und das deutsche Umsetzungsgesetz NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Die EU-weite Cybersicherheits-Richtlinie für wesentliche und wichtige Einrichtungen. Verpflichtet zu Risikomanagement, 24-Stunden-Meldepflichten und Lieferketten-Absicherung — mit persönlicher Haftung der Geschäftsleitung.
3 kurze Fragen — in 1 Minute haben Sie Klarheit.
Anwendbarkeits-Check startenInhalte zu Pflichten, Sanktionen und Verantwortung passen sich an Ihre Auswahl an.
Angepasst für Ihr Profil: Wesentliche Einrichtung · IT & Software · 50–249 Mitarbeitende · Deutschland
Sechs Pflichtbereiche der NIS-2-Richtlinie. Klicken Sie auf eine Karte für die branchenspezifische Vertiefung.
RACI-Verteilung der NIS-2-Pflichten.
| Pflicht | Geschäftsleitung | IT-Sicherheit | Datenschutz | Einkauf | Recht & Compliance | HR / Personal | Kommunikation | Details |
|---|---|---|---|---|---|---|---|---|
| Risikomanagementi | A | U | I | — | I | — | — | |
A
Geschäftsleitung Gbilligt & überwacht die MaßnahmenGesetzlich gefordert durch Art. 20 Abs. 1 NIS-2-RL: Die GL muss Maßnahmen genehmigen und die Umsetzung überwachen. U
IT-Sicherheit Esetzt die Maßnahmen operativ umPraxis-Empfehlung — in der Praxis übernimmt dies typischerweise die IT-Sicherheit (CISO / IT-Leitung). I
Datenschutz Einformiert über DSGVO-BezugSinnvoll wegen Überschneidungen von Art. 32 DSGVO (TOMs) und Art. 21 NIS-2-RL. I
Recht & Compliance Eprüft regulatorische AuslegungBerät bei Auslegung der Norm sowie bei Schnittstellen zu DSGVO, KRITIS und CRA. |
||||||||
| Vorfallsmeldung 24 hi | I | A | U | — | U | — | U | |
I
Geschäftsleitung Ewird informiertBest Practice: Die GL ist bei erheblichen Vorfällen zeitnah zu informieren. A
IT-Sicherheit Everantwortet Meldung an BSIPraxis-Empfehlung. Art. 23 NIS-2-RL nennt nur „die Einrichtung" als Meldepflichtige. U
Datenschutz Eprüft DSGVO-Bezug der MeldungBei Vorfällen mit personenbezogenen Daten greift parallel Art. 33 DSGVO. U
Kommunikation EKrisen- & KundenkommunikationSteuert externe Kommunikation an Kunden, Presse und betroffene Dritte. |
||||||||
| Lieferkettensicherheiti | I | U | — | A | U | — | — | |
I
Geschäftsleitung Einformiert über Lieferanten-RisikenEskalations-Stufe für kritische Lieferanten-Risiken. U
IT-Sicherheit Etechnische Bewertung der LieferantenPraxis-Empfehlung: führt Self-Assessments und Sicherheits-Audits durch. A
Einkauf Everantwortet Vertrag & AuditEinkauf führt die Lieferanten-Beziehung. U
Recht & Compliance EVertragsklauseln & Sicherheits-SLAsVerankert Sicherheitsanforderungen, Audit-Rechte und Incident-Notification-Klauseln. |
||||||||
| Schulungspflichti | A | U | — | — | I | U | — | |
A
Geschäftsleitung Gmuss selbst teilnehmenGesetzlich vorgegeben durch Art. 20 Abs. 2 NIS-2-RL: GL muss an Schulungen teilnehmen — dokumentationspflichtig. U
IT-Sicherheit Eerstellt Schulungs-InhalteEntwickelt Awareness-Module für GL und Mitarbeitende. U
HR / Personal Eorganisiert Schulungs-ProgrammPlant Termine, Teilnehmerlisten und Auffrischungs-Zyklen. |
||||||||
Die CISO Alliance bietet einen organisatorischen Rahmen für CISO-nahe Berufsbilder, um die Informationssicherheit in Organisationen zu steigern.
Mehr erfahren →
Normen, die sich mit der NIS-2 überschneiden oder sie ergänzen. Synergie kennzeichnet Punkte, die Sie für mehrere Pflichten gleichzeitig nutzen können. Klicken Sie für die Begründung.
Konkretisieren die NIS-2-Pflichten — Pflichtbasis für die operative Umsetzung.
Praxistools, Vorlagen und Schulungsunterlagen — kostenfrei zum Download.
Hinweis: Die bereitgestellten Materialien dienen als Praxis-Hilfe und ersetzen keine Rechtsberatung im Einzelfall. Stand: 12.05.2026.
Der Link führt zu einer externen Website. Die Inhalte werden vom externen Anbieter bereitgestellt und liegen nicht in der Verantwortung des LegalTrust Navigators.
—