Fallt mein KMU unter NIS2?

Das hangt von drei Dingen ab: Ihrem Sektor (Anhang I oder II des NIS2-Gesetzes), Ihrer Grosse (mindestens 50 Mitarbeiter oder Umsatz und Bilanz uber 10 Millionen Euro) und ob Sie eine Niederlassung in Belgien haben. Kleinere Organisationen konnen trotzdem indirekt uber die Lieferkette betroffen sein. Das CCB bietet ein NIS2 Scope Assessment Tool auf atwork.safeonweb.be/nis2 an, um dies zu prufen.

Was ist der Unterschied zwischen DSGVO und NIS2?

Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten. NIS2 betrachtet Cybersicherheit und den Schutz von Netz- und Informationssystemen breiter. Es gibt viel Uberschneidung: beide verlangen Sicherheitsmassnahmen, Meldepflichten und Risikobewertung.

Welche Bussgelder drohen unter NIS2?

NIS2 sieht Bussgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes fur wesentliche Einrichtungen vor, und bis zu 7 Millionen Euro oder 1,4 % fur wichtige Einrichtungen. Geschaftsfuhrer konnen auch personlich haftbar gemacht werden.

GDPRWise und NIS2 | Cybersicherheit fur KMU

Die NIS2-Richtlinie stellt neue Cybersicherheitsanforderungen an Unternehmen in der EU. GDPRWise Enterprise bringt eine vollstandige NIS2-Aktionsliste und fertige Vorlagen direkt auf Ihrer DSGVO-Arbeit mit.

Ein neues Cybersicherheitsgesetz neben der DSGVO

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist ein europaisches Gesetz, das Unternehmen verpflichtet, ihre Cybersicherheit in Ordnung zu bringen. Wahrend sich die DSGVO auf personenbezogene Daten konzentriert, betrachtet NIS2 die Sicherheit Ihrer Netzwerke, Systeme und Dienste breiter.

Die Richtlinie gilt seit Oktober 2024 und wird von den EU-Mitgliedstaaten in nationales Recht umgesetzt. Fur Unternehmen, die bereits unter der DSGVO arbeiten, ist die gute Nachricht, dass es erhebliche Uberschneidungen gibt.

Wer fallt unter NIS2?

Nach dem belgischen NIS2-Gesetz fallen Sie direkt in den Anwendungsbereich, wenn Sie drei Kriterien gleichzeitig erfullen:

Sie erbringen eine Dienstleistung aus Anhang I oder Anhang II des NIS2-Gesetzes (siehe Sektoren unten)
Sie sind mindestens ein mittelgrosses Unternehmen: 50+ Vollzeitbeschaftigte, oder Jahresumsatz und Bilanzsumme uber 10 Millionen Euro
Sie haben eine Niederlassung in Belgien

Sektoren

Anhang I - hochkritische Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, offentliche Verwaltung, Weltraum.

Anhang II - andere kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, chemische Produktion, Lebensmittelproduktion und -vertrieb, verarbeitende Industrie, digitale Anbieter, Forschung.

Innerhalb dieser Sektoren unterscheidet das Gesetz wesentliche (regelmassige Aufsicht) und wichtige Einrichtungen (Aufsicht nach Vorfall oder Beschwerde). Die Cybersicherheitsanforderungen sind fur beide Gruppen identisch.

Unabhangig von der Grosse

Bestimmte Anbieter fallen automatisch unter NIS2, auch unterhalb der 50-VZA-Schwelle: qualifizierte Vertrauensdiensteanbieter, DNS-Anbieter, Anbieter offentlicher elektronischer Kommunikationsnetze und Organisationen, die formell als kritische Einrichtung benannt sind.

Die Lieferkette - warum auch kleinere KMU aufpassen sollten

Nicht direkt im Anwendungsbereich, aber Zulieferer einer NIS2-Einrichtung? Ihr Kunde kann vertraglich verlangen, dass Sie angemessene Cybersicherheitsmassnahmen umsetzen. Das CCB empfiehlt ausdrucklich, dass Nicht-NIS2-Zulieferer mindestens die Basic-Stufe des CyberFundamentals-Frameworks erfullen - genau wofur GDPRWise da ist.

Selbst prufen, ob NIS2 auf Sie zutrifft

Das CCB stellt ein NIS2 Scope Assessment Tool und einen Quickstart-Leitfaden bereit. Die Registrierung musste bis zum 18. Marz 2025 erfolgen (18. Dezember 2024 fur digitale Anbieter). Eine Konformitatsbewertung uber das CyberFundamentals-Framework ist bis zum 18. April 2026 erforderlich.

Was verlangt NIS2?

Die Kernpflichten:

Risikobewertung - Risiken fur Ihre Netz- und Informationssysteme identifizieren und bewerten
Sicherheitsmassnahmen - angemessene Massnahmen auf Basis dieser Risikobewertung ergreifen
Meldepflicht - bedeutende Vorfalle innerhalb von 24 Stunden melden (Fruhwarnung) und innerhalb von 72 Stunden einen vollstandigen Bericht liefern
Betriebskontinuitat - Backups, Wiederherstellungsplane und Krisenmanagement sicherstellen
Lieferkettensicherheit - die Sicherheitsrisiken Ihrer Lieferanten bewerten
Verantwortung der Geschaftsfuhrung - die Geschaftsleitung ist personlich fur Cybersicherheit verantwortlich

Die Uberschneidung mit der DSGVO

Wenn Ihre DSGVO-Compliance in Ordnung ist, haben Sie bereits eine solide Basis:

Anforderung	DSGVO	NIS2
Risikobewertung	Ja (DSFA)	Ja
Sicherheitsmassnahmen	Ja (Art. 32)	Ja
Meldepflicht	72 Stunden (Datenschutzverletzung)	24 Stunden (Fruhwarnung)
Dokumentation	Verarbeitungsverzeichnis	Sicherheitsrichtlinie
Lieferantenmanagement	Auftragsverarbeitungsvertrage	Lieferketten-Review

Wie hilft GDPRWise?

GDPRWise Enterprise bringt eine vollstandige NIS2-Aktionsliste und Vorlagen mit. Sie fangen nicht bei null an: jede bereits erledigte DSGVO-Aktion zahlt automatisch fur NIS2.

Basierend auf dem belgischen CyberFundamentals-Framework

Unsere NIS2-Aktionsliste folgt dem CyberFundamentals-Framework, herausgegeben vom Centre for Cybersecurity Belgium (CCB). Das Framework definiert vier Absicherungsstufen - Small, Basic, Important und Essential - und unsere Aktionsliste richtet sich nach der Basic-Stufe.

Die Basic-Stufe ist fur jede Organisation gedacht, die sich mit allgemein verfugbarer Technologie gegen gangige Cyber-Risiken schutzen will. In der Praxis passt sie zu den meisten KMU. Sie mussen nicht formal unter NIS2 fallen, um davon zu profitieren: jedes KMU, das Cybersicherheit und Datenschutz ernst nimmt, sollte mindestens diese Basis anstreben.

Das Framework ist international verankert und stimmt mit NIST CSF, ISO 27001/27002, IEC 62443 und CIS Critical Security Controls uberein.

Ihre DSGVO-Arbeit wiederverwendet

Keine Doppelarbeit. GDPRWise zeigt genau, welche Kontrollen bereits doppelt zahlen:

Ihre Drittpartei-Akte dokumentiert Ihre Lieferanten und deren Sicherheitsmassnahmen - direkt fur die NIS2-Anforderung zur Lieferkettensicherheit nutzbar
Ihre Sicherheits-Checkliste zeigt, welche technischen und organisatorischen Massnahmen Sie ergriffen haben
Ihr Datenschutzverletzungsverfahren bildet die Grundlage fur Ihren NIS2-Meldeprozess
Ihr Verarbeitungsverzeichnis enthalt die Bestandsaufnahme von Systemen und Datenflussen

NIS2-spezifische Aktionen und Vorlagen

Wo NIS2 uber die DSGVO hinausgeht, fugen wir Aktionen und Vorlagen hinzu:

Risikobewertungs-Vorlage - ein strukturiertes Dokument, um Risiken fur Netz- und Informationssysteme abzubilden
Informationssicherheitsrichtlinie - eine formelle Richtlinie, die NIS2-Anforderungen erfullt
Betriebskontinuitatsplan - Vorlage fur Backup, Wiederherstellung und Krisenmanagement
Vorfallsmeldungsverfahren - abgestimmt auf die NIS2-Fristen (24h Fruhwarnung, 72h Bericht)
Verantwortung der Geschaftsfuhrung - Dokumentation fur Management-Genehmigung und Schulung
Periodische Kontrollen - 2FA-Reviews, Zugriffsverwaltung, Datenaufbewahrung, zugeschnitten auf NIS2

Sichtbarer Fortschritt

Ihr Compliance-Score wachst von Basis uber Fortgeschritten zu NIS2 - Robust. Sie sehen auf einen Blick, wo Sie stehen und was noch zu tun ist.

Wo findet sich NIS2 in GDPRWise?

NIS2-Funktionen sind im Enterprise-Plan enthalten oder separat als Add-on zu Peace of Mind verfugbar. Nehmen Sie Kontakt auf, wenn Sie wissen mochten, ob NIS2 auf Ihre Organisation zutrifft.

auto_awesome Bereit fur NIS2?

Beginnen Sie mit dem kostenlosen Scan, um Ihre DSGVO-Basis in Ordnung zu bringen. Upgraden Sie auf Enterprise fur die vollstandige NIS2-Aktionsliste und Vorlagen.

Kostenlosen Scan starten

GDPRWise und NIS2 - Cybersicherheitsgesetzgebung fur Unternehmen