NIS2 hat sich von einer „künftigen Regulierung“ zur täglichen Realität entwickelt. Deutschland hat sein nationales Umsetzungsgesetz im November 2025 abgeschlossen. Frankreich, die Niederlande und Spanien folgten. Anfang 2026 haben rund zwei Drittel der EU-Mitgliedstaaten die Richtlinie in nationales Recht umgesetzt, und die Europäische Kommission verfolgt aktiv Vertragsverletzungsverfahren gegen die übrigen.
Die Zahlen sind entscheidend. Der Geltungsbereich ist von rund 10.000 Einrichtungen unter NIS1 auf geschätzte 160.000 unter NIS2 gestiegen. Die Bußgelder liegen bei bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen und bei 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen. Die Geschäftsleitung haftet persönlich, wobei die Richtlinie im schlimmsten Fall ein vorübergehendes Verbot der Ausübung von Leitungsfunktionen ermöglicht. Und die 24-stundige Meldefrist für Vorfälle beginnt in dem Moment, in dem Sie von einem erheblichen Sicherheitsvorfall Kenntnis erlangen – nicht erst, wenn Sie ihn bestätigt haben.
Wenn Sie sich gerade durch die Compliance arbeiten, wissen Sie bereits, dass es kein einzelnes Tool gibt, das all dies abdeckt. Artikel 21 listet zehn Mindestmaßnahmen auf, die Risikoanalyse, Vorfallsbehandlung, Geschäftskontinuität, Sicherheit der Lieferkette, Schwachstellenmanagement, Schulungen zur Cybersicherheit, Zugriffskontrolle, Kryptografie und mehr umfassen. Keine einzelne Plattform deckt jede Zeile dieser Liste ab. Die meisten Organisationen bauen am Ende einen Stack auf, in dem jedes Tool einen Teilbereich gut abdeckt, mit minimaler Überschneidung und minimalem Verwaltungsaufwand.
Dieser Leitfaden stellt 10 Tools vor, die sich für die NIS2-Compliance im Jahr 2026 lohnen. Einige konzentrieren sich auf die menschliche Ebene (Schulung, Phishing, Richtlinien). Einige automatisieren den GRC- und Nachweis-Bereich. Andere setzen als ISMS obenauf. Wir haben aufgeschlüsselt, was jedes leistet, für wen es am besten geeignet ist und wo es schwächelt.
Worauf Sie bei einem NIS2-Compliance-Tool achten sollten
Die Richtlinie ist prinzipienbasiert, nicht vorschreibend. Sie gibt Ihnen vor, welche Ergebnisse Sie erreichen müssen, nicht welche Produkte Sie kaufen sollen. Das ist Segen und Falle zugleich. Kaufen Sie falsch, zahlen Sie entweder zu viel für Funktionen, die Sie nicht benötigen, oder Sie enden mit Lücken, die erst während eines Audits zutage treten.
Einige Punkte sind es wert, geprüft zu werden.
Abdeckung des menschlichen Risikos. Artikel 21(2)(g) verlangt ausdrücklich „grundlegende Verfahren der Cyberhygiene und Schulungen im Bereich der Cybersicherheit“. Artikel 20 verlangt Schulungen der Leitungsorgane. Die meisten GRC-Plattformen leisten dies nicht gut, oder gar nicht. In der Regel benötigen Sie eine dedizierte Ebene für das Human Risk Management.
Automatisierung von Nachweisen. Die Maßnahmen aus Artikel 21 müssen nachweislich vorhanden sein. Jedes Tool, das Sie noch immer dazu zwingt, Screenshots zu sammeln und Tabellen auszufüllen, stiehlt Ihnen Zeit. Achten Sie auf kontinuierliches Monitoring, automatisierte Nachweiserfassung und eine Möglichkeit, Kontrollen einmal zuzuordnen und über ISO 27001, SOC 2, GDPR und NIS2 hinweg wiederzuverwenden.
Bereitschaft zur Reaktion auf Vorfälle. Die Meldekette von 24/72/30 Tagen ist eng getaktet. Sie benötigen Vorfall-Workflows, die die richtigen Artefakte automatisch erzeugen, idealerweise mit Vorlagen, die an der ENISA und Ihrer nationalen Behörde ausgerichtet sind.
Transparenz über die Lieferkette. NIS2 macht Sie für die Sicherheitslage Ihrer Lieferanten verantwortlich. Tools, die Ihnen helfen, das Risiko Dritter zu bewerten und zu verfolgen, sind nicht länger optional.
Passung zu Ihrem Betriebsmodell. Ein SaaS-Anbieter mit 50 Mitarbeitenden, ein Energieversorger mit 5.000 Arbeitsplätzen und ein MSP, der Dutzende Kunden betreut, brauchen alle Unterschiedliches. Mandantenfähigkeit, White-Labeling, Sprachabdeckung und Bereitstellungsmodell sind alle von Bedeutung.
Reporting für Vorstände und Auditoren. NIS2 erwartet Verantwortlichkeit auf Vorstandsebene. Die Plattform muss Berichte erzeugen, die Führungskräfte tatsächlich lesen und Auditoren tatsächlich akzeptieren.
Plattformübersicht im Vergleich
| Plattform | Am besten geeignet für | Schwerpunkt | NIS2-Abdeckung |
|---|---|---|---|
| usecure | SMBs, Mid-Market, MSPs | Human Risk Management | Schulung, Phishing und Richtlinien gemäß Artikel 20/21 |
| Vanta | Wachsende Tech-Unternehmen | GRC-Automatisierung, Multi-Framework | Kontrollautomatisierung und Nachweiserfassung |
| Drata | Skalierende SaaS, US-EU | GRC-Automatisierung | Kontinuierliches Monitoring, Framework-Zuordnung |
| ISMS.online | ISO-ausgerichtete Organisationen | ISMS und Richtlinien | NIS2-Toolkit auf Basis von ISO 27001 |
| Scytale | EU-Mid-Market | Compliance-Automatisierung | Framework-Zuordnung, Audit-Bereitschaft |
| Sprinto | Cloud-native SaaS | GRC-Automatisierung | Kontrollautomatisierung, Integrationen |
| Secureframe | US-Unternehmen mit Eintritt in die EU | Compliance-Automatisierung | NIS2 parallel zu SOC 2 und ISO |
| Hyperproof | Multi-Framework-Unternehmen | Compliance-Operations | Kontrollzuordnung über Standards hinweg |
| OneTrust | Große, regulierte Unternehmen | GRC und Datenschutz | Breite Abdeckung der NIS2-Workflows |
| DataGuard | Europäischer Mid-Market | Begleitete Compliance + Plattform | NIS2-Beratung plus Software |
Die 10 besten NIS2-Compliance-Tools für 2026
1) usecure
usecure ist eine Plattform für Human Risk Management, und das menschliche Risiko ist eine der spezifischen Säulen, die NIS2 ausdrücklich benennt und die die meisten GRC-Plattformen nur dünn abdecken. Die Plattform deckt Artikel 21(2)(g), Artikel 20 und die übrigen auf den Menschen ausgerichteten Aspekte der Cyberhygiene ab und steht in der Regel neben einer GRC- oder ISMS-Plattform, die die technischen Kontrollen und Nachweise abdeckt.
Die Plattform besteht aus vier Modulen, die über einen einzigen Human Risk Score zusammenwirken. uLearn führt personalisierte Security-Awareness-Schulungen durch, mit Inhalten, die an den NIS2-Verpflichtungen ausgerichtet sind – einschließlich der nach Artikel 20 geforderten Schulung der Leitungsorgane. uPhish automatisiert Phishing-Simulationen nach einem rollierenden Zeitplan (Auto Phish), sodass Nutzer realistische Tests erhalten, ohne dass jemand Kampagnen manuell durchführen muss. uPolicy verwaltet die Verteilung von Richtlinien, die Nachverfolgung von Bestätigungen und die Versionskontrolle – also genau das, was ein Auditor tatsächlich verlangt, wenn er Ihre Cybersicherheitsrichtlinien einsehen möchte. uBreach überwacht Datenlecks im Dark Web, die mit Ihrer Domain verknüpft sind, und warnt bei kompromittierten Zugangsdaten.
Über all dem steht ein Human Risk Score pro Nutzer, pro Team und pro Organisation, der Führung und Vorständen eine einzige Kennzahl liefert, um den NIS2-Fortschritt im Zeitverlauf darzustellen. Das Reporting ist klar genug für ein Vorstandsdossier und detailliert genug für einen Auditor. Wie sich die Plattform den einzelnen Maßnahmen aus Artikel 21 zuordnet, sehen Sie in der NIS2-Framework-Analyse von usecure.
Für interne IT- und Sicherheitsteams ist das Angebot für IT-Teams im täglichen Betrieb unkompliziert: Lizenzierung pro Nutzer, geringer Verwaltungsaufwand, audit-fertige Berichte mit wenigen Klicks. Für MSPs und Beratungen, die Compliance as a Service anbieten, ergänzt das MSP-Angebot Mandantenverwaltung und White-Labeling, sodass Sie Human-Risk-Programme für viele Kunden über ein einziges Portal steuern können.
Was die Plattform nicht leistet, ist die Automatisierung technischer Kontrollen, die eine GRC- oder ISMS-Plattform übernimmt. Das ist auch nicht ihr Anspruch. Sie deckt die menschlichen Maßnahmen innerhalb von Artikel 21 ab und überlässt den Rest dem, was Sie ohnehin bereits einsetzen.
Sie können ohne Verkaufsgespräch eine kostenlose Testversion starten, wenn Sie die Lösung zunächst in Ihrer eigenen Umgebung prüfen möchten.
Am besten geeignet für: Organisationen jeder Größe, einschließlich Direktkunden und MSPs, die die Lücke beim menschlichen Risiko in ihrem NIS2-Programm schließen müssen, ohne ein weiteres verwaltungsintensives Tool hinzuzufügen.
2) Vanta
Vanta ist wahrscheinlich der erste GRC-Name, von dem Sie gehört haben. Die Plattform startete mit SOC 2, erweiterte sich auf ISO 27001, GDPR, HIPAA und umfasst inzwischen ein NIS2-Framework in ihrer Trust Management Platform. Kontrollen werden über Standards hinweg zugeordnet, sodass Sie sie nicht zweimal einrichten müssen, und Nachweise werden über eine umfangreiche Integrationsbibliothek erfasst, die Cloud-Anbieter, Identity-Tools, HR-Systeme und Endpoints abdeckt.
Speziell für NIS2 ordnet Vanta seine Kontrollbibliothek den Maßnahmen aus Artikel 21 zu und liefert Ihnen eine Gap-Analyse als Ausgangspunkt. Sie erhalten Richtlinienvorlagen, ein Risikoregister und einen Workflow zur Dokumentation von Vorfällen. Auditoren sind mit den Ergebnissen von Vanta vertraut, was die Sache beschleunigt.
Der Kompromiss: Vanta verkauft sich über seine Breite. Wenn Sie nur NIS2 umsetzen, kann es sich anfühlen, als bezahlten Sie für Frameworks, die Sie nicht benötigen. Und die Behandlung der Maßnahmen zum menschlichen Risiko ist eher funktional als tiefgehend, sodass die meisten Kunden Vanta mit einer dedizierten Human-Risk-Plattform wie usecure kombinieren, um Artikel 20 und 21(2)(g) abzudecken.
Am besten geeignet für: Tech-Unternehmen, die bereits auf SaaS-Infrastruktur laufen und ein einziges GRC-Rückgrat für NIS2 und weitere Frameworks wünschen.
3) Drata
Drata ist Vantas engster Wettbewerber und spielt ein ähnliches Spiel: automatisierte Nachweiserfassung, kontinuierliches Kontroll-Monitoring und Framework-Zuordnung. Drata hat NIS2 in seine Framework-Bibliothek aufgenommen und seither spezifischere Workflows rund um Artikel 21 und den Meldezeitplan 24/72/30 für Vorfälle ausgebaut.
Wo Drata für manche Teams die Nase vorn hat, ist die Implementierung. Das Onboarding ist schnell, das Dashboard ist aufgeräumt, und neue Frameworks kommen in einem Tempo hinzu, das mit dem regulatorischen Wandel im Allgemeinen Schritt hält. Drata schneidet in der Regel gut bei schnell wachsenden Tech-Unternehmen ab, die schätzen, wie nahtlos die Integrationen ineinandergreifen.
Ein Vorbehalt: Wie Vanta hat Drata seine Wurzeln im US-Markt, und seine EU-spezifischen Vorgaben sind langsamer gereift als seine Kerninhalte zu SOC 2 und ISO. Die Kontrollen auf der menschlichen Ebene (Schulung, Phishing) sind dünn, und die meisten Kunden kombinieren es mit einer dedizierten Human-Risk-Plattform.
Am besten geeignet für: SaaS- und Tech-Unternehmen, die eine schnelle Bereitstellung und saubere Automatisierung wünschen und meist mehrere Compliance-Programme gleichzeitig betreiben.
4) ISMS.online
ISMS.online ist eine Plattform für das Management der Informationssicherheit, die um ISO 27001 herum aufgebaut ist und sich sauber in den NIS2-Bereich erweitert hat. Sie liefert ein dediziertes NIS2-Toolkit mit vorgefertigten Richtlinien, einem an Artikel 21 ausgerichteten Kontrollkatalog, Vorlagen zur Risikobewertung und einem an den Meldezeitplan angelehnten Vorfallsprotokoll.
Was sie auszeichnet, ist, wie viel der Vorarbeit bereits für Sie geleistet wurde. Die Plattform behandelt NIS2 als Erweiterung Ihres ISMS – und wenn Sie bereits nach ISO 27001 zertifiziert sind (oder dies anstreben), ist genau das die gewünschte Arbeitsweise. Sie vermeiden parallele Compliance-Programme für unterschiedliche Frameworks.
Die Implementierung ist moderat. Die Plattform belohnt Teams, die bereit sind, sie ordentlich aufzusetzen. Teams, die reine Automatisierung suchen, empfinden sie mitunter als manueller als Vanta oder Drata. Doch in puncto Audit-Belastbarkeit ist ihre Nachvollziehbarkeit schwer zu übertreffen.
Am besten geeignet für: Organisationen mit bestehender ISO-27001-Basis (oder entsprechendem Ziel), die NIS2 in dasselbe ISMS einbinden möchten, statt ein separates Programm zu betreiben.
5) Scytale
Scytale ist eine Plattform zur Compliance-Automatisierung mit starker Präsenz in der EU. Sie unterstützt NIS2 direkt, neben ISO 27001, SOC 2, GDPR, DORA und HIPAA. Das Unterscheidungsmerkmal ist die Audit-Bereitschaft: Die Plattform ist darauf ausgelegt, die Artefakte zu erzeugen, die Auditoren tatsächlich verlangen, im erwarteten Format und mit minimalem Hin und Her.
Das Onboarding von Scytale ist begleitet, und Sie erhalten im Rahmen des Service Zugang zu Compliance-Experten. Das ist gerade für NIS2 von Bedeutung, weil die nationalen Umsetzungen noch variieren und EU-spezifische Vorgaben von Ihrem Anbieter Zeit sparen. Die Kontrollzuordnung über Frameworks hinweg ist solide, sodass Sie bei paralleler Umsetzung von NIS2 und ISO keine Nachweise doppelt führen.
Die Plattform eignet sich am besten für Mid-Market-Unternehmen. Sehr kleine Teams empfinden sie mitunter als mehr, als sie benötigen; sehr große Unternehmen entscheiden sich häufig für OneTrust oder Ähnliches, um Workflows tiefer anzupassen.
Am besten geeignet für: europäische Mid-Market-Unternehmen, die Compliance-Automatisierung mit praxisnaher Expertenunterstützung wünschen.
6) Sprinto
Sprinto ist eine Plattform zur GRC-Automatisierung, die bei schnell agierenden SaaS-Teams beliebt ist. Ihr NIS2-Modul führt Sie durch die Maßnahmen aus Artikel 21, zieht Nachweise aus Integrationen über Ihren Cloud- und SaaS-Stack und hält die Kontrollen kontinuierlich überwacht.
Die Stärke von Sprinto liegt darin, wie schnell es sich einbindet. Wenn Ihr Stack überwiegend cloudbasiert ist (AWS, GCP, Azure, Okta, Jira, GitHub und so weiter), können Sie innerhalb weniger Tage Nachweise erfassen. Die Automatisierung hält den manuellen Aufwand gering, was zählt, wenn Sie ein schlankes Team sind, das mehrere Frameworks gleichzeitig betreibt.
Kompromisse: Sprinto ist auf der menschlichen Seite von NIS2 (Schulung und Awareness) schlanker aufgestellt, und wie bei den meisten GRC-Automatisierungsplattformen werden Sie diesen Teil mit einem weiteren Tool kombinieren.
Am besten geeignet für: cloud-native SaaS-Unternehmen, die eine schnelle, weitgehend automatische Compliance-Automatisierung wünschen.
7) Secureframe
Secureframe ist eine weitere GRC-Automatisierungsplattform US-amerikanischen Ursprungs, die inzwischen NIS2 unterstützt. Sie legt einen starken Fokus auf kontinuierliches Monitoring und die Automatisierung von Nachweisen, mit ebenso starken Integrationen in US-zentrierte wie EU-zentrierte Tools.
Das NIS2-Modul von Secureframe deckt die Bereiche Kontrollzuordnung und Risikomanagement gut ab, mit Workflows für die Sicherheit der Lieferkette (ein Bereich, den viele Plattformen unzureichend bedienen) und die Meldung von Vorfällen. Wenn Sie ein in den USA ansässiges Unternehmen sind, das gerade erst erkannt hat, dass NIS2 Sie betrifft, weil Sie Dienstleistungen in die EU anbieten, ist Secureframe ein vernünftiger Einstieg.
Es gelten dieselben Vorbehalte wie bei Vanta und Drata: Die Abdeckung des menschlichen Risikos ist dünn, und Sie werden ein dediziertes Tool für Schulung und Awareness daneben einsetzen wollen.
Am besten geeignet für: US-Unternehmen mit Expansion in die EU oder hybride Teams, die gleichzeitig US- und EU-Frameworks erfüllen.
8) Hyperproof
Hyperproof bezeichnet sich selbst als Plattform für Compliance-Operations, was eine treffende Beschreibung ist. Sie ist für Organisationen gebaut, die mehrere Frameworks gleichzeitig handhaben (oft SOC 2, ISO 27001, PCI DSS, HIPAA und nun NIS2) und sich eine zentrale Übersicht über alle wünschen.
Die Engine zur Kontrollzuordnung gehört zu den tiefsten auf dieser Liste. Hyperproof erlaubt es Ihnen, eine Kontrolle einmal zu definieren, sie dann über jedes betroffene Framework anzuwenden und Lücken in einer einzigen Ansicht zu verfolgen. Speziell für NIS2 bedeutet das, dass sich die Maßnahmen aus Artikel 21 sauber auf Ihre bestehende ISO- oder SOC-2-Arbeit abbilden lassen, sodass Sie keinen Aufwand neu erbringen.
Die Plattform richtet sich eher an Compliance-Operations-Teams als an Entwickler oder kleine IT-Teams. Unternehmen mit einer dedizierten GRC-Funktion holen in der Regel am meisten heraus.
Am besten geeignet für: Unternehmen mit mehreren Compliance-Programmen, die eine gemeinsame Operations-Ebene benötigen.
9) OneTrust
OneTrust ist der größte Name im Bereich Datenschutz und GRC für Unternehmen. Die Plattform deckt NIS2 neben so gut wie jedem großen Datenschutz- und Sicherheitsframework ab (GDPR, CCPA, SOC 2, ISO 27001, DORA und die übrigen). Für große, regulierte, multinationale Organisationen ist OneTrust häufig die Standardwahl.
Die NIS2-Workflows umfassen Risikomanagement, Reaktion auf Vorfälle, Lieferkettenrisiko und Richtlinien-Governance. Das Reporting ist auf Enterprise-Niveau. Die Integrationsoptionen sind tiefgreifend. Und die Plattform verknüpft Datenschutz- und Sicherheitspflichten miteinander, was Organisationen hilft, die sowohl unter GDPR als auch unter NIS2 fallen.
Der Kompromiss ist die Größenordnung. OneTrust ist teuer, die Implementierung ist erheblich, und für Mid-Market- oder kleinere Teams ist es meist mehr Plattform als nötig.
Am besten geeignet für: Unternehmen und regulierte Branchen, die tiefe, konfigurierbare Workflows über Datenschutz- und Sicherheits-Compliance hinweg benötigen.
10) DataGuard
DataGuard ist eine europäische Compliance-Plattform, die Beratungsleistungen mit Software verbindet. Sie unterstützt NIS2 neben GDPR, ISO 27001 und weiteren EU-spezifischen Frameworks und wird eher als begleitete Compliance-Partnerschaft denn als Self-Service-Tool bereitgestellt.
Das Modell eignet sich für Organisationen ohne interne Compliance-Expertise. Die Berater von DataGuard führen Sie durch die NIS2-Gap-Analyse, helfen bei der Erstellung von Richtlinien und begleiten Sie durch Audits. Die Plattform übernimmt Dokumentation, Risikoregister und Vorfallsverfolgung.
Da ein großer Teil des Mehrwerts in der Beratungsebene liegt, spiegelt sich das im Preis wider. Self-Service-orientierte Teams bevorzugen häufig eine reine Softwarelösung.
Am besten geeignet für: europäische Mid-Market-Organisationen, die expertengeführte Compliance-Unterstützung statt einer DIY-Plattform wünschen.
So wählen Sie das richtige NIS2-Compliance-Tool
Beginnen Sie damit, ehrlich zu beurteilen, was Ihr bestehender Stack bereits abdeckt. Wenn Sie ISO 27001 auf ISMS.online betreiben, ist es sinnvoller, NIS2 dort hinzuzufügen, als eine neue Plattform zu kaufen. Wenn Sie SOC 2 auf Vanta oder Drata betreiben, ist es meist der kürzere Weg, diese auf NIS2 auszuweiten.
Identifizieren Sie anschließend die Lücken. Die häufigste ist das menschliche Risiko. GRC-Automatisierungsplattformen sind gut in der technischen Nachweiserfassung, und die meisten von ihnen behandeln Schulung und Phishing als Kontrollkästchen. NIS2 behandelt sie als Pflichten mit Zähnen: Artikel 20 verlangt Schulungen der Leitungsorgane, Artikel 21(2)(g) verlangt Schulungen zur Cyberhygiene über die gesamte Belegschaft hinweg. Wenn Sie keine dedizierte Ebene für das menschliche Risiko haben, liegt dort wahrscheinlich Ihr größtes Compliance-Risiko – und es ist zugleich der Bereich, in dem Auditoren Schwächen am leichtesten erkennen. Eine Human-Risk-Plattform wie usecure ist das, was die meisten Organisationen nutzen, um diese Lücke zu schließen.
Überlegen Sie, wer das Programm verantwortet. Ein kleines IT-Team ohne dedizierte Compliance-Stelle benötigt Plattformen, die den Verwaltungsaufwand reduzieren und automatisieren, was sich automatisieren lässt. usecure, Vanta, Drata und Sprinto gehen alle in diese Richtung. Unternehmen mit einer GRC-Funktion holen oft mehr aus Hyperproof oder OneTrust heraus, weil diese die Tiefe bieten, die ihre Teams nutzen können.
Berücksichtigen Sie das Bereitstellungsmodell. Interne Teams, die ihre eigene Compliance betreiben, arbeiten anders als MSPs und Beratungen, die sie für Kunden erbringen. Service-orientierte Anbieter wünschen sich Plattformen mit integrierten mandantenfähigen Portalen und White-Labeling. usecure, Scytale und DataGuard bieten jeweils unterschiedliche Ausprägungen davon.
Prüfen Sie schließlich die Audit-Bereitschaft. Die Durchsetzung zieht an: Vertragsverletzungsverfahren haben bereits begonnen, mehrere Mitgliedstaaten haben Audit-Programme für 2026 angekündigt, und die Frist zur Registrierung beim deutschen BSI für wesentliche und wichtige Einrichtungen fällt in den April. Dass Sie aufgefordert werden, Nachweise vorzulegen, steht inzwischen kaum noch in Frage. Tools, die den Audit-Trail schmerzlos machen, sind mehr wert als Tools, die das Tagesgeschäft nur ordentlich aussehen lassen.
Wenn Sie die menschliche Seite Ihres NIS2-Programms noch heute schließen möchten, starten Sie eine kostenlose usecure-Testversion und kombinieren Sie sie mit dem GRC- oder ISMS-Tool, für das Sie sich bereits entschieden haben.
FAQ
Wer muss NIS2 einhalten?
Mittlere und große Einrichtungen in 18 hochkritischen und sonstigen kritischen Sektoren, die von Anhang I und Anhang II der Richtlinie erfasst sind. Bestimmte Organisationen (DNS-Anbieter, Vertrauensdienste, TLDs, Betreiber kritischer Infrastrukturen) fallen unabhängig von ihrer Größe in den Geltungsbereich. Im Zweifelsfall veröffentlichen der NIS2-Hub der ENISA und Ihre zuständige nationale Behörde sektorspezifische Vorgaben.
Wie hoch sind die Bußgelder bei Nichteinhaltung?
Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für wesentliche Einrichtungen. Bis zu 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen. Nationale Behörden können zudem verbindliche Anweisungen erteilen, unabhängige Audits anordnen und in schweren Fällen den Betrieb aussetzen oder der Geschäftsleitung die Ausübung von Leitungsfunktionen untersagen.
Wie sieht der Zeitplan für die Meldung von Vorfällen aus?
24 Stunden für eine Frühwarnung, nachdem Sie von einem erheblichen Sicherheitsvorfall Kenntnis erlangt haben. 72 Stunden für eine vollständige Meldung des Vorfalls. 30 Tage für einen Abschlussbericht, der Auswirkungen, Ursache und Abhilfemaßnahmen darlegt. Das Versäumen dieser Fristen stellt selbst einen Verstoß dar.
Brauche ich ein separates Tool für Human Risk Management?
Für die meisten Organisationen ja. Artikel 20 verlangt Schulungen der Leitungsorgane, und Artikel 21(2)(g) verlangt grundlegende Cyberhygiene und Schulungen für die Belegschaft. GRC-Plattformen decken dies selten gut ab. Die meisten NIS2-Programme kombinieren eine GRC- oder ISMS-Plattform mit einem dedizierten Tool für Human Risk Management wie usecure, um die Lücke zu schließen.
Gilt NIS2 für uns, wenn wir nicht in der EU ansässig sind?
Sie gilt für jede Organisation, die Dienstleistungen innerhalb der EU erbringt, einschließlich Cloud-Anbietern und digitalen Plattformen. Erfasste Nicht-EU-Einrichtungen müssen einen EU-Vertreter benennen und dieselben Pflichten zum Risikomanagement und zur Meldung erfüllen wie in der EU ansässige Einrichtungen.
Wie häufig sollten NIS2-Schulungen und -Simulationen stattfinden?
Die Richtlinie legt keine feste Häufigkeit fest, doch die Erwartung ist eher kontinuierlich als jährlich. Die meisten Plattformen führen Schulungen und Phishing-Simulationen inzwischen rollierend durch, mit Inhalten, die an die Rolle und das Risikoniveau der einzelnen Person angepasst sind. Eine jährliche Pflichtschulung zum Abhaken wird einen Auditor, der Artikel 21(2)(g) prüft, kaum zufriedenstellen.
Kann ein einziges Tool die gesamte Richtlinie abdecken?
In der Praxis nein. Artikel 21 umfasst zehn eigenständige Maßnahmenbereiche, die technische, prozedurale und menschliche Domänen abdecken. Die meisten Organisationen enden mit einem Stack: eine Human-Risk-Plattform für Schulung und Awareness, eine GRC- oder ISMS-Plattform für Kontrollautomatisierung und Nachweise sowie Spezial-Tools für Bereiche wie Lieferkettenrisiko oder Reaktion auf Vorfälle.
Newsletter abonnieren
Erfahren Sie, wie Unternehmen im Bereich Professional Services mit usecure menschliche Risiken reduzieren
Erfahren Sie, wie IT-Teams in Professional-Services-Unternehmen usecure nutzen, um sensible Kundendaten zu schützen, Compliance-Anforderungen zu erfüllen und ihre Reputation zu wahren — ohne abrechenbare Arbeit zu beeinträchtigen.
Ähnliche Beiträge
Entdecken Sie weitere Einblicke, Neuigkeiten und Ressourcen von usecure.
.avif)
.png)