NIS-2-Richtlinie verstehen & richtig umsetzen: Was Sie als Unternehmen jetzt wissen sollten

Die NIS-2-Richtlinie (EU) bringt für tausende betroffene Unternehmen neue Pflichten – von strengen technischen Anforderungen an das IKT-Sicherheitsmanagement über einzuhaltende Fristen bis zu umfangreichem Vorfallmeldewesen (Incident-Reporting). Erfahren Sie, welche Sektoren betroffen sind, wie das NIS-2-Umsetzungsgesetz aussieht, welche Unterschiede es zu DORA und ISO 27001 gibt, und wie Sie mit smarten Tools und der richtigen Beratung Ihre NIS-2-Umsetzung erfolgreich meistern.

 NIS-2 Whitepaper

Table of Contents

Autor
Martin Tanzer

Was ist NIS-2 und welche Ziele verfolgt sie?

Die NIS-2-Richtlinie (EU) 2022/2555, verabschiedet am 14. Dezember 2022, stellt einen grundlegenden Ausbau und die Weiterentwicklung der ersten NIS-Richtlinie von 2016 dar. Es handelt sich um eine umfassende EU-Regelung zur Cybersicherheit, die die Grundlage für den Schutz vernetzter Systeme in der EUbildet.

Die konkreten Ziele von NIS-2

  • Schutz wesentlicher und wichtiger Einrichtungen in kritischen Sektoren wie Energie, Verkehr, Gesundheitswesen, digitaler Infrastruktur und der öffentlichen Verwaltung
  • Harmonisierung der Cybersicherheitsanforderungen auf EU-Ebene, um ein freies, sicheres und stabileres digitales Ökosystem zu schaffen
  • Verstärkte Zusammenarbeit der Mitgliedstaaten, etwa über nationale CSIRTs oder Single Points of Contact
  • Effiziente Bearbeitung von Cybervorfällen auf nationaler sowie internationaler Ebene
  • Reduziertes Risiko aufgrund von Schwachstellen in der Lieferkette oder bei Anbietern von IKT-Services
Informationssicherheits-Management-Software
Erfolgsstrategien im Change Management

Bis wann muss NIS-2 umgesetzt werden?

Die NIS-2-Richtlinie trat am 16.01.2023 in Kraft und sollte von den Mitgliedstaaten bis spätestens 18.10.2024 in nationales Recht umgesetzt werden. In Deutschland erfolgt die Umsetzung durch das IT-Sicherheitsgesetz 3.0, in Österreich bekommt die Richtlinie durch das Netz- und Informationssystemsicherheitsgesetz einen rechtsgültigen Rahmen.

Da jedoch 19 Mitgliedstaaten, darunter auch Deutschland und Österreich, bei der Umsetzung bislang säumig blieben, erhielten diese am 7. Mai 2025 eine förmliche Mahnung („reasoned opinion“) durch die EU-Kommission, die ihnen weitere 2 Monate Zeit zur Umsetzung einräumte. Andernfalls würde der Gerichtshof der Europäischen Union mit der Agenda befasst werden.

Ist mein Unternehmen von NIS-2 betroffen?

NIS-2 beinhaltet im Vergleich zur ersten NIS-Richtline nicht nur deutlich strengere Auflagen, sondern auch eine Ausweitung des Geltungsbereiches. In Deutschland sind bislang nach KRITIS-Regulierung acht Sektoren als kritisch definiert. NIS-2 erhöht diese Zahl auf insgesamt 18 Sektoren.

Ersten Hochrechnungen zufolge sind dadurch allein in Deutschland 30.000 private und staatliche Institutionen (Behörden) von der neuen Regulierung betroffen. In Österreich dürfte die Zahl bei rund 4.000 liegen.

Ob ein Unternehmen unter NIS-2 fällt, richtet sich dabei im Wesentlichen nach zwei Kriterien

1. Unternehmensgröße

  • Großunternehmen: mind. 250 Mitarbeitende bzw. eine Jahresbilanzsumme von mind. 43 Mio. €
  • Mittlere Unternehmen: 50-249 Mitarbeitende bzw. eine Jahresbilanzsumme zwischen 10 und 43 Mio. €

2. Sektorzugehörigkeit

  • Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum 
  • Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes/herstellendes Gewerbe, Anbieter digitaler Dienste und Forschung 

Prinzipiell gilt, dass nur Unternehmen, die beide Kriterien erfüllen, als wesentliche oder wichtige Einrichtungen geführt werden und somit den Anforderungen von NIS-2 unterliegen. Die Registrierung samt Übermittlung spezifischer Information zur Einrichtung muss innerhalb von 3 Monaten bei der jeweils zuständigen nationalen Registrierungsstelle erfolgen.

Jedoch bestätigt wie so oft auch hier die Ausnahme die Regel, denn auch für kleine Unternehmen, die als Single-Source-Anbieter eines kritischen Dienstes fungieren oder deren Tätigkeit eine Schlüsselrolle für die öffentliche Ordnung, Sicherheit oder Gesundheit einnimmt, sieht NIS-2 konkrete Sonderregelungen vor.

Was sind die Unterschiede zwischen wesentlichen und wichtigen Einrichtungen?

Wesentliche EInrichtungen

  • Große Unternehmen in Sektoren mit hoher Kritikalität. Sie unterliegen strengeren Aufsichtsmaßnahmen, einschließlich regelmäßiger, anlassloser ex-ante-Kontrollen, und müssen bei schwerem Zuwiderhandeln mit Geldbußen bis zu 10 Mio. € oder 2 % des Jahresumsatzes rechnen.

Wichtige Einrichtungen

  • Mittlere Unternehmen in Sektoren mit hoher Kritikalität oder in sonstigen kritischen Sektoren. Sie sind primär ex-post-Kontrollen ausgesetzt, falls begründeter Verdacht besteht, und können mit Geldbußen bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes belegt werden.
Anpassung von Prozessen

Was sind die Hauptinhalte von NIS-2?

Nationale Cybersicherheitsstrategie

Nicht nur die betroffenen Einrichtungen selbst sind zur Umsetzung eines umfangreichen Cybersecurity-Frameworks verpflichtet, sondern auch jeder Mitgliedstaat für sich. Im Zuge einer nationalen Sicherheitsstrategie muss definiert werden,

  • was die Ziele und Prioritäten des jeweiligen Landes sind
  • durch welche Bewertungsmechanismen die relevanten Einrichtungen definiert werden können
  • welche konkreten Eskalationswege bei Sicherheitsvorfällen einzuhalten sind
  • welche neuen Technologien in dem Kontext besonders förderungswürdig sind
  • wie die eigenen Bürger:innen bestmöglich für das Thema Cybersicherheit sensibilisiert werden können

Zusätzlich müssen Computer-Notfallteams eingerichtet werden, die den betroffenen Einrichtungen als Anlaufstelle und Unterstützung dienen, um Risiken zu erkennen, präventive Maßnahmen zu treffen und angemessen auf Vorfälle zu reagieren. Zu diesen Notfallteams gehören sowohl CSIRTs (Computer Security Incident Response Teams) als auch CERTs (Computer Emergency Response Teams).

Verpflichtung der Leitung

Kein Risikomanagement funktioniert, wenn es vom Management nicht mitgetragen wird, was in NIS-2 durch den Begriff “Governance” ausgedrückt wird. NIS-2 verpflichtet die Leitung betroffener Einrichtungen zur Umsetzung eines Risikomanagements und Beauftragung eines konkreten Risikobehandlungsplans. Explizit Erwähnung finden auch die Themen Security Awareness sowie die Durchführung von Schulungen für Mitarbeiter:innen zur allgemeinen Sensibilisierung im Umgang mit Informationssicherheit.

Um dies sicherzustellen, erhalten nationale Behörden weitreichende Prüf- und Durchsetzungsbefugnisse, inklusive Zugriffsrechte, Sicherheitskontrollen und Bußgeldandrohungen.

IKT-Vorfall-Meldewesen

Im Falle des Falles unterliegen betroffene Einrichtungen laut NIS-2 einer "Berichtspflicht”. Dies bedeutet, dass sie “erhebliche” Sicherheitsvorfälle an die jeweils zuständigen nationalen Behörden melden müssen. Ein erheblicher Vorfall liegt dann vor, wenn er für die betroffene Einrichtung schwerwiegende Betriebsstörungen / finanzielle Verluste bedeutet oder juristischen / natürlichen Personen einen erheblichen (im)materiellen Schaden zufügt.

Das hierfür definierte Meldesystem ist mehrstufig:

  1. Erstmeldung: Frühwarnung samt einer ersten Einschätzung binnen 24 Stunden nach Kenntnisnahme des Vorfalls
  2. Update: Möglichst detaillierte Schadens- und Risikobewertung binnen 72 Stunden nach Kenntnisnahme des Vorfalls
  3. Abschlussbericht: Schadensbericht mit getroffenen und geplanten Maßnahmen innerhalb eines Monats nach Kenntnisnahme des Vorfalls

IKT-Risikomanagement

NIS-2 verpflichtet betroffene Einrichtungen zu einer “verhältnismäßigen” Risikoanalyse mit klarem Fokus auf Menschen, Prozesse, Technologie und die gesamte Lieferkette. Dabei soll der Mehrwert stets größer sein als der Aufwand und Unnötiges konsequent vom Notwendigen getrennt werden. Ein Kernaspekt ist neben einer wirksamen Business Continuity insbesondere der nachhaltige Schutz von Informationen, damit ihre Vertraulichkeit, Integrität und Verfügbarkeit jederzeit gewahrt bleiben.

Drittparteien-Risikomanagement

NIS-2 legt einen klaren Fokus auch auf Lieferketten, um zu verhindern, dass Probleme bei Dienstleistern oder anderen Auftragnehmern zum Stillstand kritischer Einrichtungen führen. Besonders kritisch sind Anbieter verwalteter IKT-Dienste, deren Ausfall gravierende Auswirkungen auf die Sicherheit und Funktionsfähigkeit der gesamten Organisation haben kann.

Information Sharing

Ein zentrales Anliegen von NIS-2 ist die Ermöglichung bzw. Verbesserung der internationalen Kooperation über nationale CSIRTs/CERTs, ENISA und Europol. Durch diesen Informationsaustausch soll einerseits ein abgestimmtes und einheitliches Vorgehen bei grenzüberschreitenden Sicherheitsvorfällen sichergestellt werden und andererseits die Einrichtung einer europäischen Schwachstellendatenbank ermöglicht werden, um voneinander zu lernen und sich noch besser auf mögliche Gefahren vorzubereiten.

Wie unterscheidet sich NIS-2 von DORA oder ISO 27001?

NIS-2 und DORA sind derzeit in Europa viel diskutiert. Eine konkrete Abgrenzung der zwei EU-Regulierungen ist auf den ersten Blick nicht immer leicht, zumal es tatsächlich einige Überschneidungen gibt. Besonders bei den Schutzzielen und Maßnahmen zeigen sich viele Gemeinsamkeiten. Doch worin unterscheiden sich NIS-2 und DORA?

Richtlinie zur Netzwerk- und Informationssicherheit (NIS2)

  • EU-Richtlinie (gilt erst nach Umsetzung in nationales Recht)
  • Breiter sektoraler Anwendungsbereich (insgesamt 18 Sektoren)
  • Reguliert die Informationssicherheit von wesentlichen und wichtigen Einrichtungen und ihren Zulieferern
  • Hat Cybersicherheit als Ziel (IKT-Risikomanagement, Vorfallmanagement, Krisenmanagement, IKT-Drittparteienmanagement, Schwachstellenanalyse und Informationsaustausch)
  • Fordert eine starke nationale Aufsicht durch eine Behörde für Cybersicherheit sowie die Etablierung von CSIRTs/CERTs
  • Informationsaustausch vorwiegend zwischen ENISA, dem CSIRT-Netzwerk und Europol

Digital Operational Resilience Act (DORA)

  • EU-Verordnung (gilt unmittelbar und ist direkt anwendbar)
  • Speziell für den Finanzsektor (z.B. Kreditinstitute, Zahlungsdienstleister, Ratingagenturen, Versicherungsunternehmen)
  • Reguliert die digitale operationale Resilienz von Finanzunternehmen und kritischen IKT-Dienstleistern
  • Hat Cybersicherheit und Resilienz als Ziel (wie NIS-2 + umfangreiches Risikomanagement mit Szenarioanalysen und Penetrationstests – Threat-Led Penetration Testing)
  • Nutzt bereits bestehende nationale Aufsichten und fordert eine neue EU-Aufsicht für kritische IKT-Dienstleister
  • Kooperation zwischen nationalen Behörden (inklusive NIS-Behörden) und EU-Behörden (ESA, EZB und ENISA)

ISO 27001

Ein weiterer Begriff, der in dem Kontext immer wieder auftaucht, ist ISO 27001. Dahinter versteckt sich der international anerkannte Standard für Informationssicherheit, Cybersicherheit und Datenschutz. ISO 27001 ist zwar selbst keine verpflichtende Verordnung, dennoch wird die Norm häufig im Zusammenhang mit NIS-2 und DORA genannt. Denn eine ISO 27001-Zertifizierung bildet eine wertvolle Grundlage, mit der betroffene Organisationen die Anforderungen aus NIS-2 und DORA deutlich effizienter umsetzen können.

Welche Strafen drohen bei Verstößen gegen NIS-2?

Die Höhe der Strafen bei Verstößen gegen NIS-2 richtet sich nach Klassifizierung und Jahresumsatz der betroffenen Einrichtung.

Das Strafmaß ist wie folgt festgesetzt:

  1. Wesentliche Einrichtungen:
    Bußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes (je nachdem, welcher Wert höher ist)
  2. Wichtige EInrichtungen:
    Bußgelder bis 7 Mio. € oder 1,4 % des Jahresumsatzes (je nachdem, welcher Wert höher ist)

Zusätzlich haften neben der Organisation im Allgemeinen auch die Geschäftsführung und der Vorstand persönlich. Diese Haftung wird schlagend, sofern sie keinen Nachweis erbringen können, angemessene Maßnahmen zum Risiko- und Informationssicherheitsmanagement umgesetzt zu haben. Dabei ist festzuhalten, dass Unwissenheit und fehlende Information prinzipiell nicht vor Bußgeldern und weiteren Sanktionen bis hin zur Abberufung schützen und keinen Grund für eine Strafmilderung darstellen.

Einbeziehung von Stakeholdern in das EAM

Welche Herausforderungen haben Unternehmen bei der Umsetzung von NIS-2?

slider icon

Unterschiedliche Reifegrade als Start-Voraussetzung

Einrichtungen, die schon in der Vergangenheit von NIS betroffen waren und womöglich sogar schon eine ISO 27001 Zertifizierung besitzen, haben bei NIS-2 nun einen klaren Startvorteil. Und tatsächlich berichten Unternehmen mit aufrechter ISO-Zertifizierung, dass ihre Vorbereitungsarbeit für NIS-2 schon zu rund 80% erledigt sei. Anders sieht es für Organisationen aus, die bisher nicht unter die Richtlinie gefallen sind und quasi bei null anfangen müssen. Für sie heißt es nun, das notwendige Equipment zu beschaffen, passende Cybersicherheitsmaßnahmen zu definieren, und das Bewusstsein für IKT-Risiken von der Führungsebene bis zu den Mitarbeitenden im Alltag zu verankern.

Kosten Icon

Ressourcenknappheit und Budgetdruck

Laut einer Ende 2024 durchgeführten Studie fließen in von NIS-2 betroffenen Unternehmen bis zu 80% des gesamten IT-Budgets in die Bereiche Cybersicherheit und Compliance. Abhängig von der Unternehmensgröße bewegen sich die Gesamtkosten zwischen 100 Tsd. € und 1 Mio. €. 95% der Einrichtungen berichten sogar, dass sie aktiv von anderen Unternehmensbereichen (Risiko- und Krisenmanagement, Personalbeschaffung, Notfallreserven) Budget abzweigen mussten, um den gestiegenen Bedarf für die Gewährleistung der NIS-2-Compliance zu decken. Denn der technologische und vor allem administrative Aufwand durch die verschärften Dokumentationspflichten ist groß. Besonders mittlere Unternehmen müssen einen Weg finden, die geforderte Qualität zu erreichen, ohne ihr Budget zu sehr zu belasten.

outsourcing icon

Komplexes Lieferketten-Risikomanagement

Moderne Lieferketten tendieren aufgrund ihrer Dynamik dazu, an Komplexität zuzunehmen. Für von NIS-2 betroffene Einrichtungen bedeutet das, dass sie nicht nur ihre eigenen Abläufe schützen, sondern auch wachsende Risiken entlang der gesamten Lieferkette (inklusive externer Dienstleister) im Blick behalten müssen. Zwar bietet ISO 27001 hierfür ein brauchbares Rahmenwerk, doch dessen Umsetzung ist oft zeit- und kostenintensiv, da eine zuverlässige Risikobewertung neben der aktiven Mitarbeit der Zulieferer auch regelmäßige Audits und eine umfassende Dokumentation erfordert.

modular und unabhängig icon

Uneinheitliche Standards in der Informationssicherheit

NIS-2 macht deutlich, dass der Trend hin zur Standardisierung von Cybersicherheitsmaßnahmen geht. Gleichzeitig bleibt die Richtlinie jedoch vage, wenn es um die konkrete Umsetzung geht. Die betroffenen Einrichtungen sind deshalb in vielen Fällen dazu gezwungen, die Vorgaben selbst für sich zu interpretieren. Das führt nicht nur zu unterschiedlichen Ansätzen je nach Branche oder Organisation, sondern auch zu großer Unsicherheit, wie Compliance insgesamt richtig umgesetzt werden soll.

Spezialfall: Bedeutung von NIS-2 für die öffentliche Verwaltung

Cybersicherheit sollte sowohl in strategischer als auch operativer Sicht fest in die Geschäftsprozesse einer Organisation integriert sein. Während dies in vielen Unternehmen bereits gelebte Praxis ist, tut sich der Staat damit ungleich schwerer. Die Vielzahl an staatlichen Einrichtungen und Prozessen macht es schwierig, den Überblick zu behalten, und wichtigen Entscheidungen ist oft eine große Portion Bürokratie vorgelagert. Hinzu kommt, dass beratende Organe nicht selten auch eigene Interessen verfolgen und dadurch notwendige Fortschritte verlangsamt werden.

[Translate to DE:] NIS 2 challenges public sector

Was die Umsetzung von NIS-2 für Behörden besonders anspruchsvoll macht

Mit NIS-2 rückt die öffentliche Verwaltung nun jedoch besonders in den Fokus. Sie gehört zu den hochkritischen Sektoren und trägt damit eine große Verantwortung. Hinzu kommt, dass Behörden nicht nur ihre eigenen Systeme absichern müssen, sondern auch als Vorbild für andere Einrichtungen auftreten. Gleichzeitig sind sie in vielen Fällen die erste Anlaufstelle für Bürger:innen, sodass ein Ausfall gravierende Auswirkungen auf die Gesellschaft hätte. Umso wichtiger ist es, dass die Verwaltung klare Strukturen schafft und eine flächendeckende Sicherheitskultur etabliert, die von der Führungsebene bis in den täglichen Betrieb hineinwirkt.

  • Datenschutz: Die in der öffentlichen Verwaltung gespeicherten Daten und Informationen sind oft besonders sensibel (z. B. Gesundheits-, Steuer- oder Personenstandsdaten) und erfordern daher spezielle Schutzmechanismen.
  • Strukturelle Komplexität: Zahlreiche Schnittstellen und Stakeholder:innen erfordern ein integriertes und ressortübergreifend koordiniertes Risikomanagement.
  • Hohe Prozess- und Dokumentationslast: Meldesysteme, Business Continuity und Incident-Reporting müssen trotz langwieriger Verwaltungsabläufe lückenlos und fristgerecht funktionieren.
  • Personelle Engpässe: Knappe Budgets und fehlendes Fachpersonal machen den Einsatz unterstützender Tools und Automatisierungslösungen unverzichtbar.

Checkliste für Unternehmen zur Umsetzung von NIS-2

Unternehmensrisiken icon
Schritt 01

NIS-2-Betroffenheit überprüfen

Überprüfen Sie am besten selbst, ob Ihre Einrichtung aufgrund ihrer Größe, ihres Jahresumsatzes und ihrer Branchenzugehörigkeit unter die NIS-2-Richtlinie fällt. Die zuständigen Behörden nehmen Ihnen diese Aufgabe leider nicht ab.

[Translate to DE:] gap analysis
Schritt 02

Gap-Analyse durchführen

NIS-2 bedeutet höchstwahrscheinlich erhöhte Anforderungen an Ihr IKT-Management und verwandte Risikomanagementbereiche. Identifizieren Sie Lücken in Ihrem aktuellen Set-up und treffen Sie Maßnahmen für Netzwerksicherheit, Lieferkettensicherheit, Störungsmanagement, etc.

[Translate to DE:] Security framework
Schritt 03

Security-Framework festlegen

Entwickeln Sie technische und organisatorische Maßnahmen, um Geschäftskontinuität auch im Krisenfall zu gewährleisten. Dazu gehören etwa das Anlegen von Notfall- und Systemwiederherstellungsplänen, die Zuweisung von Verantwortlichkeiten in der Organisation oder die Festlegung des notwendigen Budgetrahmens.

Prozess Icon
Schritt 04

Prozesse festlegen

Definieren Sie konkrete Maßnahmen und Prozesse entlang der NIS-2-Anforderungen an Ihr IKT-Risikomanagement. Dazu zählen etwa Abläufe für Risikoanalyse, -bewertung und -behandlung, Vorfallmanagement samt Eskalationspfad an die zuständigen Behörden, Lieferkettenkontrolle oder Schulungsdurchführung.

[Translate to DE:] security software
Schritt 05

Software einführen

Um Ihrer Einrichtung die NIS-2-Compliance zu erleichtern, gibt es Risikomanagement-Software, die sich genau auf diesen Anwendungsfall spezialisiert hat. Katalogisieren Sie zunächst Ihre Anforderungen und vergleichen dann die verfügbaren Anbieter. Wählen Sie die passendste Software, testen Sie sie in einer Pilotphase und starten Sie anschließend, wenn alles passen sollte, den Roll-out.

[Translate to DE:] Monitoring
Schritt 06

Überwachungsmaßnahmen festlegen

Implementieren Sie Mechanismen zur kontinuierlichen Überprüfung der Wirksamkeit Ihrer Prozesse und Maßnahmen. Führen Sie regelmäßige interne Kontrollen und Audits durch, um festzustellen, ob Ihr Unternehmen ausreichend gegen Cyberattacken geschützt ist und ob im Ernstfall die Meldung an die Behörden ordnungsgemäß funktioniert.

NIS-2 einfach und effizient umsetzen
mit BIC GRC von GBTEC

Mit BIC GRC bietet GBTEC eine leistungsstarke und umfassende Plattform, die Sie bei der Umsetzung von NIS-2 optimal unterstützt. Dank nahtlos integrierter Module für Risikomanagement, Informationssicherheit, Datenschutz, Business Continuity, interne Kontrollen und Audits schützen Sie Ihre Organisation wirksam gegen Cyberbedrohungen aller Art und sorgen gleichzeitig für eine transparente, nachweisbare und vollständige Erfüllung aller Anforderungen des NIS-2-Umsetzungsgestzes.

  • Entwicklung eines ganzheitlichen Risikokonzepts zur konsequenten Identifikation, gründlichen Bewertung und proaktiven Behandlung von IT-Risiken
  • Vorhinterlegter Assessment-Katalog zur einfachen Implementierung von NIS-2
  • Detaillierte IT-Sicherheitsanalyse samt BIA (Business Impact Analysis) und einer systematischen Identifikation von Schwachstellen
  • Effizientes Vorfallmanagement durch strukturierte Workflows
  • Robustes Krisen- und Business-Continuity-Management inklusive Notfallpläne, Notfallmaßnahmen und Wiederanlaufpläne
  • Verlässliches Lieferanten- und Partnermanagement (Anbieterverwaltung, Vertragsmanagement, Monitoring und Sicherheitsbewertung, Wiedereingliederungspläne)
  • Revisionssichere Archievierung sämtlicher im System dokumentierter Informationen und umfangreiche Reporting-Funktionen
[Translate to DE:] BIC GRC Modules

Die wichtigsten Infos zur NIS-2-Richtlinie (EU) zusammengefasst

Die NIS-2-Richtlinie markiert einen Meilenstein in der europäischen Cybersicherheit. Sie erweitert den Kreis der betroffenen Unternehmen deutlich und stellt höhere Anforderungen an Informationssicherheit, Risikomanagement und Vorfallmeldung. Besonders hervorzuheben sind die klaren Pflichten für Geschäftsleitungen sowie die hohen Bußgelder bei Verstößen.

Betroffene Einrichtungen müssen die Wirksamkeit ihrer aktuellen Prozesse überprüfen, Lücken identifizieren und Maßnahmen in den Bereichen IKT- Risikomanagement, Business Continuity, Lieferkettenkontrolle und Incident-Reporting implementieren. Die Herausforderung liegt dabei nicht nur in der Komplexität der Richtlinie, sondern auch in knappen Budgets und fehlenden Ressourcen.

Wer jedoch frühzeitig handelt, profitiert von einem klaren Sicherheitsvorsprung und höherer Resilienz im Krisenfall. Unterstützende Frameworks wie ISO 27001 und spezialisierte Softwarelösungen wie BIC GRC von GBTEC können die Umsetzung erheblich erleichtern.

Über den Experten

Martin Tanzer

GRC Solutions Architect

Martin Tanzer greift auf viele Jahre beruflicher Selbstständigkeit zurück, in der er unter anderem Datenschutzmanagementsysteme konzipiert und implementiert hat. Als IT- & Organisationscoach konzentrierte er sich zusätzlich auf die Durchführung von Datenschutzschulungen, um einen kompetenten Umgang mit diesen Systemen zu fördern. Seit über einem Jahr ist er als GRC Solutions Architect bei GBTEC für die Entwicklung, Modifikation und Weiterentwicklung der BIC GRC Standard Solutions verantwortlich und schafft so die Grundlage für die standardkonformen, rasch einsetzbaren, Softwarelösungen von GBTEC.

LinkedIn

Haben Sie Fragen?

Haben Sie Fragen zu unseren Produkten oder Dienstleistungen?
Unsere Experten sind Ihnen gerne behilflich und freuen sich auf Ihre Anfrage.

Kontakt+43 1 3670876 -0

Erweitern Sie Ihr Wissen mit unseren E-Learnings zu BPM & GRC.

Zum GBTEC Learning Hub