NIS2 macht Cybersicherheit zur Chefsache. Rizzqo macht daraus laufende Nachweise.
NIS2-Teams müssen Managementverantwortung, die zehn Risikomanagementmaßnahmen nach Artikel 21 und Vorfallsbereitschaft über reale Systeme hinweg nachweisen. Rizzqo macht aus diesen Pflichten laufende Nachweise, die aktuell und auditbereit bleiben – so trifft Sie keine 24-Stunden-Frist unvorbereitet.
Wesentliche und wichtige Einrichtungen
Am Anfang steht die Frage nach dem Anwendungsbereich: NIS2 gilt für mittlere und größere Organisationen in achtzehn Sektoren, unterteilt in zwei Kategorien. Für beide gelten dieselben Risikomanagementpflichten; Aufsicht und Sanktionen fallen bei wesentlichen Einrichtungen strenger aus. Wählen Sie eine Kategorie, um zu sehen, was sie für Sie bedeutet.
Wesentliche Einrichtungen
Proaktive Aufsicht
Größere Betreiber in den kritischsten Sektoren. Aufsichtsbehörden dürfen prüfen, auditieren und einschreiten, bevor überhaupt ein Vorfall eintritt – nicht erst danach.
- Energie, Verkehr, Bankwesen, Gesundheit, Wasser und digitale Infrastruktur
- In der Regel große Unternehmen, dazu benannte kritische Betreiber jeder Größe
- Proaktive Aufsicht: Audits, Inspektionen und Scans
- Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
Wichtige Einrichtungen
Aufsicht im Nachhinein
Mittlere und große Betreiber in den übrigen erfassten Sektoren. Es gelten dieselben Maßnahmen; die Aufsicht greift, wenn Hinweise auf Verstöße vorliegen.
- Post, Abfall, Chemie, Lebensmittel, Fertigung und digitale Anbieter
- Unternehmen ab mittlerer Größe innerhalb eines erfassten Sektors
- Reaktive Aufsicht: Behörden handeln bei Hinweisen auf Pflichtverstöße
- Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
Erfasste Sektoren
Der Anwendungsbereich von NIS2 lässt sich am einfachsten in zwei Gruppen fassen: Wesentliche Sektoren stehen unter proaktiver Aufsicht; für wichtige Sektoren gelten dieselben Risikomanagementmaßnahmen, die Aufsicht greift jedoch in der Regel erst bei Hinweisen auf Pflichtverstöße.
Wesentliche Sektoren
Kritische Dienste, deren Ausfall die Gesellschaft unmittelbar trifft.
Wichtige Sektoren
Weitere erfasste Dienste und Lieferketten mit denselben Mindestmaßnahmen nach Artikel 21.
Die zehn Mindestmaßnahmen zum Risikomanagement
Artikel 21 definiert ein Mindestniveau, das jede betroffene Einrichtung nach einem gefahrenübergreifenden Ansatz umsetzen muss. Rizzqo macht dieses Mindestniveau sichtbar und belegbar, statt es nur zu behaupten.
Risikoanalyse & Sicherheitskonzepte
Konzepte für die Risikoanalyse und die Sicherheit von Informationssystemen, an denen alles Weitere gemessen wird.
Bewältigung von Vorfällen
Ein definierter Prozess, um Vorfälle zu erkennen, darauf zu reagieren und den Betrieb wiederherzustellen – die Meldung ist von Anfang an eingebunden.
Betriebskontinuität
Backups, Notfallwiederherstellung und Krisenmanagement, damit wesentliche Dienste auch bei Störungen weiterlaufen.
Sicherheit der Lieferkette
Sicherheit in den Beziehungen zu direkten Lieferanten und Dienstleistern, einschließlich ihres Umgangs mit Ihren Daten.
Sichere Beschaffung & Entwicklung
Sicherheit bei Beschaffung, Entwicklung und Wartung von Systemen, einschließlich des Umgangs mit Schwachstellen.
Bewertung der Wirksamkeit
Konzepte und Verfahren zur Bewertung, ob die Risikomanagementmaßnahmen tatsächlich wirken.
Cyberhygiene & Schulung
Grundlegende Verfahren der Cyberhygiene und regelmäßige Sensibilisierungsschulungen für die Belegschaft.
Kryptografie & Verschlüsselung
Konzepte und Verfahren für den Einsatz von Kryptografie und, wo angebracht, Verschlüsselung.
Zugriffskontrolle & Assets
Personalsicherheit, Konzepte für die Zugriffskontrolle und Asset-Management über den gesamten Bestand.
MFA & sichere Kommunikation
Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikation.
Ein erheblicher Vorfall setzt gestaffelte Meldefristen in Gang
Für jeden erheblichen Vorfall sieht NIS2 gestaffelte Meldepflichten gegenüber dem nationalen CSIRT oder der zuständigen Behörde vor. Rizzqo hält Sie bereit, jede Stufe fristgerecht zu erfüllen – die Nachweise sind bereits zur Hand.
Frühwarnung
Innerhalb von 24 Stunden nach Kenntnis eine Frühwarnung mit der Angabe, ob der Vorfall mutmaßlich auf rechtswidrige Handlungen zurückgeht oder grenzüberschreitende Auswirkungen haben könnte.
Vorfallsmeldung
Innerhalb von 72 Stunden eine umfassendere Meldung mit einer ersten Bewertung von Schwere, Auswirkung und etwaigen Kompromittierungsindikatoren.
Fortschrittsbericht
Auf Verlangen der Behörde ein Zwischenbericht zum Stand von Bewältigung und Wiederherstellung.
Abschlussbericht
Innerhalb eines Monats nach der Meldung ein Abschlussbericht mit Grundursache, getroffenen Gegenmaßnahmen und grenzüberschreitender Auswirkung.
Die Mindestmaßnahmen – im Einsatz auf den Systemen, für die sie gelten
Die zehn Maßnahmen bleiben nicht auf dem Papier, sondern werden zu gelebter Arbeit an den Systemen, für die sie gelten – mit klarer Verantwortung, im Blick behalten und durch echte Nachweise belegt, statt nur behauptet.
Maßnahmen an reale Assets gebunden
Ihr NIS2-Programm gründet auf den Systemen, auf die Sie wirklich angewiesen sind – nicht auf einer generischen Checkliste. Jede der zehn Maßnahmen ist mit dem realen Objekt verknüpft, das sie schützt, sodass der Anwendungsbereich Ihren tatsächlichen Betrieb abbildet.
- Gegründet auf den Systemen, die Sie wirklich betreiben
- Jede Maßnahme mit dem verknüpft, was sie schützt
- Risiko monetär beziffert statt nur als Ampelfarbe
Klare Verantwortung, stets aktuelle Nachweise
Jede Maßnahme hat eine klare verantwortliche Person, und der Nachweis entsteht, während Ihre Teams arbeiten – so bleiben Sie auditbereit, statt vor einer Inspektion alles rekonstruieren zu müssen.
- Eine klare verantwortliche Person je Maßnahme
- Nachweise, die aktuell bleiben, statt in Eile erstellt
- Jederzeit auditbereit für proaktive Aufsicht
Bereit, sobald die Uhr läuft
Ist ein Vorfall erheblich, sind Sie für die Fristen von 24 Stunden, 72 Stunden und einem Monat gerüstet – der nötige Kontext ist bereits zur Hand, sodass jeder Bericht zusammengestellt statt improvisiert wird.
- Gerüstet für die Fristen von 24h, 72h und einem Monat
- Der nötige Kontext bereits zur Hand
- Frühwarnung, Meldung und Abschlussbericht auf Abruf
NIS2 baut auf dem ISMS auf, das Sie schon betreiben
Die meisten Artikel-21-Maßnahmen stecken bereits in einem ISO-27001-ISMS – Risikoanalyse, Vorfallsbewältigung, Zugriffskontrolle, Kryptografie, Lieferantensicherheit. Betreiben Sie beide Frameworks auf demselben Asset-Bestand in Rizzqo, zählt eine für ISO 27001 nachgewiesene Kontrolle ab dem ersten Tag auch für NIS2 – ganz ohne Parallelprojekt.
Auditbereit, bevor die 24-Stunden-Frist beginnt.
Sehen Sie, wo Sie bei den Artikel-21-Maßnahmen stehen, und seien Sie für jede Artikel-23-Frist gerüstet, bevor die Uhr zu laufen beginnt.
Häufige Fragen zu NIS2
NIS2 erfasst mittlere und größere Organisationen in achtzehn Sektoren, darunter Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Wasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Fertigung kritischer Produkte und digitale Anbieter. Die größeren und kritischsten Betreiber gelten als wesentliche Einrichtungen; die übrigen innerhalb eines erfassten Sektors als wichtige Einrichtungen. Einige kritische Betreiber sind unabhängig von ihrer Größe betroffen. Rizzqo hilft Ihnen, die Frage durch Nachweise zu klären, nicht durch Vermutungen.
Beide Kategorien müssen dieselben Risikomanagementmaßnahmen nach Artikel 21 umsetzen und dieselben Meldefristen nach Artikel 23 einhalten. Der Unterschied liegt in Aufsicht und Sanktionen. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht, also Audits, Inspektionen und Scans auch ohne Vorfall, mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen unterliegen reaktiver Aufsicht, die bei Hinweisen auf Verstöße greift, mit Bußgeldern bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Für einen erheblichen Vorfall staffelt Artikel 23 die Meldepflichten gegenüber dem nationalen CSIRT oder der zuständigen Behörde: eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis, eine umfassendere Vorfallsmeldung innerhalb von 72 Stunden, einen Zwischenbericht auf Anfrage und einen Abschlussbericht innerhalb eines Monats nach der Meldung. Rizzqo hält Sie bereit, jede Stufe fristgerecht zu erfüllen – die Nachweise sind bereits zur Hand.
Ja. NIS2 überschneidet sich stark mit ISO 27001, und ein Informationssicherheits-Managementsystem deckt bereits die meisten Artikel-21-Maßnahmen ab, von Risikoanalyse und Vorfallsbewältigung bis zu Zugriffskontrolle, Kryptografie und Lieferantensicherheit. In Rizzqo laufen beide Frameworks auf denselben Assets, sodass eine für ISO 27001 nachgewiesene Kontrolle sofort für NIS2 zählt und nur die echten NIS2-spezifischen Lücken zu schließen bleiben.
Artikel 20 nimmt die Leitungsorgane in die Pflicht: Diese müssen die Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und an Schulungen teilnehmen – bei Versäumnissen droht persönliche Haftung. Da Rizzqo klare Verantwortung und aktuelle Nachweise an Ihren realen Systemen sichert, erhält die Geschäftsleitung eine belastbare, stets aktuelle Sicht auf den Stand der Organisation statt einer Momentaufnahme.