsführung zu Risiken und Security-Investitionen. Zentrale Schnittstelle zu Aufsichtsbehörden und Auditoren.

Training & Zertifizierung

NIS2 & Cyber-Resilienz — Praxisschulung

Diese praxisorientierte Schulung vermittelt einen strukturierten und verständlichen Überblick über die NIS2-Richtlinie sowie deren Umsetzung nach dem deutschen NIS2UmsuCG. Teilnehmende erhalten Klarheit über Anwendungsbereich, Pflichten, Melde- und Nachweisanforderungen sowie die Verantwortlichkeiten von Geschäftsleitung und Management.

🎓

NIS2-Pflichten & Meldeanforderungen

Anwendungsbereich, Melde- und Nachweisanforderungen sowie Management-Verantwortlichkeiten nach NIS2UmsuCG

⚙️

ISO 27001 Integration in der Praxis

Gap-Analyse, ISMS-Integration, BCM-, Datenschutz- und Lieferkettenprozesse — praxisnahe Templates inklusive

📐

Flexible Schulungsformate

Als kompakte 1-Tages-Schulung oder zeitlich und inhaltlich individuell an Ihre Anforderungen angepasst

Für wen ist die Schulung?

CISOs und Informationssicherheitsbeauftragte (ISB)

IT-Leiter und Security-Teams in KRITIS-Unternehmen

Compliance- und Datenschutzbeauftragte

Geschäftsführer in NIS2-relevanten Sektoren

NIS2-Schulungstermin vereinbaren → NIS2-Whitepaper anfordern

FAQ

Häufige Fragen zu NIS2

Die wichtigsten Antworten zur Betroffenheit, Pflichten und effizienten Umsetzung der NIS2-Richtlinie.

Welche Unternehmen fallen unter die NIS2-Richtlinie?

Unternehmen gelten als wichtige oder besonders wichtige Einrichtungen, wenn ihre Dienstleistungen oder Prozesse für Wirtschaft, öffentliche Versorgung oder kritische Infrastrukturen relevant sind. Die Einstufung erfolgt anhand von Branche, Größe und Bedeutung für die Lieferkette. Betroffen sind u.a. Energie, Gesundheit, Wasser, Transport, digitale Infrastrukturen und weitere Sektoren.

Welche Pflichten müssen Unternehmen nach NIS2 erfüllen?

NIS2 verlangt ein umfassendes Risikomanagement, technische und organisatorische Sicherheitsmaßnahmen, Meldepflichten (24h / 72h / 1 Monat), Lieferkettensicherheit, Business Continuity, klare Rollen und Governance-Strukturen sowie regelmäßige Prüfungen und auditfähige Nachweise.

Wie lässt sich NIS2 am effizientesten umsetzen?

Die größte Effizienz entsteht durch die Integration von NIS2 in ein bestehendes oder neues ISO-27001-ISMS, da beide Standards dieselbe High-Level-Structure (Annex SL) nutzen. So lassen sich Prozesse, Rollen und Nachweise zentral steuern und Überschneidungen auf ein Minimum reduzieren.

Welche Vorteile hat die Kombination von NIS2, AI Act und ISO 27001?

Durch die gemeinsame High-Level-Structure (Annex SL) lassen sich KI-Compliance, Informationssicherheit und NIS2-Anforderungen in einem einheitlichen Integrated Management System steuern. Das führt zu weniger Dokumentationsaufwand, schnelleren Audits und einer konsistenten Risiko- und Maßnahmensteuerung über KI-, IT- und Geschäftsprozesse hinweg.

Wie unterstützen sich AI Act und ISO 27001 gegenseitig?

Der AI Act verlangt klare Governance-Strukturen, Risikobewertungen, Dokumentation, Monitoring und Nachweisführung. ISO 27001 liefert dafür das passende Managementsystem: Rollen, Prozesse, Richtlinien, Risikomanagement und kontrollierte TOMs. Unternehmen mit bestehendem ISMS können große Teile der AI-Act-Anforderungen direkt darin abbilden.

Schützen Sie Ihr Unternehmen jetzt

Kontaktieren Sie uns für eine individuelle NIS2-Beratung und Gap-Analyse — effizient, integriert und auf Ihre Anforderungen abgestimmt. Wir sorgen für professionelle Umsetzung aller NIS2-Pflichten inklusive Governance, Risikomanagement und Dokumentation.

NIS2 Gap-Analyse buchen → Kostenlose Erstberatung anfragen → Kontakt aufnehmen →

Weitere Leistungen

Unsere Haupt-Landingpages

VamiSec begleitet Unternehmen von der NIS2-Compliance bis zur vollständigen regulatorischen Abdeckung für KI-Systeme und digitale Produkte.

EU AI Act

EU AI Act — KI-Compliance & ISO 42001

Von Risikoklassifizierung und technischer Dokumentation bis zu Governance und Audit-Bereitschaft. Effizient umgesetzt mit integriertem ISMS und KIMS nach ISO 27001 & ISO 42001.

Mehr erfahren

EU Cyber Resilience Act

EU CRA — Cybersicherheit für digitale Produkte

Einheitliche Cybersicherheitsstandards für digitale Produkte — von der Entwicklung über Updates bis zum Risiko-Management. Gap-Analyse, Governance-Strukturen und ISMS-Integration.

Mehr erfahren

LLM & KI-Pentest

LLM & KI-Penetrationstests

Spezialisierte Pentests für KI- und LLM-Systeme — Prompt Injection, Model Poisoning, Supply-Chain-Risiken. Technische Tests kombiniert mit regulatorischer Compliance.

Mehr erfahren

Vorname

This field is required.

Nachname

This field is required.

Unternehmen

This field is required.

Ich möchte den VamiSec Security Newsletter erhalten

Nachricht oder Fragestellung

IT Security Services

Information Security Services

IT Security Services

Information Security Services