Richtlinie (EU) 2022/2555

NIS2 macht Cybersicherheit zur Chefsache. Rizzqo macht daraus laufende Nachweise.

NIS2-Teams müssen Managementverantwortung, die zehn Risikomanagementmaßnahmen nach Artikel 21 und Vorfallsbereitschaft über reale Systeme hinweg nachweisen. Rizzqo macht aus diesen Pflichten laufende Nachweise, die aktuell und auditbereit bleiben – so trifft Sie keine 24-Stunden-Frist unvorbereitet.

10Risikomanagementmaßnahmen nach Artikel 21
24hFrühwarnung nach einem erheblichen Vorfall
18betroffene Sektoren in der gesamten EU
Wer ist betroffen

Wesentliche und wichtige Einrichtungen

Am Anfang steht die Frage nach dem Anwendungsbereich: NIS2 gilt für mittlere und größere Organisationen in achtzehn Sektoren, unterteilt in zwei Kategorien. Für beide gelten dieselben Risikomanagementpflichten; Aufsicht und Sanktionen fallen bei wesentlichen Einrichtungen strenger aus. Wählen Sie eine Kategorie, um zu sehen, was sie für Sie bedeutet.

Strengste Aufsicht

Wesentliche Einrichtungen

Proaktive Aufsicht

Größere Betreiber in den kritischsten Sektoren. Aufsichtsbehörden dürfen prüfen, auditieren und einschreiten, bevor überhaupt ein Vorfall eintritt – nicht erst danach.

Was diese Kategorie bedeutet
  • Energie, Verkehr, Bankwesen, Gesundheit, Wasser und digitale Infrastruktur
  • In der Regel große Unternehmen, dazu benannte kritische Betreiber jeder Größe
  • Proaktive Aufsicht: Audits, Inspektionen und Scans
  • Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes

Erfasste Sektoren

Der Anwendungsbereich von NIS2 lässt sich am einfachsten in zwei Gruppen fassen: Wesentliche Sektoren stehen unter proaktiver Aufsicht; für wichtige Sektoren gelten dieselben Risikomanagementmaßnahmen, die Aufsicht greift jedoch in der Regel erst bei Hinweisen auf Pflichtverstöße.

Wesentliche Sektoren

Kritische Dienste, deren Ausfall die Gesellschaft unmittelbar trifft.

EnergieVerkehrBankwesenFinanzmarktinfrastrukturGesundheitTrinkwasserAbwasserDigitale InfrastrukturVerwaltung von IKT-DienstenÖffentliche VerwaltungWeltraum

Wichtige Sektoren

Weitere erfasste Dienste und Lieferketten mit denselben Mindestmaßnahmen nach Artikel 21.

Post und KurierAbfallwirtschaftChemieLebensmittelFertigungDigitale AnbieterForschung
Maßnahmen nach Artikel 21

Die zehn Mindestmaßnahmen zum Risikomanagement

Artikel 21 definiert ein Mindestniveau, das jede betroffene Einrichtung nach einem gefahrenübergreifenden Ansatz umsetzen muss. Rizzqo macht dieses Mindestniveau sichtbar und belegbar, statt es nur zu behaupten.

Art. 21(2)(a)

Risikoanalyse & Sicherheitskonzepte

Konzepte für die Risikoanalyse und die Sicherheit von Informationssystemen, an denen alles Weitere gemessen wird.

Art. 21(2)(b)

Bewältigung von Vorfällen

Ein definierter Prozess, um Vorfälle zu erkennen, darauf zu reagieren und den Betrieb wiederherzustellen – die Meldung ist von Anfang an eingebunden.

Art. 21(2)(c)

Betriebskontinuität

Backups, Notfallwiederherstellung und Krisenmanagement, damit wesentliche Dienste auch bei Störungen weiterlaufen.

Art. 21(2)(d)

Sicherheit der Lieferkette

Sicherheit in den Beziehungen zu direkten Lieferanten und Dienstleistern, einschließlich ihres Umgangs mit Ihren Daten.

Art. 21(2)(e)

Sichere Beschaffung & Entwicklung

Sicherheit bei Beschaffung, Entwicklung und Wartung von Systemen, einschließlich des Umgangs mit Schwachstellen.

Art. 21(2)(f)

Bewertung der Wirksamkeit

Konzepte und Verfahren zur Bewertung, ob die Risikomanagementmaßnahmen tatsächlich wirken.

Art. 21(2)(g)

Cyberhygiene & Schulung

Grundlegende Verfahren der Cyberhygiene und regelmäßige Sensibilisierungsschulungen für die Belegschaft.

Art. 21(2)(h)

Kryptografie & Verschlüsselung

Konzepte und Verfahren für den Einsatz von Kryptografie und, wo angebracht, Verschlüsselung.

Art. 21(2)(i)

Zugriffskontrolle & Assets

Personalsicherheit, Konzepte für die Zugriffskontrolle und Asset-Management über den gesamten Bestand.

Art. 21(2)(j)

MFA & sichere Kommunikation

Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikation.

Meldepflichten nach Artikel 23

Ein erheblicher Vorfall setzt gestaffelte Meldefristen in Gang

Für jeden erheblichen Vorfall sieht NIS2 gestaffelte Meldepflichten gegenüber dem nationalen CSIRT oder der zuständigen Behörde vor. Rizzqo hält Sie bereit, jede Stufe fristgerecht zu erfüllen – die Nachweise sind bereits zur Hand.

24 StundenZuerst
Frühwarnung

Frühwarnung

Innerhalb von 24 Stunden nach Kenntnis eine Frühwarnung mit der Angabe, ob der Vorfall mutmaßlich auf rechtswidrige Handlungen zurückgeht oder grenzüberschreitende Auswirkungen haben könnte.

72 StundenDann
Vorfallsmeldung

Vorfallsmeldung

Innerhalb von 72 Stunden eine umfassendere Meldung mit einer ersten Bewertung von Schwere, Auswirkung und etwaigen Kompromittierungsindikatoren.

Auf AnfrageZuletzt
Zwischenbericht

Fortschrittsbericht

Auf Verlangen der Behörde ein Zwischenbericht zum Stand von Bewältigung und Wiederherstellung.

1 MonatZuletzt
Abschlussbericht

Abschlussbericht

Innerhalb eines Monats nach der Meldung ein Abschlussbericht mit Grundursache, getroffenen Gegenmaßnahmen und grenzüberschreitender Auswirkung.

NIS2 als Betriebsmodell

Die Mindestmaßnahmen – im Einsatz auf den Systemen, für die sie gelten

Die zehn Maßnahmen bleiben nicht auf dem Papier, sondern werden zu gelebter Arbeit an den Systemen, für die sie gelten – mit klarer Verantwortung, im Blick behalten und durch echte Nachweise belegt, statt nur behauptet.

01

Maßnahmen an reale Assets gebunden

Ihr NIS2-Programm gründet auf den Systemen, auf die Sie wirklich angewiesen sind – nicht auf einer generischen Checkliste. Jede der zehn Maßnahmen ist mit dem realen Objekt verknüpft, das sie schützt, sodass der Anwendungsbereich Ihren tatsächlichen Betrieb abbildet.

  • Gegründet auf den Systemen, die Sie wirklich betreiben
  • Jede Maßnahme mit dem verknüpft, was sie schützt
  • Risiko monetär beziffert statt nur als Ampelfarbe
02

Klare Verantwortung, stets aktuelle Nachweise

Jede Maßnahme hat eine klare verantwortliche Person, und der Nachweis entsteht, während Ihre Teams arbeiten – so bleiben Sie auditbereit, statt vor einer Inspektion alles rekonstruieren zu müssen.

  • Eine klare verantwortliche Person je Maßnahme
  • Nachweise, die aktuell bleiben, statt in Eile erstellt
  • Jederzeit auditbereit für proaktive Aufsicht
03

Bereit, sobald die Uhr läuft

Ist ein Vorfall erheblich, sind Sie für die Fristen von 24 Stunden, 72 Stunden und einem Monat gerüstet – der nötige Kontext ist bereits zur Hand, sodass jeder Bericht zusammengestellt statt improvisiert wird.

  • Gerüstet für die Fristen von 24h, 72h und einem Monat
  • Der nötige Kontext bereits zur Hand
  • Frühwarnung, Meldung und Abschlussbericht auf Abruf

NIS2 baut auf dem ISMS auf, das Sie schon betreiben

Die meisten Artikel-21-Maßnahmen stecken bereits in einem ISO-27001-ISMS – Risikoanalyse, Vorfallsbewältigung, Zugriffskontrolle, Kryptografie, Lieferantensicherheit. Betreiben Sie beide Frameworks auf demselben Asset-Bestand in Rizzqo, zählt eine für ISO 27001 nachgewiesene Kontrolle ab dem ersten Tag auch für NIS2 – ganz ohne Parallelprojekt.

Auditbereit, bevor die 24-Stunden-Frist beginnt.

Sehen Sie, wo Sie bei den Artikel-21-Maßnahmen stehen, und seien Sie für jede Artikel-23-Frist gerüstet, bevor die Uhr zu laufen beginnt.

An den Artikel-21-Maßnahmen ausgerichtetVerankert in Ihren realen SystemenArtikel-23-Meldung bereit

Häufige Fragen zu NIS2