Die Richtlinie (EU) 2022/2555 ersetzt die ursprüngliche NIS-Richtlinie und etabliert harmonisierte Anforderungen an Cybersicherheits-, Risiko- und Incident-Management. Ein einheitlicher Rahmen für den europäischen Binnenmarkt – von Risikomanagement über Meldepflichten bis zu Aufsicht und Sanktionen.
NIS-2 unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Cloud- und IT-Dienstleister wie ayedo fallen explizit in den Adressatenkreis.
Kritische Sektoren mit höchsten Anforderungen. Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, digitale Infrastruktur (Cloud, DNS, Rechenzentren, CDN). Öffentliche Verwaltungen. Unternehmen über dem KMU-Schwellenwert. Intensive Aufsicht.
Indirekt kritische Akteure. Kleinere oder weniger systemrelevante Organisationen in denselben Sektoren. Proportional reduzierte, aber weiterhin verpflichtende Anforderungen. Aufsicht auf Risikobasis.
Explizit eingeschlossen. Cloud-Computing-Dienstleister, Rechenzentren, CDN-Betreiber, Managed-Service-Provider, Managed-Security-Services, Vertrauensdiensteanbieter. ayedo fällt als Managed-Service-/Cloud-Plattformanbieter in diese Kategorie.
Nach EU-KMU-Definition. Wesentliche Einrichtungen: meist über 250 Mitarbeiter oder €50M Umsatz. Wichtige Einrichtungen: darunter, aber systemrelevant. Nationale Behörden können Schwellen anpassen. Proportionalität für kleinere Akteure.
Art. 20 verankert Cybersicherheit als Führungspflicht. Leitungsorgane (Management) müssen Risikomanagementmaßnahmen genehmigen, überwachen und können persönlich haftbar gemacht werden.
Vorstand trägt ultimative Verantwortung. Genehmigung von Cybersicherheits-Maßnahmen, Überwachung der Umsetzung, Budgetfreigabe. Persönliche Haftung bei grober Fahrlässigkeit. NIS-2 macht Cyber-Resilienz zur Chefsache – analog zu DORA.
Awareness auf allen Ebenen. Vorstände müssen Cybersicherheits-Trainings absolvieren. Regelmäßige Security-Awareness-Programme für alle Mitarbeitenden. Spezialschulungen für IT/Security-Teams. Nachweis-/Dokumentationspflicht.
Kontinuierliche Board-Updates. Regelmäßige Berichte über Sicherheitslage, Vorfälle, Maßnahmenwirksamkeit. KPIs/KRIs für Cyber-Resilienz. Audit-Trails für Entscheidungen. Nachweisbare Governance-Strukturen.
Art. 21 definiert Mindestanforderungen an technische, operative und organisatorische Maßnahmen. Diese müssen dem Stand der Technik entsprechen, verhältnismäßig zum Risiko sein und den gesamten Lifecycle abdecken.
Kontinuierliche Bewertung. Systematische Bedrohungsanalyse, Risikobewertung von Assets/Prozessen, dokumentierte Sicherheitskonzepte. Berücksichtigung von Lieferketten, Drittanbietern, technologischen Entwicklungen. Jährliche Reviews verpflichtend.
Verfahren für Erkennung, Meldung, Response. Strukturierte Prozesse für Detection, Triage, Eskalation, Remediation. Incident-Response-Pläne, Playbooks, definierte Verantwortlichkeiten. Integration mit CSIRTs und Behörden. 24h/72h/1M-Meldepfad.
BCP, Backup, Wiederherstellung. Business Continuity Planning, Disaster Recovery, getestete Backups, Redundanz. RTO/RPO-Ziele definiert und nachgewiesen. Notfall- & Krisenmanagement-Pläne. Jährliche Tests mit Dokumentation.
Supply-Chain-Risk-Management. Vertragliche Absicherung von Sub-Providern, Auditierung, Bewertung der Cybersicherheitspraktiken. Berücksichtigung spezifischer Schwachstellen. Due-Diligence-Prozesse. Vendor-Risk-Register.
Secure-by-Design-Prinzipien. Sichere Softwareentwicklung (SSDLC), Schwachstellen-Management, CVE-Scanning, Patch-Management. Code-Reviews, SAST/DAST. Change-Management mit Audit-Trails.
Regelmäßige Audits & Tests. Interne/externe Security-Audits, Penetration-Tests, Red-Team-Übungen. Vulnerability-Assessments. Wirksamkeitsnachweis der Maßnahmen. Kontinuierliche Verbesserung basierend auf Findings.
MFA, Least Privilege, Awareness. Multi-Faktor-Authentifizierung verpflichtend, Prinzip der minimalen Rechte, Zugriffskontrollen. Security-Awareness-Trainings für alle. Phishing-Simulationen. Passwort-Policies.
Verschlüsselung & Schlüsselverwaltung. Einsatz von State-of-the-Art-Kryptografie (TLS 1.3+, AES-256), sichere Schlüsselspeicherung, Rotation, Trennung von Schlüsseln und Daten. Customer-Managed Keys wo möglich.
Rollen, Rechte, Überprüfungen. RBAC/ABAC-Modelle, Segregation of Duties, Background-Checks für kritische Rollen. Joiner/Mover/Leaver-Prozesse. Privileged Access Management (PAM). Audit-Logs für alle Zugriffe.
Authentifizierung & Notfall-Comms. Starke Authentifizierung für alle Systeme, verschlüsselte Kommunikationskanäle (E-Mail, Chat, VoIP). Notfall-Kommunikationspläne mit redundanten Kanälen. Out-of-Band-Verifikation für kritische Aktionen.
Art. 21 Abs. 3 verlangt explizit die Berücksichtigung der Cybersicherheitspraktiken von Sub-Providern. NIS-2 verankert damit ein Supply-Chain-Security-Mandat, ähnlich DORA.
Vollständige Lieferantenübersicht. Register aller Sub-Provider, Dienstleister, kritischen Zulieferer. Informationen: Services, Kritikalität, Standorte, Jurisdiktion, Zertifizierungen. Regelmäßige Updates. Verfügbar für Audits/Aufsicht.
Systematische Prüfung vor Beauftragung. Security-Assessments, Zertifizierungen (ISO 27001/9001), Audit-Reports, finanzielle Stabilität, Jurisdiktionsrisiken. Bewertung der Gesamtqualität der Cybersicherheitspraktiken. Score-basierte Entscheidung.
NIS-2-konforme Klauseln. SLAs für Sicherheit/Verfügbarkeit, Incident-Meldepflichten, Audit-Rechte, Sub-Contracting-Offenlegung, Datenverarbeitung-Standorte, Exit-Strategien. Kooperationspflicht mit Behörden.
Laufendes Vendor-Monitoring. Regelmäßige Re-Assessments, Tracking von Security-Incidents bei Lieferanten, Zertifizierungs-Status-Updates. Trigger-basierte Reviews bei Material-Changes. Eskalationsprozesse bei Non-Compliance.
Art. 23 ff. etabliert ein mehrstufiges Reporting-System – strukturell identisch mit DORA. Koordination über nationale CSIRTs und zentrale Anlaufstellen.
Initiale Meldung binnen 24h. Sobald Kenntnis über einen erheblichen Sicherheitsvorfall besteht, muss eine Frühwarnung an die zuständige Behörde/CSIRT erfolgen. Minimale Informationen: Art des Vorfalls, Betroffenheit, erste Einschätzung.
Detaillierter Bericht binnen 72h. Umfassende Beschreibung: betroffene Systeme/Daten, Schweregrad, Auswirkungen, IoCs (Indicators of Compromise), erste Gegenmaßnahmen. Koordination mit CSIRT, Datenschutz-/Strafverfolgungsbehörden bei personenbezogenen Daten.
Finaler Bericht binnen 30 Tagen. Root-Cause-Analyse, Timeline, umgesetzte Remediation-Maßnahmen, Lessons Learned, Präventivmaßnahmen für die Zukunft. Strukturierte Dokumentation für regulatorische Nachvollziehbarkeit und interne Verbesserung.
Schwellenwerte & Kriterien. Erheblich = signifikante Beeinträchtigung von Services, Datenintegrität/-vertraulichkeit, Verfügbarkeit kritischer Systeme. Auswirkung auf Geschäftsbetrieb, finanzielle Position oder Dritte. Nationale Behörden konkretisieren.
Kapitel VII gewährt nationalen Behörden umfangreiche Kontroll- und Durchsetzungsbefugnisse. Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
Weitreichende Aufsichtsinstrumente. Vor-Ort-Kontrollen, Security-Scans, Ad-hoc-Prüfungen, Auskunftsersuchen, Dokumentenanforderungen. Interviews mit Management/Personal. Zugang zu Systemen/Logs (mit Auflagen). Keine Ankündigung erforderlich.
Empfindliche Geldbußen möglich. Wesentliche Einrichtungen: bis zu €10M oder 2% des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu €7M oder 1,4% des Umsatzes. National geregelt, aber EU-Mindestvorgaben. Zusätzlich: öffentliche Bekanntmachung.
Vorübergehende Service-/Management-Suspendierung. Bei schwerwiegenden Verstößen können Behörden Dienstleistungen vorübergehend untersagen oder Management-Funktionen suspendieren. Ultima Ratio, aber rechtlich möglich. Sofortvollzug bei Gefahr im Verzug.
Burden of Proof bei Einrichtung. Nachweispflicht für Konformität liegt bei der Einrichtung, nicht bei Behörde. Dokumentation, Audit-Reports, Test-Ergebnisse, Prozess-Nachweise müssen vorliegen. Fehlende Nachweise = Indiz für Non-Compliance.
Unsere Software Delivery Plattform und Managed Services sind auf NIS-2-Konformität ausgelegt – von Risikomanagement über 24/7 Incident-Response bis zu Supply-Chain-Transparenz.
Zertifizierte ISMS-Prozesse. ISO 27001/9001-basiertes Operations-Modell mit dokumentierten Policies, jährlichen Reviews, Board-tauglichen KPI/KRI-Dashboards. Asset-Inventare, Risikobewertungen, kontinuierliche Verbesserung. Audit-ready.
Starke Authentifizierung durchgehend. Network-Segmentierung, MFA/OIDC-Integration, Secrets-Management mit Customer-Managed Keys, Least-Privilege-Prinzip. GitOps-basierte Change-Kontrolle. RBAC/ABAC-Modelle. PAM für privilegierte Zugriffe.
Comprehensive Observability. Metrics, Logs, Traces mit standardisierten Schnittstellen. Definierte Alerting-Schwellen, Eskalations-Runbooks, 24/7-SOC-Integration. MTTA/MTTR-Tracking. Threat-Intelligence-Feeds. SIEM-Integration möglich.
Getestete Backup-/Restore-Prozesse. Multi-AZ/Region-Designs, dokumentierte RTO/RPO-Ziele. Automatisierte Backups mit standardkonformem Object Storage, Point-in-Time-Recovery. Jährliche DR-Tests inkl. Switchover. Forensische Backup-Retention. Segregierte Restore-Netze.
Strukturierte 24h/72h/1M-Prozesse. Triage-Schwellen für ’erhebliche Vorfälle’, dedizierte Meldepfade zu Behörden/CSIRTs. Incident-Timeline-Dokumentation, Post-Incident-Reviews, Lessons-Learned-Integration. Crisis-Comms-Playbooks. ENISA-kompatible Formate.
Regelmäßige Assessments. Vulnerability-Scans, Penetration-Tests, interne/externe Audits. CVE-Scanning in CI/CD. SBOM-Generierung. Red-Team-Übungen auf Anfrage. Remediation-Tracking mit SLAs. Audit-Reports für Behörden/Kunden verfügbar.
Vendor-Risk-Register & Due Diligence. Vollständige Dokumentation der Sub-Provider (Cloud, Rechenzentren, OSS-Maintainer). ISO 27001-Zertifizierungen bevorzugt. EU-basierte Operations, DSGVO-Konformität. Vendor-Scoring, regelmäßige Re-Assessments.
State-of-the-Art-Verschlüsselung. TLS 1.3+, AES-256, sichere Key-Rotation. Customer-Managed Keys, BYOK/BYOHSM-fähig. Trennung von Schlüsseln und Daten. Secrets-Management mit Audit-Trails. No-Escrow-Policy.
Turnkey-Konformitäts-Roadmaps. Gap-Assessment gegen NIS-2-Anforderungen, Risikomanagement-Framework-Setup, Incident-Response-Playbooks, Supply-Chain-Register, Board-Schulungen, Audit-Vorbereitung. Unterstützung bei Behörden-Interaktion.
NIS-2 ist das Querschnitts-Rahmenwerk für Cybersicherheit in der EU. Es verzahnt sich mit DORA, CRA, Cloud Sovereignty Framework, Data Act und GDPR.
DORA ist lex specialis für Finanzsektor. NIS-2 gilt grundsätzlich für kritische/wichtige Einrichtungen; DORA präzisiert und erweitert für Finanzinstitute. Keine Doppel-Compliance: DORA-konforme Finanzentitäten erfüllen im Regelfall auch NIS-2. Strukturell identische Meldepfade (24h/72h/1M). Mehr zu DORA.
Komplementär auf Betreiber-/Produktebene. NIS-2 betrifft Infrastruktur- und Betreiberpflichten (Operations). CRA adressiert Cybersecurity von Produkten (Entwicklung, Lifecycle). Zusammen: sichere Produkte + resiliente Betriebsumgebungen. Mehr zu CRA.
Souveränität reduziert NIS-2-Risiken. Cloud Sovereignty Framework bewertet Exit-Fähigkeit, EU-Kontrolle, Lieferkettentransparenz – alles Faktoren, die NIS-2-Risikomanagement und Supply-Chain-Anforderungen direkt adressieren. EU-basierte Stacks minimieren jurisdiktionelle Risiken. Mehr zum Framework.
Interoperabilität unterstützt Resilienz. Data Act fordert Datenportabilität und Lock-in-Vermeidung – direkt relevant für NIS-2-BCP/Exit-Strategien. Offene Standards, standardisierte Schnittstellen erleichtern Disaster-Recovery und Provider-Switching bei Incidents. Mehr zum Data Act.
Ergänzende Anforderungen. GDPR fokussiert Datenschutz. NIS-2 adressiert Cybersicherheit und Verfügbarkeit. Überschneidungen: Security-Maßnahmen (Art. 32 GDPR), Incident-Meldung (NIS-2 an CSIRT, GDPR an DPA). Koordinierte Compliance, parallele Prozesse erforderlich.
Comprehensive Compliance-Ansatz. Wie ayedo NIS-2, DORA, CRA, Data Act, GDPR, ISO 27001 systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen, Audit-Bereitschaft – hier finden Sie unsere vollständige Roadmap. Zur Übersicht.
NIS-2 verändert fundamental, wie digitale Infrastrukturen betrieben werden müssen. Von der Board-Verantwortung über Supply-Chain-Management bis zu Sanktionsrisiken – hier sind die Kernimplikationen.
Board-Verantwortung & persönliche Haftung. Vorstände müssen Cybersicherheits-Maßnahmen genehmigen, überwachen, Budgets freigeben. Persönliche Haftung bei grober Fahrlässigkeit. Schulungspflichten. Cyber-Resilienz als strategisches Board-Thema verankert.
Umfassende Dokumentation Pflicht. Vollständige Asset-Inventare, Risikobewertungen, Datenfluss-Diagramme, Dependency-Maps. Segmentierte Architekturen, Change-/Patch-Prozesse nachweisbar. RTO/RPO definiert und getestet. SSDLC-Nachweise.
Kontinuierliches Monitoring verpflichtend. 24/7-Fähigkeit für Detection, Alerting, Incident-Response. Strukturierte Meldepfade (24h/72h/1M). Krisen-Kommunikation, Post-Mortems. Jährliche BCP/DR-Tests. Integration mit CSIRTs.
Systematisches Vendor-Risk-Management. Due Diligence vor Beauftragung, Vendor-Scoring, vertragliche Absicherung, kontinuierliches Monitoring. Register aller Sub-Provider. Re-Assessments bei Material-Changes. Eskalation bei Non-Compliance.
Regelmäßige Assessments verpflichtend. Vulnerability-Scans, Penetration-Tests, Red-Team-Übungen. Interne/externe Audits. Wirksamkeitsnachweis aller Maßnahmen. Remediation-Tracking. Kontinuierliche Verbesserung basierend auf Findings.
Empfindliche Geldbußen möglich. Bis zu €10M oder 2% des weltweiten Jahresumsatzes. Öffentliche Bekanntmachung. Service-Suspendierung möglich. Nachweispflicht bei Einrichtung. Non-Compliance kann existenzbedrohend sein.
Ob Cloud-Provider, Managed-Service-Anbieter oder kritische Infrastruktur – wir unterstützen Sie bei der systematischen Umsetzung aller NIS-2-Anforderungen. Von Gap-Assessment bis zur vollständigen Konformität.
Wir analysieren Ihre Organisation gegen NIS-2-Anforderungen: Governance, Risikomanagement, Incident-Response, BCP/DR, Supply-Chain, Testing-Reife. Gap-Identifikation, Priorisierung, strukturierte Roadmap mit Quick Wins und Langfrist-Maßnahmen. Board-Level-Reporting.
Wir implementieren die komplette Toolchain: Asset-Inventare/CMDB, Observability-Stack (Metrics/Logs/Traces/Alerts), GitOps-CI/CD mit Policy-Gates, Backup/DR-Automatisierung, Incident-Response-Integration, Vendor-Risk-Register, KPI/KRI-Dashboards. ISO 27001-konform.
Managed Operations mit 24/7-Monitoring, Incident-Response, koordinierter CSIRT-Meldung (24h/72h/1M-Pfade), Security-Hotfix-Deployment. Langfristige Support-Zusagen, getestete BCP/DR-Prozesse, jährliche Resilience-Tests. Board-Level-Reporting. Audit-Unterstützung.