Fällt mein KMU unter NIS2?

Das hängt von drei Dingen ab: Ihrem Sektor (Anhang I oder II des NIS2-Gesetzes), Ihrer Größe (mindestens 50 Mitarbeiter oder Umsatz und Bilanz über 10 Millionen Euro) und ob Sie eine Niederlassung in Belgien haben. Kleinere Organisationen können trotzdem indirekt über die Lieferkette betroffen sein. Das CCB bietet ein NIS2 Scope Assessment Tool auf atwork.safeonweb.be/nis2 an, um dies zu prüfen.

Was ist der Unterschied zwischen DSGVO und NIS2?

Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten. NIS2 betrachtet Cybersicherheit und den Schutz von Netz- und Informationssystemen breiter. Es gibt viel Überschneidung: beide verlangen Sicherheitsmaßnahmen, Meldepflichten und Risikobewertung.

Welche Bußgelder drohen unter NIS2?

NIS2 sieht Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen vor, und bis zu 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen. Geschäftsführer können auch persönlich haftbar gemacht werden.

GDPRWise und NIS2 | Cybersicherheit für KMU

Die NIS2-Richtlinie stellt neue Cybersicherheitsanforderungen an Unternehmen in der EU. GDPRWise Enterprise bringt eine vollständige NIS2-Aktionsliste und fertige Vorlagen direkt auf Ihrer DSGVO-Arbeit mit.

Ein neues Cybersicherheitsgesetz neben der DSGVO

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist ein europäisches Gesetz, das Unternehmen verpflichtet, ihre Cybersicherheit in Ordnung zu bringen. Während sich die DSGVO auf personenbezogene Daten konzentriert, betrachtet NIS2 die Sicherheit Ihrer Netzwerke, Systeme und Dienste breiter.

Die Richtlinie gilt seit Oktober 2024 und wird von den EU-Mitgliedstaaten in nationales Recht umgesetzt. Für Unternehmen, die bereits unter der DSGVO arbeiten, ist die gute Nachricht, dass es erhebliche Überschneidungen gibt.

Wer fällt unter NIS2?

Nach dem belgischen NIS2-Gesetz fallen Sie direkt in den Anwendungsbereich, wenn Sie drei Kriterien gleichzeitig erfüllen:

Sie erbringen eine Dienstleistung aus Anhang I oder Anhang II des NIS2-Gesetzes (siehe Sektoren unten)
Sie sind mindestens ein mittelgroßes Unternehmen: 50+ Vollzeitbeschäftigte, oder Jahresumsatz und Bilanzsumme über 10 Millionen Euro
Sie haben eine Niederlassung in Belgien

Sektoren

Anhang I - hochkritische Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum.

Anhang II - andere kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, chemische Produktion, Lebensmittelproduktion und -vertrieb, verarbeitende Industrie, digitale Anbieter, Forschung.

Innerhalb dieser Sektoren unterscheidet das Gesetz wesentliche (regelmäßige Aufsicht) und wichtige Einrichtungen (Aufsicht nach Vorfall oder Beschwerde). Die Cybersicherheitsanforderungen sind für beide Gruppen identisch.

Unabhängig von der Größe

Bestimmte Anbieter fallen automatisch unter NIS2, auch unterhalb der 50-VZA-Schwelle: qualifizierte Vertrauensdiensteanbieter, DNS-Anbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und Organisationen, die formell als kritische Einrichtung benannt sind.

Die Lieferkette - warum auch kleinere KMU aufpassen sollten

Nicht direkt im Anwendungsbereich, aber Zulieferer einer NIS2-Einrichtung? Ihr Kunde kann vertraglich verlangen, dass Sie angemessene Cybersicherheitsmaßnahmen umsetzen. Das CCB empfiehlt ausdrücklich, dass Nicht-NIS2-Zulieferer mindestens die Basic-Stufe des CyberFundamentals-Frameworks erfüllen - genau wofür GDPRWise da ist.

Selbst prüfen, ob NIS2 auf Sie zutrifft

Das CCB stellt ein NIS2 Scope Assessment Tool und einen Quickstart-Leitfaden bereit. Die Registrierung musste bis zum 18. März 2025 erfolgen (18. Dezember 2024 für digitale Anbieter). Eine Konformitätsbewertung über das CyberFundamentals-Framework ist bis zum 18. April 2026 erforderlich.

Was verlangt NIS2?

Die Kernpflichten:

Risikobewertung - Risiken für Ihre Netz- und Informationssysteme identifizieren und bewerten
Sicherheitsmaßnahmen - angemessene Maßnahmen auf Basis dieser Risikobewertung ergreifen
Meldepflicht - bedeutende Vorfälle innerhalb von 24 Stunden melden (Frühwarnung) und innerhalb von 72 Stunden einen vollständigen Bericht liefern
Betriebskontinuität - Backups, Wiederherstellungspläne und Krisenmanagement sicherstellen
Lieferkettensicherheit - die Sicherheitsrisiken Ihrer Lieferanten bewerten
Verantwortung der Geschäftsführung - die Geschäftsleitung ist persönlich für Cybersicherheit verantwortlich

Die Überschneidung mit der DSGVO

Wenn Ihre DSGVO-Compliance in Ordnung ist, haben Sie bereits eine solide Basis:

Anforderung	DSGVO	NIS2
Risikobewertung	Ja (DSFA)	Ja
Sicherheitsmaßnahmen	Ja (Art. 32)	Ja
Meldepflicht	72 Stunden (Datenschutzverletzung)	24 Stunden (Frühwarnung)
Dokumentation	Verarbeitungsverzeichnis	Sicherheitsrichtlinie
Lieferantenmanagement	Auftragsverarbeitungsverträge	Lieferketten-Review

Wie hilft GDPRWise?

GDPRWise Enterprise bringt eine vollständige NIS2-Aktionsliste und Vorlagen mit. Sie fangen nicht bei null an: jede bereits erledigte DSGVO-Aktion zählt automatisch für NIS2.

Basierend auf dem belgischen CyberFundamentals-Framework

Unsere NIS2-Aktionsliste folgt dem CyberFundamentals-Framework, herausgegeben vom Centre for Cybersecurity Belgium (CCB). Das Framework definiert vier Absicherungsstufen - Small, Basic, Important und Essential - und unsere Aktionsliste richtet sich nach der Basic-Stufe.

Die Basic-Stufe ist für jede Organisation gedacht, die sich mit allgemein verfügbarer Technologie gegen gängige Cyber-Risiken schützen will. In der Praxis passt sie zu den meisten KMU. Sie müssen nicht formal unter NIS2 fallen, um davon zu profitieren: jedes KMU, das Cybersicherheit und Datenschutz ernst nimmt, sollte mindestens diese Basis anstreben.

Das Framework ist international verankert und stimmt mit NIST CSF, ISO 27001/27002, IEC 62443 und CIS Critical Security Controls überein.

Ihre DSGVO-Arbeit wiederverwendet

Keine Doppelarbeit. GDPRWise zeigt genau, welche Kontrollen bereits doppelt zählen:

Ihre Drittpartei-Akte dokumentiert Ihre Lieferanten und deren Sicherheitsmaßnahmen - direkt für die NIS2-Anforderung zur Lieferkettensicherheit nutzbar
Ihre Sicherheits-Checkliste zeigt, welche technischen und organisatorischen Maßnahmen Sie ergriffen haben
Ihr Datenschutzverletzungsverfahren bildet die Grundlage für Ihren NIS2-Meldeprozess
Ihr Verarbeitungsverzeichnis enthält die Bestandsaufnahme von Systemen und Datenflüssen

NIS2-spezifische Aktionen und Vorlagen

Wo NIS2 über die DSGVO hinausgeht, fügen wir Aktionen und Vorlagen hinzu:

Risikobewertungs-Vorlage - ein strukturiertes Dokument, um Risiken für Netz- und Informationssysteme abzubilden
Informationssicherheitsrichtlinie - eine formelle Richtlinie, die NIS2-Anforderungen erfüllt
Betriebskontinuitätsplan - Vorlage für Backup, Wiederherstellung und Krisenmanagement
Vorfallsmeldungsverfahren - abgestimmt auf die NIS2-Fristen (24h Frühwarnung, 72h Bericht)
Verantwortung der Geschäftsführung - Dokumentation für Management-Genehmigung und Schulung
Periodische Kontrollen - 2FA-Reviews, Zugriffsverwaltung, Datenaufbewahrung, zugeschnitten auf NIS2

Sichtbarer Fortschritt

Ihr Compliance-Score wächst von Basis über Fortgeschritten zu NIS2 - Robust. Sie sehen auf einen Blick, wo Sie stehen und was noch zu tun ist.

Wo findet sich NIS2 in GDPRWise?

NIS2-Funktionen sind im Enterprise-Plan enthalten oder separat als Add-on zu Peace of Mind verfügbar. Nehmen Sie Kontakt auf, wenn Sie wissen möchten, ob NIS2 auf Ihre Organisation zutrifft.

auto_awesome Bereit für NIS2?

Beginnen Sie mit dem kostenlosen Scan, um Ihre DSGVO-Basis in Ordnung zu bringen. Upgraden Sie auf Enterprise für die vollständige NIS2-Aktionsliste und Vorlagen.

Kostenlosen Scan starten

GDPRWise und NIS2 - Cybersicherheitsgesetzgebung für Unternehmen