NIS2 ist verbindlich — auch ohne fertiges Umsetzungsgesetz
Die NIS2-Richtlinie war von den Mitgliedstaaten bis Oktober 2024 in nationales Recht umzusetzen. Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz hat den ursprünglichen Zeitplan verfehlt; die im Gesetzgebungsverfahren vorgesehenen Pflichten lassen sich aber bereits in ihrer endgültigen Gestalt absehen. Unternehmen, die in eine der NIS2-Sektoren fallen, sollten die Umsetzung nicht vom formalen Inkrafttreten abhängig machen, weil sich der Aufwand für Risikomanagement, Lieferkettenprüfung und Meldekette nicht in wenigen Wochen aufbauen lässt.
Dieser Themenbereich bündelt sechs zentrale Fragestellungen aus der Beratungspraxis und ordnet sie in der Reihenfolge, in der sie in einem Umsetzungsprojekt anfallen: Betroffenheit prüfen, Meldewege aufbauen, Geschäftsleitung einbinden, technische und organisatorische Maßnahmen umsetzen, Lieferanten verpflichten und schließlich das Verhältnis zur DSGVO klären.
Beiträge in diesem Themenbereich
- Beitragverfügbar
NIS2-Betroffenheit prüfen: Wesentliche und wichtige Einrichtungen
Sektoren, Schwellenwerte, Konzernzuordnung: rechtssichere Bestimmung der eigenen Pflichten in drei Schritten.
- Beitragverfügbar
NIS2-Meldepflichten: 24-Stunden-Frühwarnung und 72-Stunden-Meldung
An wen wann was zu melden ist, wie die Fristen mit DSGVO Art. 33 zusammenwirken und wie eine belastbare Meldekette aussieht.
- Beitragverfügbar
NIS2 und Geschäftsleitungshaftung: persönliche Verantwortung im Detail
Billigung der Risikomanagementmaßnahmen, Überwachungspflicht, Schulungspflicht und persönliche Bußgelder.
- Beitragverfügbar
NIS2-Risikomanagement: die zehn geforderten Maßnahmen rechtssicher umsetzen
Von Risikoanalyse bis Kryptografie: rechtliche Auslegung der § 30 BSIG-Maßnahmen und Dokumentationsanforderungen.
- Beitragverfügbar
NIS2-Lieferkette: Anbieterauswahl, Vertragsklauseln, Audit-Rechte
Was NIS2 von Lieferanten verlangt, welche Klauseln in Verträge gehören und wie Audit-Rechte gestaltet werden.
- Beitragverfügbar
NIS2 vs. DSGVO: zwei Meldepflichten richtig abgrenzen
Wann ein Vorfall NIS2-relevant ist, wann DSGVO-relevant, wann beides — mit Entscheidungsbaum.
Verbindung zu den anderen Themenbereiche
NIS2 wirkt nicht isoliert. Im Ernstfall greift sie mit der DSGVO ineinander (siehe Datenpanne und DSGVO Art. 33/34) und wird in Ransomware-Vorfällen oft zur primären aufsichtsrechtlichen Klammer (siehe Ransomware-Themenbereich). Wer NIS2 strukturell umsetzt, reduziert deshalb gleichzeitig die Risiken in beiden anderen Themenbereiche.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
