NIS2-Compliance, end to end. Betrieben, nicht nur dokumentiert.
Die europäische NIS2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen, zehn Cybersicherheits-Maßnahmen umzusetzen, Vorfälle binnen 24 Stunden zu melden und die Geschäftsleitung persönlich verantwortlich zu machen. CloudSoul liefert die Maßnahmen, erzeugt die Nachweise und reicht die Meldungen ein.
Sind Sie betroffen?
Wesentliche Einrichtungen
Große oder mittelgroße Betreiber in als hochkritisch eingestuften Sektoren: Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt.
Proaktive Aufsicht. Voller Bußgeldrahmen.
Wichtige Einrichtungen
Mittelgroße und große Einrichtungen in weiteren kritischen Sektoren: Post, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung kritischer Produkte, digitale Anbieter, Forschung.
Reaktive Aufsicht. Reduzierter Bußgeldrahmen.
Die meisten EU-Mittelstandsbetreiber mit mehr als 50 Mitarbeitenden in einem erfassten Sektor fallen in den Geltungsbereich – als wesentliche oder wichtige Einrichtung. Die genaue Einstufung hängt von Sektor, Größe, Umsatz und davon ab, ob Sie kritische Infrastruktur betreiben.
Die Maßnahmen, die Sie umsetzen müssen.
Die Richtlinie fordert Risikomanagementmaßnahmen (Artikel 21), Rechenschaftspflicht auf Vorstandsebene (Artikel 20) und zeitnahe Vorfallsmeldungen (Artikel 23). CloudSoul deckt jede Zeile ab.
| Art. | Maßnahme | Was die Richtlinie sagt (verständlich) | Wie CloudSoul es liefert |
|---|---|---|---|
| 21(a) | Risikoanalyse und Sicherheitsrichtlinien | Schriftliche Richtlinien zu Risikoanalyse und Sicherheit der Informationssysteme erstellen. | Compliance Core liefert vorgefertigte Richtlinien-Templates, die NIS2 zugeordnet sind. Das Risikoregister wird während des Onboardings konfiguriert und aktualisiert sich kontinuierlich. |
| 21(b) | Vorfallsbearbeitung | Cyber-Vorfälle erkennen, klassifizieren, eindämmen, beheben und daraus lernen. | Unser 24/7-SOC nimmt SIEM- und EDR-Signale auf, priorisiert und reagiert. Der Post-Incident-Bericht landet in der Evidence Engine. |
| 21(c) | Business Continuity & Krisenmanagement | Backups pflegen, Wiederherstellung testen und einen Krisenmanagement-Plan vorhalten. | Backup-Monitoring bestätigt die Einhaltung der RPO. BCP/DRP-Pläne sind versioniert und werden regelmäßig getestet. |
| 21(d) | Lieferkettensicherheit | Sicherheitsrisiken von Lieferanten und direkten Dienstleistern bewerten und überwachen. | Lieferantenbewertungen, Posture-Monitoring und Lieferketten-Vorfallswarnungen. Verfolgt jeden Lieferanten in Ihrem Abhängigkeitsgraphen. |
| 21(e) | Sichere Beschaffung, Entwicklung & Wartung | Sicherheit in Beschaffung, Entwicklung und Wartung integrieren, einschließlich Schwachstellenbehandlung und -offenlegung. | Kontinuierliches Schwachstellen-Scanning, Patch-Monitoring und CSPM. Findings fließen automatisch in den Aktionsplan. |
| 21(f) | Wirksamkeitsbewertung | Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen vorhalten. | Wiederkehrende Kontrolltests, KPI-Dashboards und prüfbereite Evidenzberichte. Ihr Alignment-Plan aktualisiert sich automatisch. |
| 21(g) | Cyber-Hygiene & Schulung | Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen, einschließlich Phishing-Sensibilisierung. | Phishing-Simulation, Training-Tracking, NIS2-Schulung für die Geschäftsleitung. Teilnahmenachweise automatisch in der Evidence Engine. |
| 21(h) | Kryptografie & Verschlüsselung | Kryptografie angemessen einsetzen, einschließlich Verschlüsselung wo zutreffend. | Verschlüsselungsstatus-Monitoring (in-transit, at-rest), Key-Rotation-Tracking, Zertifikatsinventar. Lücken erscheinen als Risiken. |
| 21(i) | HR-Sicherheit, Zugriffskontrolle & Asset-Management | Hintergrundüberprüfungen, rollenbasierte Zugriffskontrolle und vollständiges Asset-Inventar. | IAM-Monitoring, Joiner/Mover/Leaver-Workflows, Asset-Discovery und Inventarverfolgung gegen Ihr IT-Profil. |
| 21(j) | MFA & sichere Kommunikation | Mehr-Faktor-Authentifizierung und sichere Sprach- / Video- / Text-Kommunikation einsetzen, wo angemessen. | MFA-Abdeckung im IT-Bestand prüfen, Inventar sicherer Kommunikation, Lücken-Reporting. Empfehlungen erscheinen im Aktionsplan. |
| 20 | Verantwortung der Geschäftsleitung | Die Geschäftsleitung genehmigt die Cyber-Maßnahmen und überwacht deren Umsetzung. Mitglieder haften persönlich bei Nichteinhaltung. | Vorstands-Pack automatisch generiert: Risikoposition, Kontrollabdeckung, Restrisiko, Entscheidungsprotokoll. Genehmigung dokumentiert. |
| 23 | Vorfallsmeldung (24h / 72h / 1 Monat) | Erhebliche Vorfälle in drei Stufen melden: Frühwarnung innerhalb 24h, vollständige Meldung innerhalb 72h, Abschlussbericht innerhalb 1 Monat. | Auto-Klassifizierung der Erheblichkeit. Mitgliedstaat-spezifische Meldevorlagen vorgefertigt. CSIRT-Übermittlungsspur in der Evidence Engine. |
Richtlinie auf der Website der Europäischen Kommission lesen →
Drei Uhren, die Sie nicht verpassen dürfen.
CloudSoul übernimmt die Uhr. Klassifikation läuft automatisch. Aufsichtsbehörden-Vorlagen sind je Mitgliedstaat vorgefertigt. Der Meldepfad wird in der Evidence-Engine erfasst.
Vorfall erkannt
Klassifikation beginnt.
Frühwarnung
An CSIRT / zuständige Behörde. Nur Erstbeschreibung.
Vollständige Meldung
Auswirkungen, Indikatoren, Schwere, getroffene Maßnahmen.
Abschlussbericht
Lessons Learned, Remediation, Restrisiko.
Der Preis von Nicht-Compliance.
Maximales Bußgeld für wesentliche Einrichtungen, je nachdem, was höher ist, bezogen auf den weltweiten Jahresumsatz.
Maximales Bußgeld für wichtige Einrichtungen.
Geschäftsführungsorgane genehmigen und überwachen die Cyber-Maßnahmen.
Speziell für diese Regulierung gebaut.
EU-betriebene Daten
Hauptsitz Luxemburg, Hosting ausschließlich in der EU, keine Exposition gegenüber dem US Cloud Act. Für viele NIS2-Einrichtungen eine harte Vorgabe.
Wir holen Sie ab, wo Sie stehen
Cloud-nativ ab Start. Hybrid- und On-Premise-Deployments auf Anfrage für Betreiber mit besonderen Auflagen.
Betrieben, nicht dokumentiert
CloudSoul betreibt SIEM, SOC, Scans und Simulationen und erzeugt die Nachweise als Nebenprodukt. GRC-Anbieter geben Ihnen eine Checkliste; CloudSoul betreibt die Kontrollen.
Multi-Framework-fähig
NIS2 heute. ISO 27001 oder DORA mit einem Schalter dazu – Ihre bestehenden Kontrollen mappen automatisch.
Schon ISO 27001 zertifiziert? Sie sind nah dran, aber nicht fertig.
ISO 27001 deckt den Großteil der 10 Maßnahmen ab.
Die Maßnahmen aus Artikel 21 überschneiden sich stark mit den Kontrollen aus Annex A der ISO 27001. Wer eine gelebte ISO-27001-Umsetzung hat, erfüllt typischerweise 70–80 % der technischen NIS2-Anforderungen.
NIS2 ergänzt vier Lücken, die ISO 27001 nicht schließt.
Persönliche Haftung der Geschäftsleitung (Art. 20). Meldeworkflow 24h/72h/1 Monat (Art. 23). Tiefe der Lieferketten-Überwachung (Art. 21(d)). Jurisdiktionsspezifisches Reporting: jeder Mitgliedstaat hat eigenes CSIRT und Meldeformat.
Fragen.
Fällt meine Organisation unter NIS2?
Wenn Sie in einem der 18 kritischen Sektoren aus den Anhängen I und II tätig sind UND mindestens 50 Mitarbeiter oder 10 Mio. € Jahresumsatz haben, fallen Sie wahrscheinlich darunter, als wesentliche oder wichtige Einrichtung. Einige Anbieter digitaler Infrastruktur sind unabhängig von der Größe betroffen.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
Wesentliche Einrichtungen (Anhang I, z. B. Energie, Verkehr, Gesundheit) unterliegen proaktiver Aufsicht und dem höheren Bußgeldrahmen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen (Anhang II, z. B. Post, Lebensmittel, Fertigung) unterliegen reaktiver Aufsicht und einem reduzierten Rahmen: bis zu 7 Mio. € oder 1,4 %.
Wie schnell muss ich einen Vorfall melden?
Artikel 23 sieht drei Fristen vor: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 1 Monat. CloudSoul klassifiziert die Erheblichkeit automatisch und stellt mitgliedstaat-spezifische Meldevorlagen bereit, damit Sie sich nicht um die Uhr kümmern müssen.
Wir sind bereits ISO 27001 zertifiziert. Sind wir NIS2-konform?
ISO 27001 deckt etwa 70-80% der technischen Anforderungen von NIS2 Artikel 21 ab. Die vier verbleibenden Lücken sind: persönliche Haftung der Geschäftsleitung (Art. 20), der Meldeworkflow 24h/72h/1 Monat (Art. 23), die Tiefe der Lieferketten-Überwachung (Art. 21(d)) und die mitgliedstaat-spezifischen CSIRT-Meldeformate.
Wie hoch sind die Bußgelder bei NIS2-Verstößen?
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) für wesentliche Einrichtungen; bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen. Mitgliedstaaten können zudem Zertifizierungen aussetzen und vorübergehende Management-Verbote verhängen.
Müssen wir NIS2-Tools on-premise betreiben?
Nein. CloudSoul ist Cloud-native und läuft auf EU-Infrastruktur. Hybride und on-premise Optionen sind auf Anfrage für Betreiber mit spezifischen Anforderungen an Datenresidenz oder Air-Gap verfügbar.
Wie lange dauert die NIS2-Umsetzung mit CloudSoul?
Vom unterzeichneten Vertrag bis zur operativen Konformität dauert es typischerweise 4-8 Wochen für Cloud-First-Organisationen. Onboarding erstellt den Alignment-Plan in Woche 1; Modul-Deployment und SOC-Übernahme erfolgen in den Folgewochen. Risiko und Compliance ist ab Tag 1 aktiv.
Wann beginnt die NIS2-Durchsetzung tatsächlich?
NIS2 musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden, und die Durchsetzung durch die Mitgliedstaaten ist nun in der gesamten EU aktiv. Spezifische Durchsetzungsdaten und zuständige Behörden variieren je nach Land; Ihre zuständige Behörde ist typischerweise das nationale CSIRT oder ein sektorspezifischer Regulator.
30-minütiges Gespräch · Inklusive Geltungsbereichs-Einstufung · Ohne Foliensatz.