24. März 2026 • NIS2
Eine Zertifizierung nach ISO 27001 ist ein Gütesiegel, das zeigt, wie viel Wert Ihr Unternehmen auf den Umgang mit sensiblen Informationen legt. Doch dies ist bei weitem nicht der einzige Rahmen, der im Jahr 2026 Beachtung verdient.
Die NIS2-Richtlinie (auch als NIS-2 oder NIS 2.0 bezeichnet) verpflichtet Organisationen in 18 Branchen zur Umsetzung wirksamer Cybersicherheitsmaßnahmen, darunter Schulungen zur Sensibilisierung für Cybersicherheit für alle Mitarbeiter.
Es kann jedoch schwierig sein, genau zu verstehen, was NIS2 verlangt und wie das niederländische Cyberbeveiligingswet (Cwb) diese Vorgaben in nationales Recht umsetzt.
In diesem Leitfaden erklären wir Ihnen alles, was Sie wissen müssen: Was NIS2 ist, für wen es gilt, die vollständige NIS2-Checkliste für 2026 und wie Sie Ihr Unternehmen auf das Audit vorbereiten können.
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der aktualisierte Rechtsrahmen der Europäischen Union für die Netz- und Informationssicherheit. Sie trat an die Stelle der ursprünglichen NIS-Richtlinie (NIS1) aus dem Jahr 2016, die das erste Gesetz der EU im Bereich der Cybersicherheit darstellte.
Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft, und die EU-Mitgliedstaaten waren verpflichtet, sie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Die meisten Mitgliedstaaten, darunter auch die Niederlande, haben diese Frist jedoch verpasst.
Die Richtlinie zielt darauf ab, ein hohes gemeinsames Niveau an Cybersicherheit in der gesamten EU zu erreichen, indem sie Organisationen in kritischen Sektoren dazu verpflichtet,
- Risikobasierte Cybersicherheitsmaßnahmen umsetzen
- Melden Sie schwerwiegende Vorfälle innerhalb strenger Fristen an die Behörden
- Sicherstellen, dass die Leitungsgremien geschult sind und Rechenschaft ablegen
- Führen Sie regelmäßig Sensibilisierungsschulungen für alle Mitarbeiter durch
- Sicherheitsrisiken in der Lieferkette bewältigen
Schätzungsweise 160.000 Organisationen in der gesamten EU fallen in den Anwendungsbereich von NIS 2. Das ist eine Verzehnfachung im Vergleich zu NIS 1.
NIS2 vs. NIS1: Was hat sich geändert?
Die ursprüngliche NIS-Richtlinie war ein solider Ausgangspunkt, wies jedoch erhebliche Lücken auf. NIS2 behebt diese Lücken umfassend. Hier eine kurze Zusammenfassung der wichtigsten Änderungen:
| Aspekt | NIS1 | NIS2 |
|---|---|---|
| Abgedeckte Branchen | 7 Sektoren | 18 Sektoren |
| Betroffene Unternehmen | ~15,000 | ~160,000 |
| Meldung von Vorfällen | Kein konkreter Zeitplan | 24 Std. / 72 Std. / 1 Monat |
| Strafen | wird je nach Mitgliedstaat festgelegt | Bis zu 10 Mio. € oder 2 % des Umsatzes |
| Haftung der Geschäftsführung | Nicht angesprochen | Persönliche Haftung bei grober Fahrlässigkeit |
| Lieferkette | Nicht ausdrücklich erforderlich | Obligatorisches Risikomanagement |
| Führungskräftetraining | Nicht erforderlich | Obligatorisch für den Vorstand und die Führungsspitze |
Möchten Sie mehr über die Unterschiede erfahren? Lesen Sie unseren vollständigen Vergleich: Was ist der Unterschied zwischen NIS1 und NIS2?
NIS2-Richtlinie in Europa
NIS2 ist eine EU-Richtlinie, was bedeutet, dass sie nicht unmittelbar für Organisationen gilt. Jeder Mitgliedstaat muss sie in nationales Recht umsetzen. So sieht der Stand der Dinge im Jahr 2026 aus.
Stand der Umsetzung in der EU
Die Fortschritte bei der Umsetzung sind sehr unterschiedlich. Länder wie Belgien, Kroatien und Italien gehörten zu den ersten, die nationale Rechtsvorschriften erlassen haben. Andere, darunter die Niederlande und Deutschland, haben länger gebraucht.
Die Europäische Kommission hat gegen 23 Mitgliedstaaten Vertragsverletzungsverfahren eingeleitet, da diese die Umsetzungsfrist im Oktober 2024 nicht eingehalten haben. Bis Mai 2025 hatten 19 Mitgliedstaaten formelle rechtliche Mahnungen (mit Gründen versehene Stellungnahmen) erhalten. Bis Anfang 2026 haben rund 16 Länder die NIS2 vollständig in nationales Recht umgesetzt.
Das EU-Cybersicherheitspaket vom Januar 2026
Am 20. Januar 2026 veröffentlichte die Europäische Kommission im Rahmen eines umfassenderen Pakets zur Cybersicherheit einen Vorschlag zur Änderung der NIS2-Richtlinie. Zu den wichtigsten Änderungen gehören:
- Vereinfachte Zuständigkeitsregeln für Organisationen, die in mehreren EU-Ländern tätig sind
- Zertifizierungsbasierte Compliance-Ansätze, die es Organisationen ermöglichen, die Einhaltung von Vorschriften durch anerkannte Zertifizierungen nachzuweisen
- Verbesserte Berichterstattung zu Ransomware mit detaillierteren Anforderungen an die Vorfalldaten
- Erweiterung des Anwendungsbereichs auf Anbieter von europäischen digitalen Identitäts-Wallets und Unterwasser-Dateninfrastruktur
- Neuklassifizierung von rund 22.500 Einrichtungen, um den Verwaltungsaufwand für kleinere Organisationen zu verringern
- Eine stärkere Rolle der ENISA bei der Koordinierung der grenzüberschreitenden Aufsicht
Es wird erwartet, dass über diese Änderungen im Laufe des Jahres 2026 verhandelt wird, wobei nach der Verabschiedung eine Umsetzungsfrist von 12 Monaten gilt.
NIS2 in den Niederlanden: das Gesetz über die Cybersicherheit (Cwb)
In den Niederlanden wird die NIS2-Richtlinie in das Cyberbeveiligingswet (Cwb) umgesetzt. Dieses Gesetz ersetzt das derzeitige Wbni (Wet beveiliging netwerk- en informatiesystemen).
Aktueller Stand (März 2026)
- Der Gesetzentwurf wurde am 4 . Juni 2025 der Tweede Kamer vorgelegt
- Für den 23. März 2026 war eine Plenardebatte angesetzt
- Nach der Tweede Kamer muss der Gesetzentwurf noch die Eerste Kamer passieren
- Die Regierung strebt an, dass das Gesetz im zweiten Quartal 2026 in Kraft tritt
Drei regulatorische Komponenten
Die niederländische Umsetzung besteht aus drei Ebenen:
- Das Cyberbeveiligingswet, das wichtigste Gesetz zur Umsetzung von NIS2
- Der Cyberbeveiligingsbesluit (AMvB), eine allgemeine Verwaltungsanordnung, in der bestimmte Verpflichtungen festgelegt sind
- Branchenspezifische ministerielle Vorschriften mit auf die jeweilige Branche zugeschnittenen Anforderungen
Wichtige niederländische Verpflichtungen
Organisationen, die unter das Cyberbeveiligingswet fallen, müssen vier wesentliche Verpflichtungen erfüllen:
- Sorgfaltspflicht: Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Bewältigung von Cybersicherheitsrisiken
- Registrierungspflicht: Melden Sie sich bei der für Ihre Branche zuständigen Aufsichtsbehörde an
- Schulungspflicht für Führungskräfte: Vorstandsmitglieder und Führungskräfte müssen an Schulungen zum Thema Cybersicherheit teilnehmen
- Meldepflicht: Melden Sie schwerwiegende Vorfälle innerhalb der vorgeschriebenen Fristen an das NCSC
Aufsichtsbehörden
Das NCSC (Nationaal Cyber Security Centrum) fungiert als zentrale Koordinierungsstelle. Die für die einzelnen Sektoren zuständigen Aufsichtsbehörden werden durch ministerielle Verordnungen benannt.
Für Organisationen im Gesundheitswesen ist das regulatorische Umfeld besonders komplex, da sich die NIS2-Anforderungen mit den bestehenden gesundheitsspezifischen Vorschriften zum Schutz von Patientendaten überschneiden.
Für wen gilt NIS2?
Die NIS2-Richtlinie gilt für Organisationen auf der Grundlage von zwei Kriterien: Branche und Größe.
Systemrelevante Einrichtungen (besonders kritische Sektoren)
- Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
- Verkehr (Luft-, Schienen-, Wasser- und Straßenverkehr)
- Bank- und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Hersteller medizinischer Geräte, Apotheken)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD-Registries, Cloud-Anbieter, Rechenzentren, CDNs)
- IKT-Dienstleistungsmanagement (Managed Service Provider, Managed Security Service Provider)
- Öffentliche Verwaltung
- Bereich
Wichtige Einrichtungen (andere kritische Sektoren)
- Post- und Kurierdienste
- Abfallwirtschaft
- Fertigung (Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)
- Lebensmittelproduktion, -verarbeitung und -vertrieb
- Herstellung und Vertrieb von Chemikalien
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Größengrenzen
Unternehmen in diesen Branchen fallen in den Anwendungsbereich, wenn sie die folgenden Größenkriterien erfüllen:
- Mittlere Unternehmen: 50 oder mehr Mitarbeiter oder ein Jahresumsatz von 10 Millionen Euro oder mehr
- Großunternehmen: mehr als 250 Mitarbeiter oder mehr als 50 Millionen Euro Jahresumsatz
Bestimmte Einrichtungen fallen unabhängig von ihrer Größe in den Anwendungsbereich, darunter DNS-Anbieter, TLD-Registries und (gemäß den für 2026 vorgeschlagenen Änderungen) Anbieter von europäischen digitalen Identitätsbrieftaschen.
Der Unterschied in der Aufsicht
Wesentliche Unternehmen unterliegen einer proaktiven Aufsicht, was regelmäßige Prüfungen und Inspektionen sowie höhere Strafen bedeutet. Wichtige Unternehmen unterliegen einer reaktiven Aufsicht: Untersuchungen finden erst nach Vorfällen oder Meldungen über Verstöße statt, und die Strafen sind geringer.
NIS2-Checkliste (2026)
Nutzen Sie diese umfassende Checkliste, um zu überprüfen, ob Ihre Organisation alle NIS2-Anforderungen erfüllt. Sie geht über reine Sensibilisierungsschulungen hinaus und deckt das gesamte Spektrum der NIS2-Verpflichtungen ab, um Sie bei der Vorbereitung auf die Einhaltung der Vorschriften und auf Audits zu unterstützen.
1. Unternehmensführung und Rechenschaftspflicht des Managements
- Das Leitungsgremium hat die Maßnahmen der Organisation zum Management von Cybersicherheitsrisiken offiziell genehmigt
- Die Vorstandsmitglieder und die Führungskräfte haben eine Schulung zum Thema Cybersicherheit absolviert
- Eine bestimmte Person oder ein bestimmtes Team ist für die Einhaltung der NIS2-Vorschriften verantwortlich (z. B. CISO, Compliance-Beauftragter)
- Cybersicherheit ist ein fester Tagesordnungspunkt in Vorstandssitzungen und Managementbesprechungen
- Die Geschäftsleitung ist sich ihrer persönlichen Haftung bei Nichteinhaltung bewusst
- Für Maßnahmen zur Cybersicherheit und Schulungen werden Mittel bereitgestellt
- Die Governance-Struktur für Cybersicherheit ist dokumentiert und kommuniziert
2. Risikomanagement und Sicherheitsmaßnahmen
Gemäß Artikel 21 der NIS2-Richtlinie sind Organisationen verpflichtet, angemessene und verhältnismäßige Maßnahmen zu ergreifen. Ihre Checkliste sollte Folgendes enthalten:
- Es wurde eine formelle Risikobewertung durchgeführt, die regelmäßig überprüft wird
- Die Richtlinien zum Risikomanagement sind dokumentiert, genehmigt und kommuniziert
- Es sind technische Maßnahmen getroffen worden: Firewalls, Einbruchserkennung, Verschlüsselung, Zugriffskontrollen
- Es wurden organisatorische Maßnahmen getroffen: Richtlinien, Verfahren, Rollen und Zuständigkeiten
- Es gibt Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung, die regelmäßig getestet werden
- Die Verfahren zur Datensicherung und -wiederherstellung werden dokumentiert und regelmäßig getestet
- Eine Netzwerksegmentierung wird dort implementiert, wo dies sinnvoll ist
- Für kritische Systeme und den Fernzugriff wird die Multi-Faktor-Authentifizierung (MFA) eingesetzt
- Es gibt ein Programm zum Schwachstellenmanagement (regelmäßige Überprüfungen, Installation von Patches)
- Bei der Entwicklung unserer hauseigenen Software werden sichere Entwicklungsverfahren angewendet
3. Meldung und Bearbeitung von Vorfällen
- Ein Plan für die Reaktion auf Vorfälle ist dokumentiert und getestet
- Es werden Kriterien für die Einstufung von Vorfällen festgelegt (was einen „bedeutenden Vorfall“ ausmacht)
- Das 24-Stunden-Frühwarnverfahren ist eingerichtet, und die Mitarbeiter wissen, wie sie es auslösen können
- Das Verfahren zur Meldung von Vorfällen innerhalb von 72 Stunden ist dokumentiert
- Die Vorlage für den Abschlussbericht nach einem Monat sowie der entsprechende Prozess sind bereits vorhanden
- Die Kontaktdaten des nationalen CSIRT (z. B. des NCSC in den Niederlanden) sind leicht zugänglich
- Die Aufgaben im Bereich der Incident Response werden verteilt und die Teammitglieder werden geschult
- Es werden Nachbetreuungen durchgeführt und die gewonnenen Erkenntnisse dokumentiert
- Die Reaktion auf Vorfälle wird mindestens einmal jährlich im Rahmen von Tabletop-Übungen getestet
4. Sicherheit in der Lieferkette
- Es liegt eine Liste der kritischen Lieferanten und Dienstleister vor
- Anforderungen an die Cybersicherheit sind in den Verträgen mit Lieferanten enthalten
- Lieferanten werden hinsichtlich ihrer Cybersicherheitslage überprüft (Due Diligence)
- Risiken aufgrund von Abhängigkeiten von Drittanbietern werden identifiziert und gemindert
- Es gibt ein Verfahren zur kontinuierlichen Überwachung und Überprüfung der Sicherheit von Lieferanten
- Klauseln zur Meldung von Vorfällen sind in den Lieferantenverträgen enthalten
- Der Zugriff kritischer Lieferanten auf Ihre Systeme wird überwacht und kontrolliert
5. Schulungen zur Sensibilisierung für Sicherheitsfragen
- Alle Mitarbeiter nehmen regelmäßig an Schulungen zur Sensibilisierung für Sicherheitsfragen teil
- Führungskräfte und Vorstandsmitglieder erhalten spezielle Schulungen zum Thema Cybersicherheit
- Das Training findet fortlaufend statt und ist nicht nur eine einmalige Veranstaltung (empfohlen wird eine monatliche oder wöchentliche Durchführung)
- Die Schulungsinhalte umfassen Phishing, Social Engineering, Passwortsicherheit, den Umgang mit Daten und die Meldung von Vorfällen
- Die Schulung behandelt branchenspezifische Bedrohungen, die für Ihre Branche relevant sind
- Neue Mitarbeiter erhalten im Rahmen der Einarbeitung eine Sensibilisierungsschulung
- Auftragnehmer und Mitarbeiter von Drittunternehmen, die Zugang haben, erhalten eine entsprechende Schulung
- Es werden regelmäßig Phishing-Simulationen durchgeführt, um die Bereitschaft der Mitarbeiter zu testen
- Die Abschlussquoten der Schulungen und die Bewertungsergebnisse werden erfasst
- Die Schulungsinhalte werden auf der Grundlage der neuesten Bedrohungsdaten aktualisiert
- Nachweise über den Abschluss von Schulungen werden für Compliance-Prüfungen gespeichert
6. Registrierung und Benachrichtigung
- Ihre Organisation hat festgestellt, ob sie als systemrelevante oder wichtige Einrichtung gilt
- Die Registrierung bei der zuständigen Aufsichtsbehörde ist abgeschlossen (bzw. für den Zeitpunkt des Inkrafttretens des Gesetzes vorgesehen)
- Die Kontaktdaten für die Meldung von Vorfällen (CSIRT/Aufsichtsbehörde) sind auf dem neuesten Stand
- Die Benachrichtigungsverfahren sind dokumentiert und bestimmten Rollen zugeordnet
- Die Dokumentation zum NIS2-Anwendungsbereich Ihrer Organisation wird gepflegt (welche Systeme, Dienste und Prozesse darunter fallen)
7. Richtlinien und Dokumentation zur Informationssicherheit
- Die Richtlinie zur Informationssicherheit ist dokumentiert und wurde von der Geschäftsleitung genehmigt
- Es gibt Richtlinien zur akzeptablen Nutzung, die allen Mitarbeitern mitgeteilt wurden
- Die Zugriffskontrollrichtlinie legt fest, wer Zugriff auf welche Systeme und Daten hat
- Die Verfahren zur Klassifizierung und zum Umgang mit Daten sind dokumentiert
- Die Passwortrichtlinie entspricht den aktuellen Best Practices (Komplexität, MFA, keine Wiederverwendung)
- Es gelten Richtlinien für Telearbeit und BYOD
- Die physischen Sicherheitsmaßnahmen für Einrichtungen, in denen kritische Systeme untergebracht sind, werden dokumentiert
- Kryptografische Kontrollmaßnahmen und Verschlüsselungsrichtlinien sind dokumentiert
- Alle Richtlinien werden mindestens einmal jährlich überprüft und aktualisiert
8. Überwachung, Prüfung und kontinuierliche Verbesserung
- Es gibt ein System zur Sicherheitsüberwachung (Protokollverwaltung, SIEM, Alarmierung)
- Es werden regelmäßig Sicherheitsaudits oder -bewertungen durchgeführt (intern oder extern)
- Mindestens einmal jährlich werden Penetrationstests durchgeführt
- Es werden Kennzahlen für die Cybersicherheit definiert und an die Geschäftsleitung gemeldet
- Die Ergebnisse von Prüfungen und Vorfällen führen zu dokumentierten Korrekturmaßnahmen
- Das Cybersicherheitsprogramm wird jährlich überprüft und verbessert
- Bedrohungsinformationen werden überwacht und in die Sicherheitsmaßnahmen einbezogen
- Die Einhaltung der NIS2-Anforderungen wird vor jedem Prüfungszyklus überprüft
Die eine NIS2-Anforderung, die Sie diese Woche abhaken können
Gerade beim Sensibilisierungstraining kommen die meisten Vorhaben ins Stocken. Guardey verwandelt dies in kurze, spielerisch gestaltete Herausforderungen mit integrierter Berichterstellung. Testen Sie es 14 Tage lang kostenlos – ganz ohne Angabe Ihrer Zahlungsdaten.
Starten Sie Ihre kostenlose TestphaseNIS2-Zertifizierung
Eine häufig gestellte Frage: Gibt es eine offizielle NIS2-Zertifizierung? Die kurze Antwort lautet: Nein, noch nicht.
Im Gegensatz zu ISO 27001, für die es ein fest etabliertes Zertifizierungsverfahren gibt, handelt es sich bei NIS2 um eine gesetzliche Vorschrift, deren Einhaltung von den nationalen Aufsichtsbehörden durchgesetzt wird. Es gibt kein einheitliches „NIS2-zertifiziert“-Siegel, das man erwerben kann.
Es gibt jedoch wichtige Entwicklungen.
Zertifizierungsbasierte Konformität (vorgeschlagen für 2026)
Das Cybersicherheitspaket der Europäischen Kommission vom Januar 2026 sieht zertifizierungsbasierte Wege zur Einhaltung der Vorschriften vor. Das bedeutet, dass Organisationen, die über bestimmte anerkannte Zertifizierungen verfügen, anhand dieser Zertifizierungen die Einhaltung der NIS2-Vorschriften oder zumindest eine teilweise Einhaltung nachweisen können.
ISO 27001 als Grundlage
Die Norm ISO 27001 gilt allgemein als die bestehende Norm, die den Anforderungen der NIS 2 am nächsten kommt. Organisationen mit einer ISO 27001-Zertifizierung werden feststellen, dass viele Anforderungen der NIS 2 bereits abgedeckt sind. Die NIS 2 enthält jedoch zusätzliche Anforderungen, die über die ISO 27001 hinausgehen, darunter:
- Konkrete Fristen für die Meldung von Vorfällen (24 Stunden, 72 Stunden, 1 Monat)
- Haftung von Führungskräften und obligatorische Schulungen für Vorstandsmitglieder
- Bewertungen der Lieferkettensicherheit
- Branchenspezifische Anforderungen
NIS2-Qualitätssiegel und Bereitschaftsbewertungen
Mehrere externe Organisationen bieten NIS2-Bereitschaftsbewertungen, Reifegradanalysen oder Qualitätssiegel an. Auch wenn es sich dabei nicht um offizielle Zertifizierungen handelt, können sie Organisationen dabei helfen, ihre Konformität zu messen und ihr Engagement gegenüber den Interessengruppen zu demonstrieren.
NIS2 und Schulungen zur Sensibilisierung für Sicherheitsfragen
Schulungen zur Sensibilisierung für Sicherheitsfragen gehören zu den ausdrücklichsten Anforderungen der NIS-2-Richtlinie. In Artikel 20 heißt es, dass die Leitungsorgane an Schulungen teilnehmen müssen und dass Organisationen ihren Mitarbeitern regelmäßig ähnliche Schulungen anbieten sollten.
Warum NIS2 den Schwerpunkt auf Sensibilisierungsschulungen legt
Die Zahlen sprechen eine deutliche Sprache. Laut dem ENISA-Bericht „Threat Landscape 2025“:
- Phishing macht 60 % aller Angriffspunkte für Einbrüche aus
- Über 80 % der Social-Engineering-Angriffe nutzen mittlerweile KI-generierte Inhalte
- 53,7 % der Cybervorfälle richteten sich gegen Organisationen, die gemäß NIS2 als systemrelevante Einrichtungen eingestuft sind
- Allein auf die öffentliche Verwaltung entfielen 38,2 % der gezielten Angriffe
Der Faktor Mensch bleibt die größte Schwachstelle. Ohne geschulte Mitarbeiter, die Bedrohungen erkennen und melden können, lassen sich selbst die ausgefeiltesten technischen Schutzmaßnahmen umgehen.
Was NIS2 von Ihrem Sensibilisierungsprogramm erwartet
- Regelmäßige Fortbildung, nicht nur einmal im Jahr. Es wird eine kontinuierliche, regelmäßige Fortbildung erwartet.
- Einbeziehung der Geschäftsleitung. Die Vorstandsmitglieder und die Führungskräfte müssen einbezogen werden.
- Relevanz. Die Schulungen müssen aktuelle und neu auftretende Bedrohungen abdecken, einschließlich KI-gestützter Angriffe.
- Nachweis. Sie müssen nachweisen können, dass Schulungen stattfinden und wirksam sind.
- Geltungsbereich: Alle Mitarbeiter mit Zugriff auf Systeme und Daten, einschließlich Auftragnehmer.
Wie Guardey Ihnen hilft, die Anforderungen an die Sensibilisierung im Rahmen von NIS2 zu erfüllen
Mit Guardey stellen sich Ihre Mitarbeiter wöchentlichen Herausforderungen im Bereich Cybersicherheit, deren Bearbeitung nicht länger als drei Minuten dauert. Zu den Themen gehören das Erkennen von Phishing, Passwortsicherheit, der Umgang mit Daten, Social Engineering und vieles mehr – alles im Einklang mit den NIS2-Anforderungen.
Der spielerische Ansatz sorgt für eine hohe Beteiligung und hohe Abschlussquoten. Über das Berichts-Dashboard von Guardey können Sie gegenüber Prüfern die Einhaltung der Vorschriften anhand folgender Nachweise belegen:
- Schulungsabschlussquoten nach Mitarbeiter und Abteilung
- Prüfungsergebnisse und Wissensentwicklungen
- Ergebnisse der Phishing-Simulation und zeitliche Entwicklung
- Themenabdeckung im Einklang mit den NIS2-Anforderungen
Häufige Fehler bei der Einhaltung der NIS2-Vorschriften
Viele Unternehmen unterschätzen den Aufwand, der für die Einhaltung der NIS2-Vorschriften erforderlich ist. Hier sind die Fallstricke, die wir am häufigsten beobachten.
1. Abwarten, bis das Gesetz verabschiedet ist, bevor man Maßnahmen ergreift
Die NIS2-Richtlinie ist seit Januar 2023 in Kraft. Auch wenn sich das niederländische Cyberbeveiligingswet noch im Gesetzgebungsverfahren befindet, sind die Anforderungen klar. Organisationen, die warten, bis das Gesetz offiziell in Kraft tritt, werden sich dann in Eile befinden, um die Anforderungen zu erfüllen. Fangen Sie jetzt an.
2. NIS2 als reines IT-Problem betrachten
Die NIS2-Richtlinie schreibt ausdrücklich die Rechenschaftspflicht der Unternehmensleitung vor. Dies ist keine Aufgabe, die Sie vollständig an Ihre IT-Abteilung delegieren können. Die Vorstandsmitglieder müssen geschult werden, müssen Maßnahmen zur Cybersicherheit genehmigen und können persönlich haftbar gemacht werden.
3. Die Anforderungen der Lieferkette ignorieren
Viele Unternehmen konzentrieren sich auf ihre eigene Sicherheit, übersehen dabei jedoch ihre Lieferanten. NIS2 schreibt vor, dass Sie die Cybersicherheitsrisiken in Ihrer gesamten Lieferkette bewerten und steuern müssen.
4. Ausschließlich jährliche Sensibilisierungsschulung
Eine einzige jährliche Schulung erfüllt nicht die Anforderung an „regelmäßige“ Schulungen. Auditoren erwarten ein kontinuierliches Engagement: monatliche Mikro-Lerneinheiten, regelmäßige Phishing-Simulationen und fortlaufende Messungen.
5. Sie wissen nicht, ob NIS2 für Sie gilt
Überraschenderweise haben viele Organisationen noch nicht einmal geprüft, ob sie unter den Anwendungsbereich von NIS2 fallen. Gehen Sie nicht davon aus, dass Sie ausgenommen sind. Prüfen Sie die Kriterien hinsichtlich Branche und Unternehmensgröße sorgfältig.
6. Keine Tests zur Reaktion auf Vorfälle
Es reicht nicht aus, einen Notfallplan nur auf dem Papier zu haben. Die NIS2 verlangt, dass Sie diesen testen. Führen Sie Tabletop-Übungen durch, simulieren Sie Vorfälle und stellen Sie sicher, dass Ihr Team die 24-Stunden-Frist für die Frühwarnung einhalten kann.
7. Die Registrierungspflicht wurde nicht erfüllt
Gemäß dem Cyberbeveiligingswet müssen sich Organisationen bei ihrer zuständigen Aufsichtsbehörde registrieren lassen. Dies wird leicht übersehen, ist jedoch zwingend vorgeschrieben.
NIS2 vs. ISO 27001 vs. DORA: Wie schneiden sie im Vergleich ab?
Viele Organisationen müssen mehrere Rahmenwerke einhalten. Hier sehen Sie einen Vergleich zwischen NIS2, ISO 27001 und DORA (Digital Operational Resilience Act).
| Anforderung | NIS2 | ISO 27001 | DORA |
|---|---|---|---|
| Typ | EU-Richtlinie (gesetzliche Vorschrift) | Internationale Norm (freiwillig) | EU-Verordnung (gesetzliche Vorschrift) |
| Geltungsbereich | 18 Sektoren, wesentliche und wichtige Einrichtungen | Jede Organisation (nach eigener Wahl) | Nur Finanzsektor |
| Ist ein Sensibilisierungstraining verpflichtend? | Ja (Artikel 20) | Ja (Ziffer 7.3, A.6.3) | Ja (Artikel 13) |
| Ist eine Managementschulung erforderlich? | Ja (obligatorisch, auf Vorstandsebene) | Erforderlich (Absatz 5.1) | Ja (obligatorisch, auf Vorstandsebene) |
| Zeitplan für die Meldung von Vorfällen | 24 Std. / 72 Std. / 1 Monat | Nicht angegeben (bitte selbst festlegen) | 4 Stunden / 72 Stunden (schwerwiegende IKT-Störungen) |
| Sicherheit in der Lieferkette | Obligatorisch | A.5.19–A.5.22 (Lieferantenkontrollen) | Obligatorisch (IKT-Risiken durch Dritte) |
| Strafen | Bis zu 10 Mio. € oder 2 % des Umsatzes | Verlust der Zulassung | Bis zu 10 Mio. € oder 2 % des Umsatzes |
| Gibt es eine Zertifizierung? | Noch nicht (vorgeschlagen für 2026) | Ja (akkreditierte Zertifizierungsstellen) | Noch nicht |
| Persönliche Haftung der Geschäftsführung? | Ja | Nein | Ja |
Die gute Nachricht: Unternehmen mit einer ISO 27001-Zertifizierung haben einen deutlichen Vorsprung bei der Einhaltung der NIS2-Vorschriften. Der Risikomanagementansatz, die Dokumentationsanforderungen und die Verpflichtungen zur Sensibilisierungsschulung decken sich weitgehend.
Häufig gestellte Fragen zur NIS2-Richtlinie
Wofür steht NIS2?
NIS2 steht für die Richtlinie über Netz- und Informationssicherheit 2. Sie wird häufig auch als NIS-2 oder NIS 2.0 bezeichnet. Es handelt sich um die zweite Fassung der EU-Richtlinie zur Cybersicherheit, die die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 ersetzt.
Wann tritt NIS2 in den Niederlanden in Kraft?
Die niederländische Umsetzung von NIS2, das „Cyberbeveiligingswet“, soll voraussichtlich im zweiten Quartal 2026 in Kraft treten. Der Gesetzentwurf wurde am 4. Juni 2025 der Tweede Kamer vorgelegt und durchläuft derzeit das parlamentarische Verfahren.
Sind Schulungen zur Sensibilisierung für Sicherheitsfragen gemäß NIS2 verpflichtend?
Ja. Artikel 20 der NIS2-Richtlinie schreibt ausdrücklich vor, dass die Leitungsorgane an Schulungen zur Cybersicherheit teilnehmen und den Mitarbeitern regelmäßig ähnliche Schulungen anbieten müssen. Damit sind Sensibilisierungsschulungen eine gesetzliche Verpflichtung und keine Option.
Gilt NIS2 auch für KMU?
Das ist möglich. Unternehmen mit 50 oder mehr Beschäftigten oder einem Jahresumsatz von mindestens 10 Millionen Euro, die in einem der 18 erfassten Sektoren tätig sind, fallen in den Anwendungsbereich. Einige Einrichtungen sind unabhängig von ihrer Größe erfasst (z. B. DNS-Anbieter, TLD-Registries).
Welche Sanktionen drohen bei Nichteinhaltung der NIS2-Vorschriften?
Wesentliche Unternehmen müssen mit Geldbußen von bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes rechnen. Bedeutende Unternehmen müssen mit Geldbußen von bis zu 7 Millionen Euro oder 1,4 % ihres weltweiten Umsatzes rechnen. Darüber hinaus kann die Geschäftsleitung persönlich haftbar gemacht werden.
Kann ich mich nach NIS2 zertifizieren lassen?
Derzeit nicht. Es gibt keine offizielle NIS2-Zertifizierung. Das Cybersicherheitspaket der Europäischen Kommission für 2026 sieht jedoch zertifizierungsbasierte Wege zur Einhaltung der Vorschriften vor. Die ISO 27001-Zertifizierung deckt viele NIS2-Anforderungen ab und wird von Auditoren als solide Grundlage anerkannt.
Inwiefern unterscheidet sich NIS2 von der DSGVO?
Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten. NIS2 befasst sich im weiteren Sinne mit der Sicherheit von Netz- und Informationssystemen. Beide ergänzen sich: NIS2-Maßnahmen tragen zum Schutz der Systeme bei, die personenbezogene Daten verarbeiten, und unterstützen damit auch die Einhaltung der DSGVO.
In welchem Zusammenhang stehen die NIS2-Richtlinie und das Cyberbeveiligingswet?
Das Cyberbeveiligingswet ist das niederländische Gesetz zur Umsetzung der EU-NIS2-Richtlinie. Es setzt die Anforderungen der Richtlinie in verbindliches niederländisches Recht um und ersetzt das bisherige Wbni (Wet beveiliging netwerk- en informatiesystemen).
Beginnen Sie noch heute mit den Vorbereitungen für die NIS2-Konformität
NIS2 ist kein Thema für die Zukunft. Die Richtlinie ist bereits in Kraft, die Anforderungen sind klar, und die Durchsetzung steht bevor. Unternehmen, die jetzt damit beginnen, werden am besten aufgestellt sein, wenn die Prüfer an ihre Tür klopfen.
Mit den Schulungen zur Sensibilisierung für Datensicherheit von Guardey erhalten Ihre Mitarbeiter wöchentlich 3-minütige Mikro-Lerneinheiten zu Themen wie Phishing, Datenumgang, Meldung von Vorfällen und vielem mehr. Alle Inhalte sind auf die NIS2-Anforderungen abgestimmt und umfassen umfassende Berichte für Compliance-Audits.
Erfüllen Sie die NIS2-Schulungsanforderungen und weisen Sie dies nach
Guardey schult jeden Mitarbeiter in nur wenigen Minuten pro Woche und dokumentiert dies automatisch, sodass Sie jederzeit über die entsprechenden Nachweise verfügen. Sehen Sie sich das in einer Live-Demo an.
Demo vereinbaren