Rainer Cloos | Digitalberatung

NIS-2 regulierte Unternehmen

Die NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen aus 18 Sektoren zur Implementierung angemessener und verhältnismäßiger Risikomanagementmaßnahmen sowie zur Einhaltung eines gestuften Meldeverfahrens bei erheblichen Sicherheitsvorfällen, bestehend aus Frühwarnung, Meldung binnen 72 Stunden und Abschlussbericht gegenüber der zuständigen nationalen Behörde beziehungsweise dem zuständigen CSIRT. Ziel der Richtlinie ist die Stärkung der Cybersicherheitsresilienz kritischer und wichtiger Dienste sowie die unionsweite Harmonisierung von Sicherheitsanforderungen. In Deutschland erfolgt die nationale Umsetzung durch das NIS2-Umsetzungsgesetz.

01
Rechtsgrundlage

- § 32 NIS2UmsuCG
02
Wer ist betroffen?

(Besonders) Wichtige Einrichtungen in allen relevanten Sektoren.
03
Was ist zu melden?

- Erhebliche Sicherheitsvorfälle (significant incidents) mit wesentlichem Dienst-Impact
04
Fristenregelung

- Frühwarnung innerhalb 24 h
- Notifikation innerhalb 72 h
- Abschlussbericht innerhalb 1 Monat
05
Meldeempfänger

- BSI Bundesamt für Sicherheit in der Informationstechnik

Meldestelle in Deutschland (Aufsichtsbehörde)

BSI

Bundesamt für Sicherheit in der Informationstechnik

Stand: 21.04.2026