Wesentliche Einrichtung (WE)

Die höhere Risikostufe unter NIS2. Wesentliche Einrichtungen unterliegen einer proaktiven ('ex-ante') Aufsicht, einschließlich regelmäßiger Prüfungen und Vor-Ort-Inspektionen. Bußgelder können 10 Mio. € oder 2 % des weltweiten Jahresumsatzes erreichen. WE umfassen Betreiber in Anhang-I-Sektoren (Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastruktur, Gesundheit, digitale Infrastruktur, verwaltete IKT-Dienste, öffentliche Verwaltung und Raumfahrt).

Wichtige Einrichtung (WI)

Die niedrigere Risikostufe unter NIS2. Wichtige Einrichtungen unterliegen einer reaktiven ('ex-post') Aufsicht, Behörden handeln nur bei Hinweisen auf Nichteinhaltung. Bußgelder können 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes erreichen.

Artikel-21-Sicherheitsmaßnahmen

Die 10 obligatorischen Cybersicherheits-Risikomanagementmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen: (1) Risikoanalyse und Sicherheitsrichtlinien; (2) Incident-Handling; (3) Business Continuity und Backup; (4) Lieferkettensicherheit; (5) Netzwerk- und Informationssystemsicherheit; (6) Bewertung der Effektivität von Sicherheitsmaßnahmen; (7) Cybersicherheitsschulungen; (8) Kryptographie und Verschlüsselung; (9) Personalressourcensicherheit und Zugangskontrolle; (10) Multi-Faktor-Authentifizierung.

Computer Security Incident Response Team. Unter NIS2 muss jeder EU-Mitgliedsstaat einen oder mehrere CSIRTs als Empfänger von Vorfallsmeldungen benennen. CSIRTs analysieren Bedrohungen, koordinieren die Vorfallsreaktion und tauschen Informationen über das EU-CSIRT-Netzwerk aus.

Die Agentur der Europäischen Union für Cybersicherheit. ENISA unterstützt die NIS2-Umsetzung durch Leitlinien, den NIS360-Länderbewertungsbericht, Bedrohungsaufklärung über CERT-EU und das EU-CyCLONe-Krisenkoordinationsnetzwerk. ENISA beaufsichtigt Einrichtungen nicht direkt.

Die von jedem EU-Mitgliedsstaat benannte nationale Stelle zur Überwachung der NIS2-Compliance in bestimmten Sektoren. Zuständige Behörden können Prüfungen durchführen, Informationen anfordern, verbindliche Anweisungen erteilen und Bußgelder verhängen.

Ein meldepflichtiger Vorfall gemäß Artikel 23 NIS2. Ein Vorfall ist erheblich, wenn er (a) schwerwiegende Betriebsunterbrechungen oder finanzielle Verluste verursacht hat oder verursachen könnte; oder (b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen könnte.

Frühwarnung (24-Stunden-Meldung)

Die erste obligatorische Meldestufe unter NIS2. Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls müssen Einrichtungen ihren CSIRT benachrichtigen. Die Frühwarnung muss angeben, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, und eine vorläufige Bewertung enthalten.

20 Begriffe

NIS2 & CER Glossar

Alle wesentlichen Fachbegriffe aus der NIS2- und CER-Richtlinie, mit Artikelreferenzen und klaren Definitionen für Compliance-Teams und IT-Manager.

A

Artikel-21-SicherheitsmaßnahmenArt. 21: Die 10 obligatorischen Cybersicherheits-Risikomanagementmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen: (1) Risikoanalyse und Sicherheitsrichtlinien; (2) Incident-Handling; (3) Business Continuity und Backup; (4) Lieferkettensicherheit; (5) Netzwerk- und Informationssystemsicherheit; (6) Bewertung der Effektivität von Sicherheitsmaßnahmen; (7) Cybersicherheitsschulungen; (8) Kryptographie und Verschlüsselung; (9) Personalressourcensicherheit und Zugangskontrolle; (10) Multi-Faktor-Authentifizierung.
Anhang-I-Sektoren (NIS2)Annex I: Die 11 hochkritischen Sektoren, deren Betreiber als Wesentliche Einrichtungen unter NIS2 gelten (vorbehaltlich Größenschwellenwerte): (1) Energie; (2) Verkehr; (3) Banken; (4) Finanzmarktinfrastruktur; (5) Gesundheit; (6) Trinkwasser; (7) Abwasser; (8) Digitale Infrastruktur; (9) IKT-Dienstverwaltung; (10) Öffentliche Verwaltung; (11) Raumfahrt.
Anhang-II-Sektoren (NIS2)Annex II: Die 7 weiteren kritischen Sektoren, deren Betreiber als Wichtige Einrichtungen unter NIS2 gelten: (1) Post- und Kurierdienste; (2) Abfallwirtschaft; (3) Chemikalienherstellung; (4) Lebensmittelproduktion; (5) Herstellung (Medizinprodukte, Computer, Maschinenbau, Kfz); (6) Digitale Anbieter; (7) Forschungseinrichtungen.

B

Business ContinuityArt. 21(2)(c): Gemäß Artikel 21(2)(c) NIS2 obligatorisch. Einrichtungen müssen Business-Continuity-Management implementieren, einschließlich Backup-Verfahren, Notfallwiederherstellungspläne und Krisenmanagement, um die Dienstverfügbarkeit bei erheblichen Vorfällen sicherzustellen.

C

CSIRT: Computer Security Incident Response Team. Unter NIS2 muss jeder EU-Mitgliedsstaat einen oder mehrere CSIRTs als Empfänger von Vorfallsmeldungen benennen. CSIRTs analysieren Bedrohungen, koordinieren die Vorfallsreaktion und tauschen Informationen über das EU-CSIRT-Netzwerk aus.
CER-Richtlinie: Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (2022/2557). CER ist der 'physische Zwilling' von NIS2, während NIS2 Cybersicherheit adressiert, behandelt CER physische Resilienz (Naturkatastrophen, Terroranschläge, Insider-Bedrohungen). CER gilt für 11 Sektoren.

D

Durchführungsverordnung 2024/2690: Durchführungsverordnung (EU) 2024/2690 der Kommission, verabschiedet im Oktober 2024. Diese Verordnung legt verbindliche technische und methodische Anforderungen für Artikel-21-Sicherheitsmaßnahmen für bestimmte Einrichtungen in den Bereichen digitale Infrastruktur und digitale Dienste fest. Sie ist unmittelbar anwendbar.

E

ENISA: Die Agentur der Europäischen Union für Cybersicherheit. ENISA unterstützt die NIS2-Umsetzung durch Leitlinien, den NIS360-Länderbewertungsbericht, Bedrohungsaufklärung über CERT-EU und das EU-CyCLONe-Krisenkoordinationsnetzwerk. ENISA beaufsichtigt Einrichtungen nicht direkt.
Erheblicher VorfallArt. 23: Ein meldepflichtiger Vorfall gemäß Artikel 23 NIS2. Ein Vorfall ist erheblich, wenn er (a) schwerwiegende Betriebsunterbrechungen oder finanzielle Verluste verursacht hat oder verursachen könnte; oder (b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen könnte.
EU-CyCLONeArt. 16: Das Cyber-Krisen-Verbindungsnetz. EU-CyCLONe bringt nationale Cyber-Krisenmanagementbehörden zusammen, um groß angelegte grenzübergreifende Cybersicherheitsvorfälle und -krisen zu koordinieren.

F

Frühwarnung (24-Stunden-Meldung)Art. 23(4)(a): Die erste obligatorische Meldestufe unter NIS2. Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls müssen Einrichtungen ihren CSIRT benachrichtigen. Die Frühwarnung muss angeben, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, und eine vorläufige Bewertung enthalten.

L

LieferkettensicherheitArt. 21(2)(d): Eine der 10 obligatorischen Artikel-21-Maßnahmen. Einrichtungen müssen Cybersicherheitsrisiken aus ihren Beziehungen zu direkten Lieferanten und Dienstleistern bewerten und managen. Die ENISA-Leitlinien zur Lieferkettensicherheit (Dezember 2023) bieten einen Rahmen für die Umsetzung.
LeitungsorganArt. 20: Gemäß Artikel 20 NIS2 muss das Leitungsorgan einer betroffenen Einrichtung, Vorstand, Geschäftsführung oder gleichwertige Stelle, Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und Cybersicherheitsschulungen absolvieren. Mitglieder des Leitungsorgans können persönlich haftbar gemacht werden.

M

Multi-Faktor-Authentifizierung (MFA)Art. 21(2)(j): Gemäß Artikel 21(2)(j) NIS2 für alle betroffenen Einrichtungen obligatorisch. MFA erfordert mindestens zwei unabhängige Faktoren zur Identitätsverifizierung. NIS2 schreibt MFA ausdrücklich für den Fernzugriff auf Netz- und Informationssysteme und privilegierte Konten vor.

N

NIS2-GrößenschwellenwerteArt. 2: NIS2 gilt für mittlere und große Unternehmen. Ein mittleres Unternehmen hat 50–249 Mitarbeiter UND einen Jahresumsatz von 10–50 Mio. €. Ein großes Unternehmen hat 250+ Mitarbeiter ODER einen Jahresumsatz von über 50 Mio. €. Kleinstunternehmen und kleine Unternehmen sind in der Regel ausgenommen.

P

Peer ReviewArt. 19: Gemäß Artikel 19 NIS2 nehmen Mitgliedsstaaten an gegenseitigen Prüfungen ihrer Cybersicherheits-Frameworks teil. Diese Überprüfungen werden von ENISA koordiniert.

S

SchwachstellenoffenlegungArt. 12: Artikel 12 NIS2 verlangt von jedem EU-Mitgliedsstaat eine koordinierte Schwachstellenoffenlegungsrichtlinie (CVD). ENISA unterhält die Europäische Schwachstellendatenbank (EUVD) als Ergänzung zur US-NVD.

W

Wesentliche Einrichtung (WE)Art. 3(1): Die höhere Risikostufe unter NIS2. Wesentliche Einrichtungen unterliegen einer proaktiven ('ex-ante') Aufsicht, einschließlich regelmäßiger Prüfungen und Vor-Ort-Inspektionen. Bußgelder können 10 Mio. € oder 2 % des weltweiten Jahresumsatzes erreichen. WE umfassen Betreiber in Anhang-I-Sektoren (Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastruktur, Gesundheit, digitale Infrastruktur, verwaltete IKT-Dienste, öffentliche Verwaltung und Raumfahrt).
Wichtige Einrichtung (WI)Art. 3(2): Die niedrigere Risikostufe unter NIS2. Wichtige Einrichtungen unterliegen einer reaktiven ('ex-post') Aufsicht, Behörden handeln nur bei Hinweisen auf Nichteinhaltung. Bußgelder können 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes erreichen.

Z

Zuständige BehördeArt. 8: Die von jedem EU-Mitgliedsstaat benannte nationale Stelle zur Überwachung der NIS2-Compliance in bestimmten Sektoren. Zuständige Behörden können Prüfungen durchführen, Informationen anfordern, verbindliche Anweisungen erteilen und Bußgelder verhängen.

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

🔧 Praktische Tools

Nutzen Sie unsere kostenlosen Compliance-Tools, um zu prüfen, ob NIS2 für Sie gilt, und um eine vollständige Artikel-21-Lückenanalyse durchzuführen.

🎯 Anwendungsbereichsprüfung →📊 Artikel-21-Lückenanalyse →🌍 Länder-Leitfäden →