NIS‑2 sicher umsetzen – mit Coaching, Risikomanagement und optionaler Software-Unterstützung
NIS-2 verschärft die Anforderungen an Informationssicherheit und Resilienz in Europa. Seit Januar 2023 in Kraft, wird die Richtlinie voraussichtlich ab Ende 2025 / Anfang 2026 national wirksam. Funk unterstützt dabei, die Relevanz und den Umfang der Betroffenheit zu bestimmen und Meldepflichten zu erfüllen.
Die NIS-2-Richtlinie verpflichtet Unternehmen, ihre Informationssicherheitsmaßnahmen zu stärken, um Cyberrisiken wirksam zu erkennen, zu bewerten und zu minimieren. Sie fordert ein systematisches Sicherheitsmanagement, klare Verantwortlichkeiten sowie Nachweise über die Umsetzung geeigneter technischer und organisatorischer Maßnahmen.
Leitungsorgane von Unternehmen tragen Mitverantwortung, müssen Risikomanagement aktiv steuern, Meldepflichten (z. B. bei Sicherheitsvorfällen binnen 72 Stunden) erfüllen und für Qualifizierung sorgen. Für Deutschland werden ab 2025/2026 rund 30.000 Unternehmen in den Geltungsbereich fallen; bei Versäumnissen drohen erhebliche Bußgelder und persönliche Haftung.
Wie stuft NIS-2 Unternehmen ein – und wer ist betroffen?
Ob Ihr Unternehmen betroffen ist, entscheidet eine Einstufung. Die erfolgte Einstufung bestimmt den Umfang der Pflichten – etwa bei Meldungen, Sicherheitsmaßnahmen und behördlichen Kontrollen – und ist daher ein zentraler Schritt bei der NIS-2-Umsetzung.
Bestimmen Sie den Grad Ihrer NIS-2-Betroffenheit: Ordnen Sie Ihr Unternehmen ein
Gehört Ihr Unternehmen zu den wichtigen oder besonders wichtigen Einrichtungen?
Besonders wichtige Einrichtungen sind große Organisationen aus kritischen Sektoren, wie z. B. Energie, Verkehr, Gesundheit oder Wasserversorgung. Wichtige Einrichtungen umfassen mittlere Unternehmen in vergleichbaren oder unterstützenden Bereichen.
Wichtige Einrichtungen sind: Post- und Kurierdienste, Abfallwirtschaft, chemische Erzeugnisse, Lebensmittel, Hersteller, digitale Anbieter, Forschung
Besonders wichtige Einrichtungen sind: Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, B2B, öffentliche Verwaltung, Weltraum
Gehört Ihr Unternehmen zu den genannten Einrichtungen, entnehmen Sie der Tabelle den Umfang Ihrer NIS-2-Pflichten. Basis sind Unternehmensgröße und Umsatzzahlen:
| Große Unternehmen | Mittlere Unternehmen | Kleine Unternehmen | |
|---|---|---|---|
| Zahl Mitarbeitende und Umsatz | Mind. 250 Mitarbeitende, Jahresumsatz von 50 Mio. € + Jahresbilanz von 43 Mio. € | Unter 250 Mitarbeitende, Jahresumsatz von 10 Mio. € + Jahresbilanz von 10 Mio. € | Unter 50 Mitarbeitende, Jahresumsatz von unter 10 Mio. € |
| Von NIS-2 betroffen? | betroffen | betroffen | nicht betroffen |
| Umfang der Pflichten | Regelmäßige Sicherheitsprüfung, Haftung der Unternehmensleitung, Meldepflicht | Regelmäßige Sicherheitsprüfung, Haftung der Unternehmensleitung, Meldepflicht | keine |
Betroffenheitsanalyse und Scoping nach NIS-2
Unternehmen müssen eigenständig überprüfen, ob sie unter den Anwendungsbereich der NIS-2-Richtlinie fallen und welche Pflichten damit einhergehen – Behörden informieren nicht aktiv. Die Funk Betroffenheitsanalyse unterstützt Sie dabei, die Relevanz und den Umfang der Betroffenheit zu bestimmen.
Unternehmerische Anforderungen:
- Identifikation betroffener Geschäftsbereiche, Produkte und Tochtergesellschaften
- Analyse von Abhängigkeiten zu Lieferanten und Partnern
- Dokumentation im Rahmen eines NIS-2 Scoping-Berichtes
Das Ergebnis ist eine klare Einschätzung Ihrer NIS-2-Betroffenheit und eine fundierte Grundlage für die nächsten Umsetzungsschritte.
Ihr Kontakt
Funk Beratung: NIS-2-Umsetzung in drei gezielt wirksamen Phasen
Wir führen Ihr Unternehmen pragmatisch und wirksam zur NIS‑2‑Konformität, die Risikomanagement in den Mittelpunkt stellt und sich nahtlos in Ihre Governance integriert. Sie erhalten nachvollziehbare Prioritäten, umsetzbare Maßnahmen und prüffähige Nachweise als Bestandteil eines kontinuierlichen Optimierungsprozesses.
Phase 1
Orientierung & Scoping
- Betroffenheitsanalyse & Scope: Welche Einheiten (Geschäftsbereiche, Tochtergesellschaften, Leistungen) sind betroffen?
- Prüfung der Abhängigkeiten: Welche Abhängigkeiten bestehen, insbesondere auch international oder in Tochterunternehmen?
- Reifegrad & Gap Analyse: IST-Bewertung gegenüber NIS-2, identifizierte Lücken und klare Prioritäten als Entscheidungsgrundlage
Phase 2
Umsetzung & Verankerung im Risikomanagement
- Roadmap & Verantwortlichkeiten: Zeitplan, Meilensteine und Rollen zur wirksamen Umsetzung der priorisierten Maßnahmen
- Risikomanagement integrieren: Aufbau bzw. Weiterentwicklung eines NIS-2-konformen Risikomanagements
- Meldeverfahren & Qualifizierung: Standardisierter Prozess zur Meldung an das BSI sowie Workshops für Leitungsorgane; ergänzend bereiten wir ein zielgruppengerechtes E-Learning für Mitarbeitende sowie die Geschäftsleitung vor
Phase 3
Wirksamkeit & kontinuierliche Verbesserung
- Wirksamkeits-Check & Review: Jährliche Überprüfung der Angemessenheit und Wirksamkeit, Anpassung an Stand der Technik und neue regulatorische Anforderungen
- Übungen & Weiterentwicklung: Fallstudien, Krisensimulationen und fortlaufendes Feinjustieren der Maßnahmen
RIMIKS X: Ihre Software-Unterstützung bei der NIS-2-Umsetzung
Auf Wunsch unterstützen wir die Phasen 2 und 3 Ihrer Umsetzung mit unserer Risikomanagement‑Software RIMIKS X. Sie bündelt sämtliche Risiken – inklusive NIS-2-relevanter IT- und Informationssicherheitsrisiken – in einem zentralen Inventar, bewertet sie einheitlich und aggregiert sie bis auf Unternehmens- oder Konzernebene. Maßnahmen und Audit-Nachweise sind transparent und revisionssicher dokumentiert. RIMIKS X ist sofort einsatzbereit, bleibt durch laufende regulatorische Updates (z. B. Nachhaltigkeit) stets aktuell und ermöglicht eine effiziente Steuerung Ihrer Compliance-Risiken.
RIMIKS XSie möchten mehr erfahren?
Kontaktieren Sie uns unter +49 40 35914-0 oder schreiben Sie uns eine Nachricht.
Anfrage per Mail