Haque. Arbeitsrecht | Compliance

Menü

0221 292 301 10
kontakt@arbeitsrecht-haque.de
Kontakt aufnehmen

NIS2-Richtlinie: Checkliste für betroffene Unternehmen

25. November 2025
Von: Daud Haque (Anwalt für Arbeitsrecht)

Sind Sie bereit für NIS2? Eine umfassende Checkliste

Die NIS2-Richtlinie (Network and Information Security 2) ist die neue EU-weite Gesetzgebung zur Stärkung der Cybersicherheit. Sie löst die bisherige NIS-Richtlinie ab und erweitert sowohl den Kreis der betroffenen Sektoren als auch die Anforderungen an die Unternehmen erheblich. Die nationale Umsetzung in Deutschland erfolgt unter anderem durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Stichtag für die Umsetzung in nationales Recht ist der 17. Oktober 2024. Unternehmen sollten sich daher dringend mit den neuen Pflichten auseinandersetzen.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen "wesentlichen" (Annex I) und "wichtigen" (Annex II) Einrichtungen. Die Betroffenheit richtet sich nach der Sektorzugehörigkeit und der Unternehmensgröße (Mitarbeiterzahl, Jahresumsatz/Bilanzsumme). Zu den neu erfassten Sektoren gehören beispielsweise Anbieter von digitalen Diensten (z.B. soziale Netzwerke, Cloud-Computing-Dienste), Hersteller kritischer Produkte, Abfallwirtschaft, Post- und Kurierdienste sowie die Lebensmittelproduktion und -verarbeitung.

Unsere Checkliste zur Vorbereitung auf NIS2:

  1. Betroffenheitsanalyse:
    • Fällt Ihr Unternehmen aufgrund seiner Größe und Sektorzugehörigkeit unter NIS2?
    • Wenn ja, als "wesentliche" oder "wichtige" Einrichtung?
  2. Risikomanagementmaßnahmen:
    • Haben Sie ein dokumentiertes Risikomanagement für Ihre Netz- und Informationssysteme?
    • Sind Ihre Sicherheitsmaßnahmen (technisch und organisatorisch) angemessen und dem Risiko entsprechend? (z.B. Incident Handling, Business Continuity, Lieferkettensicherheit, Kryptografie)
  3. Meldepflichten bei Sicherheitsvorfällen:
    • Gibt es einen etablierten Prozess zur Identifizierung und Meldung erheblicher Sicherheitsvorfälle an die zuständige Behörde (z.B. BSI) und ggf. an Betroffene innerhalb der gesetzlichen Fristen (Erstmeldung oft binnen 24 Stunden)?
  4. Verantwortlichkeit der Leitungsebene:
    • Ist die Geschäftsleitung über ihre Verantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen informiert und kommt dieser nach?
    • Sind entsprechende Schulungen für die Leitungsebene vorgesehen?
  5. Lieferkettensicherheit:
    • Berücksichtigen Ihre Verträge mit Lieferanten und Dienstleistern Cybersicherheitsaspekte?
    • Werden die Sicherheitsstandards Ihrer Lieferanten bewertet?
  6. Dokumentation und Nachweispflichten:
    • Können Sie die Einhaltung der NIS2-Vorgaben nachweisen?
    • Sind Ihre Maßnahmen und Prozesse ausreichend dokumentiert?

Was droht bei Nichteinhaltung?

Verstöße gegen die NIS2-Richtlinie können mit empfindlichen Bußgeldern geahndet werden. Für wesentliche Einrichtungen können dies bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes sein, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 %.

Wir unterstützen Sie!

Die Arbeitsrechtsboutique Haque berät Sie umfassend bei der Analyse Ihrer Betroffenheit und der rechtssicheren Umsetzung. Erfahren Sie mehr über unsere spezialisierte NIS-2 Beratung oder vereinbaren Sie direkt einen Termin für ein Erstgespräch.

Relevante Insights

datenschutz 25. November 2025

Datenschutz im Homeoffice: Praktische Tipps für Unternehmen

Mobile Arbeit und Homeoffice sind etabliert, doch der Datenschutz stellt weiterhin eine Herausforderung dar. So gewährleisten Sie DSGVO-Konformität auch außerhalb des Büros.
Mitgliedschaften:
Logo Deutscher Anwaltverein Logo Arbeitsgemeinschaft Arbeitsrecht im DAV Logo Kölner Anwaltverein Logo anwalt.de