Produkte
HA-Server & -Storage-Management Individuelle Server- & PC-Lösungen Spam- und Antivirussystem Management-Software CyberProtect und Datensicherung Rechtssichere Mail-Archivierung IT-Versicherungen NIS-Umsetzung Hersteller
Produkte

NIS

Die EU-Richtlinie zur Netz- und Informationssicherheit.

🛠️ Die NIS2-Richtlinie im Detail:
Da die NIS2-Richtlinie die ursprüngliche NIS-Richtlinie ablöst und verschärft, ist sie für Unternehmen der relevanteste Begriff.
Ziel und Zweck: NIS2 verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU zu erreichen. Die Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Sicherheitsvorfälle stärken.
Wer ist betroffen?: Der Kreis der betroffenen Unternehmen wurde erheblich erweitert. Grundsätzlich fallen alle mittleren und großen Unternehmen in bestimmten Sektoren darunter, unterteilt in "besonders wichtige" und "wichtige" Einrichtungen.
Besonders wichtige Sektoren (Beispiele): Energie, Verkehr, Gesundheit, Finanzen, Wasser, digitale Infrastruktur.
Wichtige Sektoren (Beispiele): Lebensmittel, Chemie, Forschung, Abfallwirtschaft, verarbeitendes Gewerbe.

Kernanforderungen:
Betroffene Unternehmen müssen angemessene technische, operative und organisatorische Maßnahmen ergreifen.
Dazu gehören unter anderem:
Risikomanagement: Regelmäßige Risikoanalysen und Konzepte für Informationssicherheit.
Vorfallserkennung und -meldung: Meldung von erheblichen Sicherheitsvorfällen an nationale Behörden (innerhalb von 24 Stunden eine Frühwarnung).
Geschäftskontinuität: Maßnahmen wie Backup-Management, Notfallwiederherstellung und Krisenmanagement.
Zugangskontrolle: Strenge Richtlinien für den Zugriff auf Daten und Systeme, inklusive Multi-Faktor-Authentifizierung (MFA).
Lieferkettensicherheit: Absicherung der Beziehungen zu direkten Zulieferern.
Schulungen: Regelmäßige Cybersicherheitsschulungen für Management und Mitarbeiter.
Sanktionen: Bei Nichteinhaltung drohen empfindliche Geldstrafen. Für "besonders wichtige" Einrichtungen beträgt die Höchststrafe mindestens 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Und was hat das mit ManageEngine zu tun?
Die unter dem Menüpunkt "Management-Software" vorgestellte Software ManageEngine bietet eine Reihe von Lösungen, die Unternehmen genau bei der Umsetzung der strengen NIS2-Anforderungen unterstützen können. Wie in den Suchergebnissen ersichtlich, wirbt ManageEngine selbst damit, wie seine Tools helfen können:
ADManager Plus hilft bei der Umsetzung von Zugriffskontrollrichtlinien, der regelmäßigen Überprüfung von Berechtigungen (Access Certification) und der Erstellung von Risikobewertungen.
AD360 integriert Funktionen für Identity & Access Management (IAM) und unterstützt bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) und der Überwachung verdächtiger Aktivitäten.
ADAudit Plus bietet Echtzeit-Benachrichtigungen und detaillierte Audit-Reports, um die geforderten Meldepflichten zu erfüllen.


Die Herausforderungen der neuen NIS-2-Richtlinie meistern
Das neue NIS-2-Umsetzungsgesetz (in Kraft seit Dezember 2025) erweitert die Cybersicherheitspflichten in Deutschland massiv . Waren früher hauptsächlich klassische KRITIS-Betreiber (Kritische Infrastrukturen) betroffen, müssen jetzt etwa 30.000 Unternehmen aus vielen Wirtschaftsbereichen ihre IT absichern . Auch Ihr genannter Fokus auf "kritis" wird dabei präzisiert: Betreiber kritischer Anlagen (der neue Begriff für KRITIS) sind automatisch Teil der neuen, strengeren Kategorie .

Die folgende Tabelle gibt Ihnen einen schnellen Überblick über die neuen Kategorien und ihre Bedeutung:
Pflichten für Unternehmen in Deutschland – eingeteilt in besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen.

📋 NIS-2: Kategorien, Pflichten & Einstufung

🇩🇪 Betroffenheit nach Unternehmensgröße, Sektor und KRITIS-Status. Für Betreiber kritischer Anlagen gelten die strengsten Pflichten.

Aspekt Besonders wichtige Einrichtungen Wichtige Einrichtungen Betreiber kritischer Anlagen
Wer ist betroffen? Sehr große Unternehmen in Sektoren wie Energie, Verkehr, Gesundheit, Finanzen, IT. Mittelständische Unternehmen in o.g. Sektoren sowie in neuen Bereichen wie Lebensmittel, Chemie, Abfall. Eine Untergruppe der "besonders wichtigen Einrichtungen" mit den höchsten Anforderungen.
Einstufungskriterien >250 Mitarbeiter ODER >50 Mio. € Umsatz & >43 Mio. € Bilanzsumme. >50 Mitarbeiter ODER >10 Mio. € Umsatz & Bilanzsumme. Erfüllung der spezifischen Schwellenwerte der BSI-Kritisverordnung (z.B. Versorgungsgrad).
Beispielsektoren Energie, Gesundheit, Finanzen, Transport, IT/Telekom, Weltraum, Trinkwasser Lebensmittel, Chemie, Abfall, Post, Pharma, produzierendes Gewerbe, Digitalanbieter Energie (Strom/Gas), Wasser, Gesundheit (Kliniken), Siedlungsabfall, Betreiber von Steuerungssystemen mit KRITIS-Schwellen
Risikomanagement (ISMS) Umfassendes ISMS nach Stand der Technik, Risikoanalysen, Notfallmanagement, Lieferantensicherheit, Schulungen. Risikomanagement basierend auf ISMS-Grundsätzen, angemessene techn. und organisat. Maßnahmen. ISMS mit besonderen Anforderungen an Resilienz, Angriffserkennung (SIEM, IDS/IPS, SOC) und Business-Continuity-Management (BCM).
Meldepflichten (BSI) ⚠️ Für beide Kategorien gleich:
• Frühwarnung 24h
• Detaillierte Meldung 72h
• Abschlussbericht 1 Monat		 Wie nebenstehend, zusätzlich verschärfte Nachweispflichten gegenüber BSI (Audits, Prüfungen). Oft direkte Meldung auch bei Beinahe-Vorfällen.
Registrierung / Leitung Registrierung beim BSI (3 Monate), Haftung der Geschäftsleitung, Schulungspflicht für Führungskräfte. Registrierung beim BSI, Verantwortung der Geschäftsleitung (Haftung bei grober Fahrlässigkeit). Registrierung (auch über KRITIS-Schwelle), strenge Haftung, regelmäßige Schulungen der Leitung, Benennung eines Ansprechpartners für das BSI.
Typische Sicherheitslösungen MFA, E2EE, zentrales Patch-Management, Firewalls, Virenschutz, ggf. Angriffserkennung (SIEM/EDR). MFA für privilegierte Nutzer, Verschlüsselung, Backup-Konzepte, Notfallpläne, Basisschutz gemäß BSI IT-Grundschutz. Verpflichtende Angriffserkennung (SIEM, SOC, IDS/IPS), Multi-Faktor-Authentifizierung (MFA) flächendeckend, separates Notfallnetz, regelmäßige Stresstests und Audits.
Nachweise & Audits Dokumentation aller Maßnahmen, regelmäßige interne Audits, Prüfung durch Zertifizierungsstellen möglich. Selbsterklärung, Verfahrensdokumentation, Prüfungen können durch Aufsichtsbehörden angeordnet werden. Nachweis alle 3 Jahre (z.B. ISO 27001 auf Basis IT-Grundschutz, Prüfung durch BSI oder akkreditierte Stellen), Melden von Sicherheitslücken und Auditergebnissen.
Mögliche Bußgelder (Auswahl) Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes. Bußgelder im oberen Rahmen (wie besonders wichtig), zusätzlich verschärfte Aufsicht, ggf. Stilllegung bei groben Verstößen.
⚙️ Stand NIS-2 Umsetzungsgesetz (Dez. 2025) – Betroffene: ca. 30.000 Unternehmen. 🛡️ BSI-Registrierung über BundID / Unternehmenskonto.

Meldepflichten im Überblick

  • 🔔 Frühwarnung: 24 Stunden nach erstem Verdacht
  • 📄 Erstmeldung: 72 Stunden (detaillierte Informationen)
  • 📌 Abschlussbericht: 1 Monat nach Vorfall
  • ✔️ Registrierung: innerhalb von 3 Monaten nach Einstufung beim BSI

Für Betreiber kritischer Anlagen gelten zusätzliche Prüfungen (alle 3 Jahre).

Persönliche Haftung: Vorstände und Geschäftsführer haften bei Verstößen gegen die Sicherheitspflichten (Organisationsverschulden).

Bußgeldrahmen: Bis zu 10 Mio. € oder 2% des weltweiten Umsatzes (bes. wichtige Einrichtungen).

👉 Bei KRITIS-Betreibern drohen zusätzlich verschärfte Aufsicht und Stilllegung.

🔐 Basis-Schutz
MFA, Firewall, Virenschutz, Verschlüsselung, Patch-Management.
📡 Angriffserkennung
SIEM, SOC, IDS/IPS (für KRITIS verpflichtend).
♻️ Notfallmanagement
Backup, BCM, getestete Disaster-Recovery-Pläne.
Antispam anfragen Zur Übersicht