Question 1

Wesentliche oder wichtige Einrichtung — wie unterscheide ich?

Accepted Answer

Nach § 28 BSIG: 'Wesentliche Einrichtungen' sind Großunternehmen (≥250 MA oder ≥50 Mio. EUR Umsatz) in 11 Hochkritikalitäts-Sektoren (Energie, Transport, Bank, Gesundheit, etc.). 'Wichtige Einrichtungen' sind mittlere Unternehmen (50-249 MA, ≤50 Mio. EUR Umsatz) in 18 Sektoren. Ausnahme: Kommunen, KRITIS sind unabhängig von der Größe wesentlich.

Question 2

49 Mitarbeitende — wirklich raus aus NIS2?

Accepted Answer

Größtenteils ja, aber Vorsicht: Sektor-Sonderregeln greifen unabhängig von Größe (z. B. öffentl. Verwaltung, einige TK-Anbieter, Vertrauensdiensteanbieter). Außerdem: Konzernzugehörigkeit (§28 Abs. 4) kann verbundene Unternehmen einbeziehen. Praxis-Tipp: vollständige Scope-Analyse statt Bauchgefühl.

Question 3

Sind Tochtergesellschaften automatisch betroffen?

Accepted Answer

Nicht automatisch, aber bei Konzern-Konsolidierung: Die Mitarbeiter- und Umsatzschwellen gelten konzernweit (§ 28 Abs. 4). Ergebnis: viele Tochter-GmbHs sind 'wichtige Einrichtungen', auch wenn sie isoliert <50 MA hätten. Eigene BSI-Registrierung pro betroffener Einheit erforderlich.

Question 4

BSI-Registrierungsfrist 06.03.2026 verpasst — was tun?

Accepted Answer

Sofort nachholen über das 'Mein Unternehmenskonto'-Portal. Die Frist ist abgelaufen, aber das BSI verfolgt aktuell vorrangig systematische Verstöße — verspätete Registrierung wird nicht als eigenständiger Verstoß sanktioniert, fehlende Registrierung sehr wohl. Sanktionsrahmen: bis 7-10 Mio. EUR / 1,4-2 % Umsatz.

Question 5

Reicht ISO 27001 als NIS2-Nachweis?

Accepted Answer

Größtenteils ja, mit Lücken. ISO 27001 deckt 70-80 % der § 30 BSIG-Anforderungen ab. Lücken: NIS2-Meldepflichten 24h/72h/30d (§ 32), Lieferketten-Sorgfalt (§ 30 Abs. 2 Nr. 5), § 38 BSIG-Geschäftsleitungsbillung. Mapping-Workbook + Ergänzungen im NIS2-Kit schließen die Lücken.

Question 6

MFA überall Pflicht?

Accepted Answer

Ja, faktisch. § 30 Abs. 2 Nr. 10 BSIG verlangt 'Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung'. BSI-Empfehlung: alle Admin-Konten + alle externen Zugänge (VPN, Cloud) mit MFA. Bei reiner Mitarbeiter-Office-Nutzung (kein remote/elevated): risikobasiert begründbar.

Question 7

Wer haftet, wenn die Geschäftsleitung die Risikomaßnahmen nicht billigt?

Accepted Answer

Nach § 38 Abs. 1 BSIG: die Geschäftsleitung selbst — Pflicht zur Billigung ist nicht delegierbar. § 38 Abs. 5 sieht persönliche Innenhaftung gegenüber der Einrichtung vor; Verzicht/Vergleich erst nach 3 Jahren. Externe Bußgelder treffen die Einrichtung; Innenausgleich gegen GF-Privatvermögen ist möglich.

Question 8

Wie oft muss die Geschäftsleitung geschult werden?

Accepted Answer

Das BSIG nennt keine Frequenz. BSI-Empfehlung (Handreichung Geschäftsleitung 2024): bei Antritt + jährliche Auffrischung. Praxis-Standard: Halbjährlich für GL wesentlicher Einrichtungen, jährlich für wichtige. Online-Schulung mit Wissenstest und Zertifikat erfüllt die Anforderung.

Question 9

24h-Frühwarnung — in welcher Form?

Accepted Answer

Eingangsbestätigung beim BSI über das 'Mein Unternehmenskonto'-Portal binnen 24h ab Kenntnis eines signifikanten Vorfalls. Inhalt: erste Bewertung, kein vollständiger Bericht. Die Definition 'signifikanter Vorfall' ist in der EU-DurchführungsVO 2024/2690 technisch definiert (Anzahl betroffener Nutzer, Schaden, etc.).

Question 10

IT outsourced — trotzdem in NIS2-Pflicht?

Accepted Answer

Ja. Der Auftraggeber bleibt vollumfänglich verantwortlich. Pflicht: Lieferketten-Sicherheit nach § 30 Abs. 2 Nr. 5 BSIG — Vertragsklauseln zu Cybersecurity, Vorfallsmeldung des Dienstleisters an Auftraggeber, Right-to-Audit. Cloud-Anbieter sind separat NIS2-pflichtig (eigene Registrierung).

Question 11

Welche Vertragsklauseln brauchen wir mit IT-Dienstleistern?

Accepted Answer

Mindestens: Information bei Vorfällen (24h-Pflicht weitergegeben), Recht auf Audit/Pentest, Sicherheits-Mindeststandards, Right-to-Audit, Notfall-Schnittstelle. BSI hat Muster-Klauseln in der NIS2-Handreichung 'Cybersicherheit in der Lieferkette' veröffentlicht.

Question 12

NIS2 vs. ISO 27001 vs. TISAX?

Accepted Answer

Drei verschiedene Welten: NIS2 ist gesetzliche Pflicht (BSIG); ISO 27001 ist freiwillige Zertifizierung (intern. Standard); TISAX ist Automotive-Spezialstandard. Überlappung: ISO 27001 und TISAX decken viele NIS2-Anforderungen ab. Mapping: NIS2-Kit liefert Crosswalk-Tabelle.

Question 13

NIS2 vs. DORA — was gilt für Banken?

Accepted Answer

DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist lex specialis für Finanzentitäten. Wer unter DORA fällt, ist von NIS2 ausgenommen (Art. 4 NIS2-RL). Praxis: Banken, Versicherungen, Zahlungsdienstleister → DORA. Nicht-Finanz-Töchter eines Bank-Konzerns → ggf. NIS2.

Question 14

Bußgeld auch ohne tatsächlichen Vorfall?

Accepted Answer

Ja, möglich. Bußgeldbewehrt sind Pflichtverstöße — fehlende Risikomaßnahmen nach § 30 BSIG, fehlende Geschäftsleitungs-Billigung nach § 38, fehlende Registrierung. Auch ohne konkreten Schaden. BSI-Aufsicht prüft anlassunabhängig.

Question 15

Bußgeld gegen Geschäftsführer persönlich möglich?

Accepted Answer

Bußgelder treffen die Einrichtung. ABER: § 38 Abs. 5 BSIG sieht persönliche Innenhaftung der Geschäftsleitung gegenüber der Einrichtung vor. Wenn das Unternehmen ein Bußgeld zahlt und die Pflichtverletzung der GF anzulasten ist, kann das Unternehmen den GF persönlich in Regress nehmen. D&O-Versicherung greift bei grober Fahrlässigkeit nicht zwingend.

Question 16

Externer Audit Pflicht?

Accepted Answer

§ 30 BSIG verlangt 'Konzepte zur Beurteilung der Wirksamkeit'. Eine externe Audit-Zertifizierung ist nicht zwingend, aber praktisch hilfreich. ISO 27001-Zertifizierung deckt einen Großteil ab. Pentest-Anforderung explizit nicht im Gesetz, aber BSI-Empfehlung.

Question 17

Logs — wie lange aufbewahren?

Accepted Answer

Das BSIG nennt keine konkrete Aufbewahrungsfrist. Branchen-Standard: mindestens 12 Monate, bei Vorfällen 36 Monate. DSGVO-Konflikt beachten: Logs mit personenbezogenen Daten unterliegen Art. 5 Abs. 1 lit. e (Speicherbegrenzung). Anonymisierung/Pseudonymisierung bei langfristiger Aufbewahrung empfohlen.

Question 18

Was ist der Unterschied zwischen NIS2-RL und NIS2UmsuCG?

Accepted Answer

Die NIS2-Richtlinie (EU 2022/2555) ist das EU-Recht. NIS2UmsuCG ist das deutsche Umsetzungsgesetz, in Kraft seit 06.12.2025. Es novelliert das BSIG. Ab dem Inkrafttreten gelten in Deutschland §§ 28-60 BSIG-neu — auf diese paragrafen sollten Verträge, Policies und Schulungsmaterialien Bezug nehmen.

Question 19

Was passiert nach dem Kauf? Behalte ich die Vorlagen dauerhaft?

Accepted Answer

Ja. Nach dem Kauf erhalten Sie einen Download-Link mit allen personalisierten Word-Vorlagen. Die Dateien gehören Ihnen vollständig — Sie können sie speichern, in Ihre Compliance-Infrastruktur integrieren, intern weiterbearbeiten, archivieren. Es gibt keine Cloud-Abhängigkeit, keine Lizenz-Aktivierung pro Gerät, keine Internet-Verbindung für die Nutzung erforderlich.

Question 20

Was bedeutet „einmal kaufen, immer aktuell"?

Accepted Answer

Sie erhalten alle Updates des Kits, solange das Kit in seiner aktuellen Major-Version geführt wird. Updates kommen bei Behörden-Auslegungsänderungen, neuer Rechtsprechung und bekannten Folge-Phasen einer Verordnung. Bei substantiell neuer Verordnung 50% Bestandskunden-Rabatt.

Question 21

Was deckt die Geld-zurück-Garantie (Details AGB § 8) ab?

Accepted Answer

Bei rechtlich nachweisbar falschem Inhalt erstatten wir Kaufpreis plus Folgekosten bis maximal 2× Kaufpreis. Frist 60 Tage ab Lieferdatum. Beweis durch anwaltliches Schreiben oder Behörden-Stellungnahme.

NIS2 Compliance Kit

Konkrete Risiken & Bußgeld-Praxis

Persönliche GF-Haftung

Meldepflicht 24h/72h

Bußgelder bis 10 Mio. EUR

72 Dokumente, sofort einsetzbar

Wählen Sie Ihr Paket

Multi-Lizenz für Unternehmensgruppen

Häufige Fragen zum NIS2 Kit

Häufig zusammen gekauft

DSGVO Kit

AI Act Kit

Jetzt NIS2 Compliance sicherstellen