Könnte Ihr Unternehmen betroffen sein? Der neue NIS 2-Realitätscheck
Die meisten Organisationen gehen immer noch davon aus, dass die EU NIS 2-Richtlinie (2022/2555) – die bedeutendste Cybersicherheitsreform des Kontinents seit Jahren – betrifft nur Versorgungsunternehmen, Banken und andere „Giganten“, die im nationalen Rampenlicht stehen. Diese Selbstgefälligkeit birgt nun die Gefahr, harte Lektionen zu lernen. Heute ist das NIS 2-Netz viel weiter gespannt: Wenn Ihr Unternehmen – SaaS- oder Cloud-Anbieter, Logistikkettenbetreiber, Healthcare-Startup oder regionaler MSP – einem Kunden, Partner oder einer öffentlichen Einrichtung digitales Vertrauen oder Servicekontinuität bietet, könnten Sie unabhängig von Unternehmensgröße oder der klassischen Einstufung als „kritischer Sektor“ eindeutig in den Geltungsbereich fallen. Entscheidend für die Einbeziehung ist nicht die alte Branchenbezeichnung, sondern das tatsächliche Risiko und die Abhängigkeit, die Ihre Stakeholder von Ihnen ausgehen.
Die meisten Compliance-Schwachstellen treten zuerst bei einer Verzögerung des Geschäftsabschlusses oder einem dringenden Fragebogen zutage, nicht aber bei einer formellen Warnung einer Aufsichtsbehörde.
Sich auf frühere Ausnahmen oder den Ruf der Branche zu verlassen, schützt Sie nicht. Nationale Register ändern sich monatlich; Lieferkettenbeziehungen führen zu unerwarteten Risiken; Unternehmenskunden verlangen heute im Rahmen ihrer Sorgfaltspflicht Nachweise. In ganz Europa Durchsetzung von NIS 2 Es geht weniger um abstrakte Schwellenwerte, sondern vielmehr darum, was passiert, wenn der normale Betrieb Ihrer Dienste die Widerstandsfähigkeit einer anderen Organisation untermauert. Wenn Sie über Schlüssel zu Kontinuität, Vertrauen oder Kundendaten verfügen, werden Sie im NIS 2-Regime zunehmend als Teil des Sicherheitsökosystems betrachtet.
So erkennen Sie schnell, ob NIS 2 auf Sie zutrifft
Erkenntnisse entstehen durch eine schonungslos ehrliche Selbsteinschätzung – nicht durch das Warten auf eine öffentliche Registrierungsmeldung. Die „Einbeziehung“ in NIS 2 ist dynamisch und ändert sich, sobald Ihre Geschäftstätigkeit, Ihr Vertragsumfang oder Ihre Mitarbeiterzahl neue Grenzen überschreiten. Hier sind die zuverlässigsten Signale – eine Checkliste, die Ihr Unternehmen regelmäßig überprüfen sollte:
- Bieten Sie digitale, SaaS- oder Managed Services innerhalb der EU an – auch für einen einzelnen Kunden?:
- Sind Sie der einzige oder wichtigste Subunternehmer für einen wichtigen Sektor (Versorgungsunternehmen, Gesundheit, Transport)?:
- Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter oder erzielt es einen Umsatz von über 10 Millionen Euro?:
- Wurden Sie in einer Kunden-, Register- oder öffentlichen Beschaffungsprüfung als Lieferant aufgeführt oder erwähnt?:
Ein „Ja“ auf eine dieser Fragen rechtfertigt eine sofortige, umfassende Prüfung durch Ihren Compliance-Leiter – keine Aufgabe für das Audit im nächsten Jahr. EU- und nationale Regulierungsbehörden empfehlen dringend vierteljährliche Kontrollen oder bei Abschluss eines wichtigen Vertrags, Teamerweiterung, Umstrukturierung der Unternehmensstruktur oder Onboarding eines regulierten Kunden. Da der neue NIS 2-Umfang nicht statisch ist, können Ihre rechtlichen und betrieblichen Verpflichtungen mit einem einzigen Geschäftsereignis von „out“ auf „in“ umgestellt werden.
| Schlüsselfrage zum Umfang | Löst eine Überprüfung aus? | Beweismittel/Referenz |
|---|---|---|
| Dient es dem systemrelevanten Sektor (Anhang I/II)? | ✔ | ENISA-Sektorkarte, Hauptkunden |
| Alleiniger/strategischer Lieferant für regulierte Organisation? | ✔ | Lieferantenregister, Onboarding-Dokumente |
| ≥ 50 Mitarbeiter oder 10 Mio. € Umsatz? | ✔ | Personal- und Finanzunterlagen |
| Genannt in Beschaffung, Register, Audit? | ✔ | Vertragskommunikation, Registrierung |
Schlüsselressourcen:
- ENISA NIS 2 Sektorales Flussdiagramm
- Leitfaden zum belgischen CCB-Nationalregister
- Häufig gestellte Fragen zu ILR in Luxemburg
Ein Unternehmen, das heute nicht mehr in den Geltungsbereich der Regulierungsbehörde fällt, kann bereits mit einem einzigen neuen Kunden oder Vertragsabschluss ins Blickfeld der Aufsichtsbehörde geraten. (ILR Luxemburg)
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Was sind die tatsächlichen Selbstprüfungsauslöser für NIS 2? (Und was ist als Nächstes zu tun)
Das eigentliche Risiko besteht darin, unvorbereitet zu sein und erst dann zu erfahren, dass man seit Monaten im Geltungsbereich liegt, wenn der Vertrieb ins Stocken gerät oder ein regulierter Kunde nach Beweisen verlangt, die man nie erbracht hat. NIS 2 schreibt die Logik neu: „Abwarten“ führt zu Geldstrafen, Vertragsrisiken oder Reputationsschäden. Stattdessen behandeln vorausschauende Compliance-Teams den Geltungsbereich als eine lebendige Kategorie – eine, die Sie zusammen mit jedem wichtigen Vertrag oder Registereintrag überwachen, protokollieren und aktualisieren.
Schritt für Schritt: Auf potenzielle Scope-Trigger reagieren
-
Identifizieren Sie den Auslöser
Ein neuer Großauftrag, eine Verdoppelung der Belegschaft, die Aufnahme in das Lieferantenregister eines Kunden, eine Anforderung von Nachweisen in einem Onboarding-Formular – all dies ist ein unmittelbarer Auslöser für eine Überprüfung des Umfangs. -
Eine umfassende Überprüfung einleiten
Rufen Sie Ihre aktuelle Checkliste zur Anwendbarkeit von NIS 2 auf, vergleichen Sie sie mit den Sektorlisten in Anhang I/II und scannen Sie Ihre aktiven Kunden- und Lieferkettenflüsse. -
Aktualisieren der Entitätsregistrierung
Stellen Sie sicher, dass Sie die Unternehmensgröße, den Rechtsstatus, den Betriebssektor und alle Änderungen bei wichtigen Kunden oder dem Status der Lieferkette protokollieren. -
Zuordnungs- und Verknüpfungsbeziehungen
Jede neue Kunden-, Partner- oder Lieferantenbeziehung sollte explizit den NIS 2-Sektorkriterien und dem Registrierungsstatus zugeordnet werden. -
Protokollieren Sie die Beweise
Bewahren Sie alle Verträge, Dokumente zur Lieferanteneinführung, Kunden-E-Mails mit Verweis auf NIS 2, Personalmitteilungen zum Personalwachstum und sämtliche Mitteilungen des nationalen Registers auf. -
Benachrichtigen Sie Ihren Compliance-/Rechtsleiter
Wenn eine Veränderung festgestellt wird, aktivieren Sie den Eskalationsplan: Beziehen Sie den zuständigen Compliance-/IT-Leiter ein und leiten Sie bei Bedarf eine Benachrichtigung der Aufsichtsbehörden oder nationalen Behörden ein. -
Aktualisieren Sie die Anwendbarkeitserklärung (SoA).
Überprüfen Sie, ob Ihre Kontrollen und zugeordneten Risiken den neuesten Umfang und die neueste Registrierungsposition widerspiegeln.
Rückverfolgbarkeitsbeispiel: „Silent Inclusion“ in Aktion
| Auslösen | Risiko-Update | Steuerung/SoA | Beweise protokolliert |
|---|---|---|---|
| Neuer Utility-Client | Lieferant gelistet | A.5.19/A.5.20 | Onboarding + Registrierung |
| Über 50 Mitarbeiter | Entitätsschwelle | Klausel 4.1, 5.2 | HR-Datei, Protokoll |
| Eintrag im Register | Aktualisierung des Geltungsbereichs | 4.3, A.5.19 | Registrierungsexport |
Der NIS 2-Status ist fließend. Verfolgen und dokumentieren Sie Änderungen, sobald sie auftreten, oder riskieren Sie, zu spät zur Compliance-Tabelle zu gelangen.
Wie unterscheidet sich „wesentlich“ von „wichtig“? (Entitätskategorie, Prüfung, Durchsetzung)
NIS 2 unterscheidet scharf zwischen „wesentlichen“ (Anhang I) und „wichtigen“ (Anhang II) Einheiten. Beide Kategorien müssen strenge Cybersicherheitsstandards erfüllen, Vorfallsberichting- und Corporate-Governance-Standards. Ihre Bezeichnung wirkt sich jedoch darauf aus, wie oft Sie geprüft werden, welche Meldepflichten es gibt, wie sichtbar Ihr Register ist und wie hoch die Höchststrafen sind.
Wesentlich vs. wichtig: Grundlegende Unterschiede
| Faktor | Unverzichtbar (Anhang I) | Wichtig (Anhang II) |
|---|---|---|
| Branchenbeispiele | Energie, Wasser, Verkehr | Digitale Infrastruktur, SaaS, Fertigung |
| Registratur | Automatisch aufgelistet | Hinzugefügt pro Schwellenwert/Ereignis |
| Audit | Geplant, regulatorisch gesteuert | Ausgelöst durch Vorfall/Anfrage |
| Reporting | 24–72 Stunden, strenge Fristen | 72 Stunden nach der Veranstaltung |
| Offenlegung | Muss den NIS 2-Status angeben | Auf Anfrage, Vertragsbasis |
| Strafen | Bis zu 10 Mio. € oder 2 % des Umsatzes | Bis zu 7 Mio. € oder 1.4 % des Umsatzes |
Statistische Realität: In Belgien wurden im ersten Jahr von NIS 2 über 2,000 neue Unternehmen zum regulierten Register hinzugefügt – eine Steigerung des Umfangs um über 40 % gegenüber den bisherigen Erwartungen (belgisches CCB, 2024).
Für viele wird der „wesentliche“ Status nicht durch Selbsteinschätzung erkannt, sondern wenn der Kunde Ihr Angebot bei der Beschaffung findet. (Belgisches CCB)
Aktion: Lassen Sie sich im Zweifelsfall den Status von Ihrem nationalen Register oder der zuständigen Behörde bestätigen – und warten Sie nicht auf eine formelle Benachrichtigung.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Wie wirken sich Abweichungen zwischen den Mitgliedstaaten auf Ihren NIS-2-Status aus?
Trotz der Konvergenz auf EU-Ebene legt jedes Land die Richtlinie anders aus – nicht nur in Bezug auf Branchen und Schwellenwerte, sondern auch in Bezug auf die Registrierung, den Lieferantenstatus und die Prüfregelungen. Ihr Status als „außerhalb des Geltungsbereichs“ in Irland kann durch einen neuen Kunden in Deutschland oder eine Registrierungsaktualisierung in Spanien geändert werden.
Die Compliance-Grenzen verschieben sich jetzt mit Ihrem operativen Fußabdruck, nicht nur mit Ihrem Hauptsitz. (ENISA-Sektorleitfaden)
Anpassung an den Geltungsbereich mehrerer Gerichtsbarkeiten
- Routinemäßige Überprüfungen des nationalen Registers: Diese Register werden regelmäßig, oft monatlich, aktualisiert, wenn die Branchenbehörden neue Unternehmen, Lieferanten und Kunden hinzufügen und sich die Lieferketten weiterentwickeln.
- Indirekte Inklusionsrisiken: Auch ohne direkte Kundenverträge können Sie den Status eines Scope-Mitarbeiters erlangen, indem Sie ein wichtiger Subunternehmer werden – oder durch die Schicht eines Partners.
- Vertragliche „Scope Immigration“: Grenzüberschreitende SaaS-Anbieter und internationale Lieferketten müssen Geschäfte und den Aufenthaltsort der Kundendaten streng überwachen.
- Zentralisiertes, automatisiertes Compliance-Tracking: Nutzen Sie Ihr ISMS oder Ihre Compliance-Plattform, um Registrierungs-, Beschaffungs- und Lieferkettenereignisse aufeinander abzustimmen – Rückverfolgbarkeit ist jetzt die Währung.
| Ereignis/Änderung | Antwort/Aktion | Prüfungsnachweis |
|---|---|---|
| Neue Registeraufnahme (Land) | Alarmierung + Umfangsüberprüfung | Registerexport, Workflow-Hinweis |
| Grenzüberschreitender Großauftrag | Umfang neu bewerten | Vertrag + rechtliche Prüfung |
| Kunde fordert Nachweis | Compliance-Dokument generieren | Registrierungs- und Onboarding-Dokument |
Um der Gefahr immer einen Schritt voraus zu sein, müssen Sie Compliance wie einen laufenden Prozess behandeln und nicht wie eine Box, die nur jährlich oder nach Auditorbesuchen zurückgesetzt wird.
Welche Nachweise verlangen Aufsichtsbehörden und Kunden – und wie bereiten Sie diese vor?
Das NIS 2-Regime ist auf Beweise ausgelegt, nicht auf Behauptungen. Behörden und Unternehmenskäufer erwarten sofortige, überprüfbare und überprüfbare Aufzeichnungen- keine Beschreibungen oder statischen PDFs. Lücken werden als Nichteinhaltung gewertet und können zu Geldstrafen, Verzögerungen oder der Verhinderung von Geschäftsabschlüssen führen.
Wenn die Einhaltung von Vorschriften von Beweisen abhängt, wird Vertrauen ohne Dokumentation die Prüfung nicht bestehen.
Kernnachweistypen für NIS 2
- Selbsteinschätzungsverlauf: Vierteljährliche (oder ereignisgesteuerte) Protokolle gemäß ENISA-/nationalen Vorlagen; Änderungen im Kundenstamm, Sektor, Personal oder Registereinträgen.
- Entitätsdaten- und Steuerelementzuordnung: Personal- und Finanzunterlagen, SoA-Protokolle, Lieferantenregistereinträge, Governance-Protokolle.
- Vertrags- und Registeraktualisierungen: Digitales Archiv aller Vertrags-/Registrierungsereignisse, die den Umfang beeinflussen könnten.
- SoA/Kontroll-Rückverfolgbarkeit: Jede Umfangserweiterung wird mit zugeordneten Beweisen protokolliert – keine fehlenden Links.
Minitabelle zur Rückverfolgbarkeit von Ereignissen bis hin zu Beweismitteln
| Geschäftsereignis | Risiko-/Umfangsaktualisierung | Zuordnung/SoA | Prüfungsnachweis |
|---|---|---|---|
| Neuer Lieferantenvertrag (EU) | Lieferantenzuordnung | A.5.19, A.5.20 | Vertrag, Onboarding-Dateien |
| Mitarbeiter kreuzen 50 | Entitätskategorie nach oben | Klausel 4.1, 5.2 | Personalakte, Statusregister |
| Aktualisierung des Regulierungsregisters | Überprüfung der Registrierung | Abschnitt 4.3, A.5.19 | Registry-Export, Board-Log |
Mit jeder Zeile erstellen Sie eine „Audit-Roadmap“ – kein einzelnes Ereignis entlang der Compliance-Kette bleibt unvollständig.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Warum „Live“-Compliance und Transparenz in der Lieferkette unerlässlich sind
Mit NIS 2 reichen jährliche Überprüfungen und verspätete Richtlinienaktualisierungen nicht mehr aus. Ihr Compliance-Prozess ist für Prüfer und Einkäufer täglich sichtbar. Der entscheidende Unterschied liegt in der Geschwindigkeit und Klarheit, mit der Sie Live-Register, nachvollziehbare SoA-Protokolle und Compliance-Bestätigungen für die Lieferkette bereitstellen – in einfacher Sprache und einreichungsbereit, bevor die Frage eingeht.
Die Geschwindigkeit, mit der Sie glaubwürdige Compliance-Nachweise vorlegen, prägt heute sowohl das Vertrauen als auch den Geschäftsabschluss.
Kernmaßnahmen für kontinuierliche Compliance
- Dokumente und Register zentralisieren: Eine digitale Plattform für Verträge, Register, SoA, HR1-Aufzeichnungen und Richtlinienbestätigungen.
- Automatisieren Sie Änderungsbenachrichtigungen: Jede wesentliche Geschäfts- oder Lieferkettenänderung löst einen Compliance- und Dokumentationsworkflow aus.
- Aktivieren Sie On-Demand-Dashboards: Echtzeit-Reporting für Compliance-, Rechts-, Audit- oder Beschaffungsanfragen – kein Durcheinander erforderlich.
- Drucktest Live-Beweise: Führen Sie Selbsttests durch, schlagen Sie Probeläufe für interne Audits vor und stellen Sie sicher, dass Ihre Register jederzeit für externe Abfragen bereit sind.
| Compliance-Trigger | Rolle / Team | Action | Beweisschlüssel |
|---|---|---|---|
| Regulierter Kunde an Bord | Compliance, IT, Vertrieb | Registry/SoA-Update | Client-Bescheinigung, Protokoll |
| Mitarbeiterschwelle erreicht | Personalwesen, Compliance, Vorstand | Statusaktualisierung, Risikoüberprüfung | HR-Protokolle, Abmeldung |
| Registrierungs-Upgrade | Vorstand, Compliance, Direktoren | Schnelle Selbsteinschätzung | Export, Board-Notiz |
| Regulierungsanfrage | Compliance, Vertrieb, Recht | Sofortiger Dokument-/Berichtsexport | Beweisbündel, Bestätigung |
So integrieren Sie ISO 27001 und Datenschutz (DSGVO/ISO 27701) nahtlos in Ihr NIS 2-Programm
Die Aufteilung der Aufgaben in den Bereichen Sicherheit, Datenschutz und Lieferkette ist eine der Hauptursachen für versteckte Risiken und doppelten Aufwand. NIS 2 basiert auf dem Rückgrat der ISO 27001 /27701-Modellierung – wodurch es möglich wird, Kontrollen, Nachweise und Prozessmanagement auf einer einzigen Plattform oder einem einzigen ISMS zusammenzuführen.
ISO 27001 × NIS 2: Praktische Brückentabelle
| Erwartung | Implementierungsweg | ISO 27001 / Anhang Ref |
|---|---|---|
| Laufende Risikoüberprüfung | Vierteljährliche Beweiskartierung | 6.1.2, 8.2, 9.1, A.5.7 |
| Lebendige Beweise | Digitales SoA & Registerprotokoll | 7.5, A.5.1, A.5.10, 4.4 |
| Widerstandsfähigkeit der Lieferantenkette | Automatisierter Onboarding-Workflow | A.5.19–A.5.22 |
| Datenschutzintegration | SAR-Protokoll, Datenschutz Mapping, Datenflusskarte | ISO 27701, DSGVO Art. 30, A.5.34 |
Das Ergebnis: Ihr ISMS ist kein periodisches Artefakt mehr – es ist Ihre Betriebsumgebung für alle NIS 2- und gesetzlichen Anforderungen, intelligent geschichtet für jeden Rahmen oder jede Verpflichtung, sodass Sie jede Frage mit einem Klick beantworten können.
Führend in Sachen Compliance: Immer verfügbar, immer bereit für Audits
Die wahre Qualität einer Compliance-Führungskraft besteht heute nicht mehr nur darin, „straffrei“ zu bleiben oder vom Radar der Aufsichtsbehörden verschont zu bleiben. Es geht vielmehr darum, die Fähigkeit zu entwickeln, sofortige, dokumentarische Nachweise zu erbringen und so sicherzustellen, dass Audits, Kundenanfragen oder Anfragen von Aufsichtsbehörden lediglich Routine sind und keine Krisen darstellen.
Führung bedeutet, die Lücke zwischen regulatorischen Fragen und vorstandsgerechten Antworten zu schließen, bevor die Außenwelt Sie jemals beurteilt.
Führungshandbuch (kurze Zusammenfassung)
- Echte, sofortige Selbsteinschätzung: Jeder wesentliche Auslöser (Vertrag, Personal, Gerichtsbarkeit) erfordert eine Überprüfung und dokumentierte Aktualisierung.
- Automatisieren Sie die transparente Kommunikation: mit allen Beteiligten: Mitarbeitern, Lieferanten, Kunden und dem Vorstand.
- Pflegen Sie ein einziges Live-Register: Konsolidieren Sie Beweise, Verträge, SoA und Onboarding-Protokolle – vertretbar und zugänglich.
- Erstellen Sie Prüfpfade in Echtzeit: Die Vorbereitung ist kein jährliches Durcheinander, sondern in Routineprozesse und die Einbindung der Stakeholder eingebettet.
- Überbrücken Sie alle Frameworks: NIS 2, ISO 27001/27701 und Lieferkettenverpflichtungen basieren alle auf denselben Kernkontrollen, Registern und aktuellen Kennzahlen.
- Positionieren Sie sich für einen strategischen Vorteil: Wenn der Markt Beweise verlangt, geben Sie keine Erklärungen ab und zögern nicht – Sie demonstrieren mit der Zuversicht und Geschwindigkeit eines führenden Anbieters im Bereich digitale Compliance.
ISMS.online vereint Audit, Lieferkettensicherung und Compliance-Bereitschaft in einer lebenssicheren Plattform und verwandelt die NIS 2-Compliance von einer Risikoquelle in einen Hebel für Geschäftsvertrauen und operative Führung.
KontaktHäufig gestellte Fragen (FAQ)
Wer hat eigentlich Anspruch auf NIS 2 und warum sind immer mehr Unternehmen davon betroffen?
Sie fallen unter NIS 2, wenn Ihr Unternehmen 50 oder mehr Mitarbeiter oder einen Umsatz von 10 Millionen Euro hat und in einem „wesentlichen“ oder „wichtigen“ Sektor tätig ist, der in Anhang I oder II der Richtlinie aufgeführt ist – und zwar ein breites Spektrum, von Energie, Wasser, Finanzen, Gesundheitswesen und digitale Infrastruktur für Lebensmittel-, Fertigungs-, Post- und Digitalanbieter. Die Regeln reichen aber noch weiter: Selbst wenn Sie diese Größenschwellen nicht erreichen, fallen Sie möglicherweise in den Geltungsbereich, wenn Sie alleiniger oder strategischer Lieferant eines kritischen Unternehmens, Dreh- und Angelpunkt einer regulierten Lieferkette oder von Ihrer nationalen Behörde ausdrücklich benannt sind. Die Grenze kann sich plötzlich verschieben – ein neuer Vertrag, Kunde, eine neue Liefervereinbarung oder Ausschreibung kann dazu führen, dass Sie über Nacht reguliert werden, unabhängig vom Status „außerhalb des Geltungsbereichs“ im letzten Jahr.
Die eigentliche Falle besteht darin, zu glauben, dass das, was Sie im letzten Quartal von der Steuer befreit hat, auch nach Ihrem nächsten Geschäft oder Ihrer nächsten Umstrukturierung noch gilt.
Um festzustellen, ob Ihr Unternehmen abgesichert ist, prüfen Sie zunächst die Vorschriften und dann Ihre Größe und Branche für jeden Geschäftsbereich, jede Niederlassung oder jede Tochtergesellschaft. Nationale Vorschriften können für Überraschungen sorgen. Dokumentieren Sie stets wichtige Verträge, Gehaltsabrechnungen und Kundenbeziehungen, während Sie wachsen.
NIS 2-Umfangsauslöser und was zu dokumentieren ist
| Auslöser/Ereignis | Dokumentarische Beweise |
|---|---|
| ≥50 Mitarbeiter oder 10 Mio. € Umsatz | Lohn- und Gehaltsabrechnung, Personalwesen, Jahresabschluss |
| Anhang I/II Sektorbetrieb | Geschäftscode, Kundenliste |
| Einzige/kritische Versorgung regulierter Organisationen | Kundenvertrag, Onboarding |
| Gelistet in Kunden-/Lieferantenbeschaffungen | Ausschreibungsunterlagen, Register |
Halten Sie für jede wesentliche Änderung ein aktives „Beweisregal“ bereit. So können Sie Ihren Status (oder Ihre Ausnahme) auf Anfrage von Käufern, Prüfern und Behörden viel einfacher in Echtzeit nachweisen.
Was ist der Unterschied zwischen „wesentlichen“ und „wichtigen“ Entitäten – und warum ist das wichtig?
NIS 2 zieht eine klare Linie: „Wesentliche“ Unternehmen (Anhang I) bilden das Rückgrat der nationalen Infrastruktur – Energie, Gesundheit, Finanzen, Digitales, Zentralverwaltung, Raumfahrt. Diese Unternehmen sehen proaktive, routinemäßige Aufsicht durch die Regulierungsbehörden, obligatorische Registrierung und die höchsten Geldstrafen (bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes). Audits und Berichte erfolgen kontinuierlich und ohne große Vorwarnung. Compliance-Fehlers ziehen schnelle, hochkarätige Maßnahmen an.
Zu den „wichtigen“ Einheiten (Anhang II) zählen Hersteller, digitale Dienste (Cloud, SaaS, Suche), Logistik, Chemie, Lebensmittel, Post und Forschung. Diese teilen sich die gleiche Basis Risikomanagement und Berichtspflichten, aber die Durchsetzung ist anders: Audits und Bußgelder erfolgen hauptsächlich ereignisgesteuert – nach Vorfällen, Beschwerden oder gezielten Überprüfungen. Selbsteinschätzung und Bereitschaft sind hier wichtig, aber die Belastung ist weniger unerbittlich.
Beide Kategorien müssen ein aktives Risiko- und Lieferantenmanagement nachweisen, was sich jedoch ändert, ist die Unmittelbarkeit: „wesentlich“ bedeutet, dass Sie immer auf dem Radar der Aufsichtsbehörde sind.
Tabelle: Wesentliche vs. wichtige Entitäten (Auswirkungsübersicht)
| Entitätstyp | Prüfungsansatz | Registratur | aktionen | Beispiel |
|---|---|---|---|---|
| Essential | Proaktiv, routinemäßig | Erforderlich | Schwer | Stromnetz, Zentralbank, Telekommunikation |
| Wichtig | Ereignisgesteuert | Erforderlich | Schwer | SaaS, Hersteller, Lebensmittelfabrik |
Wenn Sie sich selbst falsch einstufen, riskieren Sie sowohl unerwartete Audits als auch verpasste Verpflichtungen. Machen Sie es von Anfang an richtig, nicht unter Druck.
Können Sie die NIS 2-Abdeckung in einer öffentlichen Datenbank nachschlagen – oder ist alles eine Selbsteinschätzung?
Nein, es gibt (und wird) kein offenes EU-weites NIS-2-Register für Unternehmen, Kunden oder Käufer geben. Jeder Mitgliedstaat führt seine eigene vertrauliche Liste; nur Aufsichtsbehörden und Wirtschaftsprüfer haben Zugriff darauf. Einige (wie Luxemburg oder die Niederlande) fordern Unternehmen auf, sich selbst zu registrieren, die meisten verlassen sich jedoch darauf, dass Sie eine Selbsteinschätzung durchführen, Nachweise erbringen und Ihren Status auf Anfrage bestätigen – insbesondere bei Audits, Unternehmensausschreibungen oder beim Onboarding von Lieferketten.
Wenn Sie einen Versicherungsschutz (oder eine Befreiung) nachweisen müssen, halten Sie Folgendes bereit:
- Protokolle zur Selbsteinschätzung nach Sektor/Größe (Anhang I/II, Personal, Finanzen)
- Geschäfts- und Gehaltsabrechnungsunterlagen (die zeigen, wann Sie in den Geltungsbereich eingetreten sind bzw. ihn verlassen haben)
- Kunden-, Ausschreibungs- und Lieferantendokumentation (für Lieferkettenauslöser)
- Alle Mitteilungen von Käufern, Prüfern oder nationalen Behörden
Die Einhaltung von NIS 2 ist kein zeitpunktbezogenes Zertifikat, sondern eine Kette von aktuellen, überprüfbaren Nachweisen, die Sie jedem Käufer oder Prüfer auf Anfrage vorlegen können.
NIS 2-Statusnachweis auf einen Blick
- Führen Sie eine Basisbewertung durch (und zeichnen Sie die Logik auf).
- Aktualisierung nach jeder wesentlichen Vertrags- oder Personaländerung
- Speichern Sie unterstützende Protokolle und Mitteilungen, sobald sie auftreten
- Bereiten Sie eine Begründung in einfacher Sprache vor, um Due-Diligence-Fragen zu beantworten
Behandeln Sie jede Anfrage eines Unternehmenskunden oder Vorstands als eine Art Mini-Regulierungsprüfung. Eine reibungslose Reaktion zahlt sich jetzt bei der Vertragsverlängerung oder Prüfung aus.
Wie ändern Länder- und Sektor-Overlays den NIS 2-Umfang für mein Unternehmen?
NIS 2 legt Mindestanforderungen fest, die nationalen Behörden nehmen jedoch häufig Ergänzungen und Ausnahmen vor. Ihr spezifisches Risikoprofil kann sich ändern:
- Neudefinitionen der Sektoren (z. B. teilt Dänemark die Telekommunikations-Subsektoren auf)
- Ausschlüsse (Deutschland nimmt „unerhebliche“ Tätigkeiten aus)
- Niedrigere oder höhere Einschlussschwellen (Mitarbeiterzahl, Umsatz)
- Kritikalitätsregeln (mehr/weniger Sektoren als „strategisch“ benennen)
Sind Sie in mehreren Ländern oder Branchen tätig? Dann müssen Sie jede Niederlassung einzeln prüfen. Ein Ausschluss der Unternehmenszentrale bedeutet nicht, dass Ihre britische oder deutsche Tochtergesellschaft ebenfalls betroffen ist. Ihr Kundenstamm oder Ihre Belegschaft im Land kann Sie in den Geltungsbereich ziehen. Jede größere Zusammenarbeit mit Lieferanten über Ländergrenzen hinweg kann sich negativ auf die Verpflichtungen auswirken.
Tabelle: Nationale Geltungsbereichsvarianten – Was zu verfolgen ist
| Land/Kontext | Schlüsselvarianz | Zu sammelnde Beweise |
|---|---|---|
| Deutschland | Befreit „unbedeutende“ Aktivitäten | Freistellungsprotokoll, Verträge |
| Dänemark | Mehrere Telekommunikations-Teilsektoren | Serviceportfolio-Dokumente |
| Multinationaler Konzern | Jede Niederlassung/Einheit ist einzigartig | Länderspezifischer Geltungsbereich |
Eine Compliance-Plattform wie ISMS.online hilft Ihnen, den Status und die Nachweise für jede Betriebseinheit auf dem neuesten Stand zu halten und so riskante Annahmen und verpasste lokale Einreichungen zu vermeiden.
Welche laufenden Routinen und Aufzeichnungen sind für das Überleben eines NIS 2-Audits unerlässlich?
Der Erfolg liegt in proaktive, zeitgestempelte Beweise- nicht bloße Policen oder leere Behauptungen. Zu den Praktiken mit hoher Überlebensrate gehören:
- Vierteljährliche oder ereignisgesteuerte Festlegung des Umfangs: Jeder neue wichtige Vertrag, jede Personalerhöhung oder jedes Ereignis in der Lieferkette erfordert eine neue, unterzeichnete Bewertung.
- Ständig aktualisierte Dokumentenablage: Gehaltsabrechnung, Personalwesen, SoA, Lieferanten-Onboarding, Vertragsänderungen – alles wird protokolliert, sobald es passiert, und an einem Ort gespeichert.
- Erklärung zur Anwendbarkeit (SoA): Überprüfen Sie den Umfang jedes Mal erneut, wenn ein wichtiges Vertragsereignis eintritt. Verknüpfen Sie jede Kontrollzuweisung direkt mit der betroffenen Entität oder dem betroffenen Prozess.
- Workflow-Protokollierung: Jede Überprüfung, Aktualisierung oder Registrierungskommunikation erhält einen Eintrag mit Zeitstempel.
- Integriertes Lieferantenrisikomanagement: Nehmen Sie jeden kritischen Lieferanten an Bord, bewerten Sie dessen Risiken und verfolgen Sie ihn, sodass für jede Due Diligence oder Prüfung Nachweise bereitstehen.
Moderne ISMS-Lösungen (wie ISMS.online) automatisieren diese Routinen, sodass Sie nie wieder nach Belegen suchen müssen oder den Überblick über wesentliche Änderungen verlieren, die eine Durchsetzung auslösen könnten.
Brückentabelle: NIS 2-Erwartungen und ISO 27001-Parallelen
| NIS 2-Anforderung | ISO 27001/27701-Klausel | Betriebsnachweis |
|---|---|---|
| Regelmäßige Überprüfung des Umfangs | Abschnitt 4.1, A.5.19/.20/.21 | HR-Protokoll, SoA, Lieferantendateien |
| Risikomanagement und Workflow | Anhang A-Kontrollen | Protokolle, Onboarding-Dokumente, Workflows |
| Beweismittel-/Datenmanagement | Abschnitt 7.5, SoA, Dashboard | Versionierte Dateien, Audit-Exporte |
| Datenschutzverpflichtungen | ISO 27701, DSGVO Art. 30 | SAR-Protokoll, Datenschutzregister |
Ein Live-Register verwandelt Ihre Audit-Haltung von der Brandbekämpfung in die Bereitschaft – und erleichtert den Nachweis des Kundenvertrauens erheblich.
Wenn Sie sich über den NIS 2-Status nicht sicher sind, was ist der klügste Schachzug?
Beginnen Sie jetzt mit einer Basislücken- und Nachweisprüfung – warten Sie nicht, bis eine Aufsichtsbehörde oder ein wichtiger Kunde Sie darum bittet. Laden Sie das Branchen-/Größen-Arbeitsblatt herunter, ordnen Sie alle Produktlinien, Marken und Lieferketten den neuesten NIS 2-Anhängen zu und protokollieren Sie jede wesentliche Vertrags- oder Personaländerung. Sammeln Sie Verträge, Gehaltsabrechnungen, Lieferanten-Onboarding und alle offiziellen Mitteilungen in einem ständig aktualisierten, zugänglichen Nachweisordner.
Plattformen wie ISMS.online automatisieren vierteljährliche Überprüfungen und ereignisgesteuerte Updates, ermöglichen den sofortigen Zugriff auf Ihre SoA und zentralisieren Audit- und Vertragsnachweise. So können Sie Partnern, Prüfern oder Aufsichtsbehörden jederzeit zuverlässig antworten und müssen nicht nach fehlenden Dateien oder vergessenen Bewertungen suchen.
Jeder Tag ohne Klarheit vervielfacht Ihr Risiko und untergräbt das Vertrauen von Vorstand und Kunden. Bauen Sie Ihr Compliance-Regal auf – denn die Unternehmen, die über Beweise verfügen, werden die neue Vertrauensökonomie stets anführen.
Vertrauen ist messbar: Die Organisationen, die ihren Prüfpfad auf Anfrage vorlegen können, halten nicht nur die Vorschriften ein – sie sind für alle die sichersten Partner.
Rückverfolgbarkeitstabelle – Beispiel für die Übertragung von Ereignissen in Beweise
| Auslöseereignis | Risiko-Reaktion | ISO/Anhang-Referenz | Beweis/Momentaufnahme |
|---|---|---|---|
| Neuer strategischer Kunde | Umfangsüberprüfung, SoA | ISO 27001 4.1, SoA | Vertrag, Gehaltsabrechnung, Personal-/Vorstandsnotiz |
| Lieferantenvorfall | Lieferantenaudit/-aktualisierung | Ann. A.5.21 | Email, Prüfpfad, Registrierung |
| Erhöhung der Mitarbeiterzahl | Aktualisierung des Umfangsprotokolls, SoA | SoA, Ann. A | Gehaltsabrechnung, SoA-Revision, HR-Protokoll |
Handeln Sie im Zweifelsfall: Testen Sie Ihren Status, protokollieren Sie Beweise und übernehmen Sie Systeme, die Sie immer für eine sofortige Überprüfung bereithalten.
