Die NIS2-Richtlinie bringt weitreichende Änderungen für die Cybersicherheit in Europa mit sich. Zwei Jahre nach ihrer Veröffentlichung stehen viele Organisationen vor der Herausforderung, diese komplexen Anforderungen umzusetzen. Wir geben einen klaren Überblick über die versteckten Konsequenzen und praktische Hinweise zur erfolgreichen Anpassung an die neuen Regelungen.
Die NIS-2-Richtlinie soll die Cybersicherheit in Europa verbessern. Unsere „Checkliste zur Umsetzung der NIS2-Anforderungen“ soll einen ersten Überblick über relevante Themenfelder bieten. Sie erhebt keinen Anspruch auf Vollständigkeit, berücksichtigt auch nicht alle Aspekte, bietet jedoch einen guten Einstieg in das Thema!
(Bild: Gorodenkoff - stock.adobe.com)
Das NIS2-Umsetzungs- und Cybersicherheitsgesetz (NIS2umsuCG) sieht weitreichende Änderungen vor und modernisiert grundlegend das BSI-Gesetz, das wir im Folgenden als „BSIG (neu)“ bezeichnen. Da die EU-Richtlinie NIS-2 bis zum 17. Oktober 2024 in nationales Recht umgewandelt werden muss und der Gesetzesentwurf keine Übergangsfrist vorsieht, ist es dringend notwendig, sich mit den Änderungen zu beschäftigen, auch wenn Bundestag und Bundesrat das Gesetz vermutlich erst im März 2025 final verabschieden werden.
Im §30 BSIG (neu) werden zentrale Anforderungen für „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ festgelegt
Risikomanagement (Abs. 2 Nr. 1)
Vulnerability Management und Incidentmanagement (Abs. 2 Nr. 2)
Business Continuity Management (Abs. 2 Nr. 3)
Dienstleistersteuerung/ Lieferantenmanagement (Abs. 2 Nr. 4)
Beschaffungsprozesse sowie ein allgemeines ISMS (Abs. 2 Nr. 5)
Prozesse zur Wirksamkeitsanalyse (Abs. 2 Nr. 6)
Awareness- und Schulungskonzept zur Cyberhygiene (Abs. 2 Nr. 7)
Konzept zum Einsatz von Kryptographie (Abs. 2 Nr. 8)
Zutrittssteuerung, Personalsicherheit, Rollen- und Rechtekonzepte, Zugriffssteuerung sowie Perimetermanagement (Abs. 2 Nr. 9)
Einsatz von MFA, Authentisierungskonzept (Abs. 2 Nr. 10)
Diese Schwerpunkte spiegeln sich in jedem umfassenden Informationssicherheitsmanagementsystem wider. Zusätzlich fordert §30 Abs. 2 BSIG (neu) die Einhaltung des Stands der Technik, unter Berücksichtigung europäischer und internationaler Standards. Unternehmen müssen risikoorientier eine Quelle identifizieren, die zu ihrer Branche und den Anforderungen passt, sofern diese nicht gesetzlich vorgegeben sind.
Darüber hinaus dürfen „besonders wichtige“ und „wichtige Einrichtungen“ gemäß §30 Abs. 6 BSIG (neu) ausschließlich IKT-Produkte, IKT-Dienste und IKT-Prozesse einsetzen, die über eine Cybersicherheitszertifizierung der europäischen Cybersicherheitsagentur (ENISA) gemäß Artikel 49 der Verordnung (EU) 2019/881 (auch Cybersecurity Act) verfügen. Welche konkreten Produkte, Dienste und Prozesse hiervon betroffen sind, soll das Bundesinnenministerium durch Verordnung festlegen. Da es noch keine veröffentlichten Schemata gemäß Artikel 49 des Cybersecurity Acts gibt, können derzeit keine IKT-Produkte, -Dienste oder -Prozesse zertifiziert werden.
Wie eine „besonders wichtige“ oder „wichtige Einrichtung“ vorgehen kann, zeigt unsere Checkliste weiter unten.
Konsequenzen für „wichtige“ und „besonders wichtige Einrichtungen“
Regelmäßige Nachweise über die Erfüllung der Anforderungen müssen „besonders wichtige“ und „wichtige Einrichtungen“ zwar nicht proaktiv an das BSI übermitteln. Dennoch ist es ratsam über objektive Überprüfungen der Umsetzung durch qualifizierte Dritte nachzudenken, um auf eventuelle Nachfragen oder Kontrollen vorbereitet zu sein.
Wenn die Anforderungen des NIS2umsuCG nicht erfüllt werden oder kein objektiver Nachweis vorliegt, können nach §65 BSIG (neu) Bußgelder verhängt werden. Besonders interessant sind jedoch auch sekundäre Konsequenzen. Bei einigen Versicherern kann im Falle eines Vorfalls die Zahlung der vereinbarten Summen verwehrt werden, wenn keine Gesetzeskonformität nachgewiesen werden kann.
Die allgemeinen Versicherungsbedingungen (AVB) des Gesamtverbands der Versicherer gibt eine Empfehlung zu den AVB einer Cyber-Security Versicherung aller Versicherer heraus. Die meisten Versicherer halten sich sogar im Wortlaut an diese Empfehlungen. So heißt es zum Beispiel in A.1-16.2 a „Darüber hinaus hat der Versicherungsnehmer alle gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften einzuhalten.“ Das NIS2umsuCG (bzw. das BSIG) kann als gesetzliche Sicherheitsvorschrift gewertet werden. Der darauffolgende Absatz A.1-16.3 verweist sodann bei Nichteinhaltung auf B.3-4, welcher die Szenarien „Kündigung“ und „Leistungsfreiheit“ bereithält.
Ebenso bietet der GDV eine AVB für die allgemeine Betriebsunterbrechungsversicherung. So werden in den „Allgemeine Feuer-Betriebsunterbrechungs-Versicherungs-Bedingungen“ unter §8 des Abschnitts B die Obliegenheiten des Versicherungsnehmers wie folgt angegeben: „Vertraglich vereinbarte Obliegenheiten, die der Versicherungsnehmer vor Eintritt des Versicherungsfalles zu erfüllen hat, sind […] die Einhaltung aller gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften […]“. Betriebsunterbrechungsversicherungen werden im Falle einer Unterbrechung auf Basis von natürlichen Gefährdungen ausgezahlt. Hierbei können zusätzlich Cybergefahren, wie Verlust, Veränderung oder Nichtverfügbarkeit von Daten und Programmen mitversichert werden. Ähnliche Ausschlüsse finden sich in den AVB vieler Versicherungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Neben dem Bußgeldrisiko bei Non-Compliance ist dieses geschäftliche Versicherungsrisiko ein weiterer entscheidender Grund für Unternehmen, die in die Kategorie „besonders wichtige“ oder „wichtige Einrichtungen“ fallen, über unabhängige Nachweise der Einhaltung der BSIG (neu)-Anforderungen nachzudenken.
Checkliste zur Umsetzung der Anforderungen
Die nachfolgende Checkliste erhebt keinen Anspruch auf Vollständigkeit, sondern soll einen ersten Überblick über relevante Themenfelder bieten. Sie berücksichtigt nicht alle Aspekte, bietet jedoch einen Einstieg und bettet sich hervorragend in die sechs Schritte des Artikels von Christoph Schuhwerk vom 19.08.2024 ein.
Checkliste zur Umsetzung der NIS2-Anforderungen
Risikomanagement
☐
Orientiert sich das Risikomanagement an einem anerkannten Standard, wie z. B. BSI-Standard 200-3 oder ISO/IEC 27005?
☐
Können auf Basis der gewählten Risikomethodik unterschiedliche Personen zu vergleichbaren Ergebnissen kommen?
☐
Ist die gewählte Methodik auch für adhoc-Gefahrenbewertungen geeignet?
☐
Ist es prozessual vorgesehen, die Risikoanalysemethodik als Entscheidungsgrundlage zu verwenden?
☐
Wird ein vollständiges Gefährdungsbild betrachtet? (z. B. orientiert an den elementaren Gefährdungen des IT-Grundschutz Kompendiums)
Vulnerability Management und Incidentmanagement
☐
Sind Mechanismen eingerichtet, die sicherstellen, dass zeitnahe aus verschiedenen Quellen bekanntgewordene Schwachstellen bewertet werden können? (Hersteller, CVE-Listen, Presse, BSI-CERT Newsletter, …)
☐
Sind Ressourcen geschaffen, um die Schwachstellen bewerten zu können?
☐
Existiert eine Protokollierungsinfrastruktur mit automatisierter Auswertung und Alarmierung?
☐
Falls ja, verfolgt die Protokollierungsinfrastruktur einen konzeptionellen Ansatz?
☐
Existiert ein Prozess zum Incidentmanagement (Erfassung, Bewertung, Ursachenanalyse, Behebung, Dokumentation)?
☐
Ist die Protokollierungsinfrastruktur mit dem Prozess zum Incidentmanagement verbunden?
Business Continuity Management
☐
Sind alle Geschäfts- und Unterstützungsprozesse bekannt und dokumentiert?
☐
Sind tolerierbare Ausfallzeiten für diese Geschäfts- und Unterstützungsprozesse identifiziert?
☐
Existiert eine Übersicht von Abhängigkeiten der Prozesse mit Blick auf Anwendungen, Systemen, Räumen, Gebäuden?
☐
Sieht das Notfallmanagement eine Definition von „Notbetrieb“ vor?
☐
Wurde der Notbetrieb für mindestens die kritischsten Geschäftsprozesse identifiziert?
Dienstleistersteuerung / Lieferantenmanagement
☐
Existiert eine vollständige Liste aller aktiven Vertragsbeziehungen?
☐
Sind die vertraglich eingeräumten Rechte, wie das Auditrecht, vorhanden?
☐
Wurden Dienstleister und Dienstleistungen hinsichtlich ihres Einflusses auf die Geschäftsprozesse bewertet?
☐
Werden angemessene Sicherheitsvorgaben entlang der Lieferkette umgesetzt?
☐
Werden diese Sicherheitsvorgaben regelmäßig auf Umsetzung/Einhaltung überprüft?
Beschaffungsprozesse
☐
Werden Anforderungen aller internen Stellen (ISB, DSB, …) erhoben, bevor eine Dienstleistung beauftragt wird?
☐
Sieht der Beschaffungsprozess von Material den Abgleich mit der Liste gem. §30 (6) BSIG (neu) vor?
☐
Sind sicherheitskritische Materialien in der Beschaffung eingeschränkt auf minimale Anforderungen oder Hersteller?
Konzept zum Einsatz von Kryptographie
☐
Wurde ein „Stand der Technik“-Standard identifiziert und als Grundlage festgelegt? (z.B. BSI TR-02102 Teil 1 bis 4)
☐
Liegt eine Übersicht aller eingesetzter kryptographischer Methoden vor?☐
☐
Sind die zu verwendenden Algorithmen organisatorisch eingeschränkt worden?
Falls ein elektronisches Schließsystem verwendet wird: Ist bekannt, welcher Chip durch das System verwendet wird? Wurde geprüft, ob dieser als gebrochen gilt?
☐
Folgt das Access-Control-Management dem Need-to-know Prinzip? (Rechteeinschränkung auf das Minimum)
☐
Ist ein Rollen- und Rechtekonzept erstellt worden?
Über den Autor: Christopher Stradomsky ist Cybersecurity-Experte bei msg systems.
Das ganze Security-Insider eBook „In zehn Schritten zur NIS-2-Konformität“ können Sie hier nach Registrierung kostenlos downloaden!
Aktuelles eBook
In zehn Schritten zur NIS-2-Konformität
eBook „In zehn Schritten zur NIS-2-Konformität“
(Bild: Security-Insider)
Die NIS-2-Richtlinie soll das Cybersicherheitsniveau des EU-Wirtschaftsraums stärken – ein dringend nötiges Vorhaben. Aber wie genau setzt man sie um? Dieses eBook erläutert die zehn Schritte auf dem Weg zur NIS-2-Konformität.
Die Highlights im Überblick:
NIS2: Anschnallpflicht für Unternehmen
Zehn wesentliche Schritte zur NIS-2-Konformität
Nicht über Regulierung schimpfen, sondern handeln!
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/79/ed7954ad5b079510238a458cf27d9648/0121026522v2.jpeg "Ein Unternehmen auf NIS-2-Kurs zu bringen ist keine Zauberei. Also nur Mut, NIS-2-Projektteams, ihr schafft das! (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/e8/fae86b117ba79a72ae26d8d9654ab13d/0121026626v2.jpeg "NIS 2 – wie auch der BSI IT-Grundschutz oder ISO 27001 – fordert von Unternehmen ein Information Security Management System (ISMS). (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/2d/822dabd58300cb4fe623944e26000777/0121026753v2.jpeg "Mit einem Notfall-Reaktionsplan verliert man auch als KMU im Ernstfall nicht die Nerven. (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/c8/aec852e8c14b35f5e165e4959563bf83/0125079430v1.jpeg "Es gibt zwei EU-Richtlinien, die unterschiedliche Bereiche kritischer Infrastrukturen betreffen – die NIS2-Richtlinie zur Cybersicherheit und die CER-Richtlinie zur Resilienz. Beide müssen in nationales Recht transponiert werden. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/86/478674e3f94e544c2b04f1c420101a85/0127375001v2.jpeg "In Anbetracht geopolitischer Spannungen und steigender Cyberbedrohungen sehen die Sachverständigen einen enormen Zeitdruck hinter der Umsetzung von NIS 2 in nationales Recht. (Bild: Midjourney / KI-generiert)")