NIS2, DORA und KRITIS verpflichten Unternehmen zu Cybersicherheits-Maßnahmen und schnellen Meldungen von Sicherheitsvorfällen. NIS2 gilt EU-weit für 18 Sektoren ab mittlerer Unternehmensgröße, DORA speziell für den Finanzsektor, KRITIS für Betreiber kritischer Infrastrukturen in Deutschland. Wer betroffen ist, muss Risikomanagement, Meldeprozesse und Vorfallreaktion nachweisbar aufbauen – die Geschäftsleitung haftet persönlich.
NIS2 erfasst Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz in 18 Sektoren – auch Produktion, IT-Dienstleister und viele Zulieferer über die Lieferkette.
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – plus persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen.
Klären, welche Regulierung greift, Ist-Stand gegen die Anforderungen prüfen und Maßnahmen priorisieren – inklusive Meldeprozessen und Incident-Response-Plan.
Cyber Security Assessment, IT-Compliance Consulting, Incident-Response-Plan und 24/7-Erkennung – BSI-orientiert und ISO-27001-zertifiziert (TÜV SÜD).
Unterschiedlicher Geltungsbereich, gleiche Kernpflichten: Risikomanagement, Meldewege, Vorfallreaktion.
Gilt für wesentliche und wichtige Einrichtungen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz – von Energie und Transport über Produktion bis zu digitalen Diensten. Kernpflichten: Risikomanagement, Lieferkettensicherheit, Schulung der Leitung, Meldung an das BSI (Erstmeldung in 24 Stunden, Detailbericht in 72 Stunden).
Seit Januar 2025 verbindlich für Banken, Versicherer, Zahlungsdienstleister und deren kritische IT-Dienstleister. Fokus: digitale operationale Resilienz – IKT-Risikomanagement, Tests, Drittparteien-Steuerung und Vorfallmeldungen an die BaFin.
Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Ernährung u. a.) ab bestimmten Schwellenwerten. Pflichten: Stand der Technik nachweisen, Systeme zur Angriffserkennung betreiben, Störungen unverzüglich ans BSI melden (BSIG §8b).
Die Antworten, die Entscheider am häufigsten brauchen.
Sehr wahrscheinlich, wenn Sie in einem der 18 Sektoren tätig sind und mehr als 50 Mitarbeitende oder 10 Mio. € Umsatz haben. Auch Zulieferer betroffener Unternehmen geraten über Lieferkettenpflichten in den Anwendungsbereich.
NIS2: Erstmeldung ans BSI in 24 Stunden, Detailbericht in 72 Stunden. DSGVO: 72 Stunden. KRITIS: unverzüglich. DORA: Meldung an die BaFin. Ohne geübten Meldeprozess sind diese Fristen kaum zu halten.
NIS2 sieht Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor – und die persönliche Haftung der Geschäftsleitung für die Umsetzung der Pflichten.
Mit einer Gap-Analyse: Betroffenheit klären, Ist-Stand gegen die Anforderungen prüfen, Maßnahmen priorisieren. Ein Cyber Security Assessment mit Compliance-Fokus liefert dafür die Grundlage – inklusive Incident-Response-Plan und Meldewegen.