Prepare early for theNIS-2 Directive

As of March 2025NIS-2 will enter into force

The NIS-2 directive presents companies with considerable challenges, particularly in terms of ensuring cyber security and protecting critical infrastructures. For companies, this means extensive adaptation of their existing processes and systems in order to fulfil the new, strict requirements.

As an experienced law firm, we specialise in helping companies to meet the legal requirements of the NIS-2 Directive. Our comprehensive range of services is aimed at optimally preparing your company for compliance with these regulations and safeguarding it in the long term. In doing so, we place a clear focus on the legal aspects and offer you legally compliant solutions and advice.

Would you like to find out more about NIS-2?
Here we explain the directive in detail and answer the most frequently asked questions.

This is how we cansupport you

Kickoff-analysis

In the course of an audit, we analyse whether the current state of cyber security meets the requirements of NIS-2. We proceed according to the specifications of the Federal Office for Information Security (BSI).

Reporting system

New with NIS-2 are the comprehensive reporting obligations. This includes, for example, manning a contact point 24 hours a day, 7 days a week and complying with the three-part reporting obligation in the event of security incidents within the statutory deadlines.

Trainings

In order to effectively prepare your employees for NIS-2 and reduce the ‘human’ risk, we offer convenient online training courses to increase security awareness. This can greatly reduce the risk of liability.

Contracts

NIS-2 also imposes obligations on business partners and suppliers. We ensure that contracts are adapted accordingly. We also evaluate whether partners pose any security risks.

How ourCollaboration works

  • Creation of an audit plan, i.e. affected departments and focus topics
  • Review of the current situation through an audit
  • Establishment of risk management
  • Support with implementation (e.g. setting up the contact point)
  • Adaptation of contracts and evaluation of partners
  • Training and sensitisation of employees

Why implement NIS-2with CLARIUS.LEGAL as your partner

cybersecurity Platine
  • We cover both the technical and legal aspects. This saves time and costs and ensures a high level of legal certainty.
  • As NIS-2 harbours high liability risks, efficient risk management is essential
  • Our service not only includes advice, but also permanent relief

With CLARIUS.LEGAL as your partner for the implementation of the NIS-2 directive, you are making a holistic choice. From technical advice in addition to our legal expertise to the permanent relief provided by our tools, we help you to easily manage risky and cost-intensive efforts.

Get in touch

What exactly isNIS-2 about?

The NIS 2 Directive presents companies with new and extensive challenges. The extended requirements demand a significant strengthening of security measures and the introduction of more comprehensive protection mechanisms for networks and information systems.

The NIS 2 Directive applies to companies and organisations operating in certain critical sectors. The 18 sectors affected include, among others:

  • Energy
  • Healthcare
  • Manufacturing sector
  • Finance
  • Transport
  • Digital infrastructure and digital services
  • Public administrations
  • Food production and processing

The obligated companies must now not only review and adapt their existing security precautions, but also continuously monitor and respond to new threats.

Companies must take several measures to comply with the NIS 2 Directive:

  • Implementation of robust security measures: Companies must protect their networks and information systems with appropriate technical and organisational measures to prevent and defend against cyber attacks.
  • Regular risk analyses: Companies must carry out regular risk assessments to identify potential vulnerabilities and implement appropriate protective measures.
  • Reporting of security incidents: Companies are obliged to report serious security incidents immediately to the competent authorities to enable a rapid response and cooperation.
  • Training and awareness: Employees must be regularly trained and made aware of cyber security risks in order to promote security-conscious behaviour and minimise human error.
  • Emergency plans and crisis management: Companies must establish emergency plans and crisis management processes in order to be able to react quickly and effectively in the event of a cyberattack.

This means effort for the companies concerned, but non-implementation could result in severe penalties:

  • The extended liability of managing directors means that managers can be held personally responsible for compliance with cyber security requirements.
  • In serious cases, companies can be fined up to 10 million euros or 2% of their global annual turnover - whichever is higher.
  • Violations may be publicised in a manner that damages the company's reputation.

We are happy to support you with our services and help you to fulfil the requirements.

Get in touch

Important questions and answerson the NIS-2 Directive

Was soll NIS-2 bewirken?

Die NIS-2-Richtlinie soll die Cybersicherheit in der Europäischen Union stärken, indem sie höhere Sicherheitsstandards und Meldepflichten für Unternehmen einführt. Sie zielt darauf ab, die Resilienz kritischer Infrastrukturen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedstaaten zu verbessern.

Wann tritt NIS-2 in Kraft?

Aktuell wird davon ausgegangen, dass die NIS-2 Richtlinie ab Mitte Oktober im deutschen Recht implementiert wird. Das nachfolgende Q&A soll Ihnen helfen, die wichtigsten Aspekte der NIS-2-Richtlinie zu verstehen und konkrete Schritte zur Einhaltung der neuen Anforderungen zu ergreifen.

Welche Unternehmen sind betroffen?
 

Von der Einhaltung der NIS-2-Richtlinie sind Unternehmen betroffen, die in kritischen Sektoren tätig sind, darunter Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und -verteilung, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Darüber hinaus umfasst die Richtlinie nun auch Anbieter digitaler Dienste wie Cloud-Dienste, Online-Marktplätze und Suchmaschinen, um eine umfassendere Abdeckung der Cybersicherheitsanforderungen zu gewährleisten.

Welche Maßnahmen müssen Unternehmen ergreifen?

Zur Einhaltung der NIS-2-Richtlinie müssen Unternehmen mehrere Maßnahmen ergreifen:

  1. Implementierung robuster Sicherheitsmaßnahmen: Unternehmen müssen ihre Netzwerke und Informationssysteme durch geeignete technische und organisatorische Maßnahmen schützen, um Cyberangriffe zu verhindern und abzuwehren.

  2. Regelmäßige Risikoanalysen: Unternehmen müssen regelmäßig Risikobewertungen durchführen, um potenzielle Schwachstellen zu identifizieren und entsprechende Schutzmaßnahmen umzusetzen.

  3. Meldung von Sicherheitsvorfällen: Unternehmen sind verpflichtet, schwerwiegende Sicherheitsvorfälle unverzüglich an die zuständigen Behörden zu melden, um eine schnelle Reaktion und Zusammenarbeit zu ermöglichen.

  4. Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Cybersicherheitsrisiken sensibilisiert werden, um sicherheitsbewusstes Verhalten zu fördern und menschliche Fehler zu minimieren.

  5. Notfallpläne und Krisenmanagement: Unternehmen müssen Notfallpläne und Krisenmanagementprozesse etablieren, um im Falle eines Cyberangriffs schnell und effektiv reagieren zu können.

Was muss passieren, wenn es zu einem Sicherheitsvorfall kommt?

Innerhalb von 24 Stunden:
Sie müssen in den ersten 24 Stunden nach Erkennung eines Sicherheitsvorfalls eine erste Einschätzung an die zuständige nationale Behörde oder das CSIRT (Computer Security Incident Response Team) übermitteln. Geben Sie dabei ggf. an, ob der Vorfall möglicherweise auf rechtswidrige oder böswillige Handlungen zurückzuführen ist, und liefern Sie erste Informationen zu potenziellen Auswirkungen auf Systeme und die Versorgungssicherheit.

Innerhalb von 72 Stunden:
Sie müssen spätestens 72 Stunden nach der Entdeckung des Vorfalls einen detaillierten Bericht mit den sogenannten Indicators of Compromise (IoCs) erstellen und an die zuständige Behörde übermitteln. Diese IoCs, wie IP-Adressen, Malware-Signaturen oder ungewöhnliche Netzwerkaktivitäten, dienen der Identifikation der Bedrohung. Ergänzen Sie den Bericht um eine erste Bewertung der Auswirkungen auf betroffene Dienste und Kunden.

Nach einem Monat:
Sie müssen spätestens einen Monat nach dem Vorfall einen umfassenden Abschlussbericht einreichen. Dieser Bericht muss den Sicherheitsvorfall ausführlich beschreiben, die Ursachen analysieren, den Schweregrad bewerten und die Auswirkungen dokumentieren. Zusätzlich müssen Sie die Art der Bedrohung (z. B. Ransomware, DDoS-Angriff) erläutern, die ergriffenen Abhilfemaßnahmen darstellen und ihre Wirksamkeit bewerten. Abschließend sollten Sie konkrete Empfehlungen formulieren, um ähnliche Vorfälle in Zukunft zu verhindern und die Cybersicherheitslage zu verbessern.

Welche Sanktionen drohen bei Verstößen?

Bei Verstößen gegen die NIS-2-Richtlinie drohen Unternehmen erhebliche Sanktionen. Diese können je nach Schwere des Verstoßes und nationaler Gesetzgebung der EU-Mitgliedstaaten folgende Maßnahmen umfassen:

  1. Haftung der Geschäftsführung
    Die NIS-2-Richtlinie führt eine erweiterte Geschäftsführerhaftung ein, die dazu führt, dass Führungskräfte persönlich für die Einhaltung der Cybersicherheitsanforderungen verantwortlich gemacht werden können.
  2. Hohe Geldstrafen:
    Unternehmen können mit empfindlichen Geldstrafen belegt werden, die in schweren Fällen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.
  3. Öffentliche Bekanntmachung:
     Verstöße können öffentlich gemacht werden, was dem Ruf des Unternehmens erheblichen Schaden zufügen kann.
Wer trägt die Verantwortung im Unternehmen?

Die Verantwortung für die Umsetzung der NIS-2-Richtlinie in Unternehmen liegt bei der obersten Führungsebene, insbesondere bei den Geschäftsführern und Vorständen. Diese Führungskräfte sind dafür verantwortlich, dass ihr Unternehmen die notwendigen Maßnahmen zur Einhaltung der Richtlinie ergreift und aufrechterhält.

Sie müssen frühzeitig und eigenständig prüfen, ob das Unternehmen unter die Richtlinie fällt. Eine Besonderheit ist, das die Richtlinie die persönliche Haftung der Geschäftsleitung vorsieht, wenn notwendige Maßnahmen nicht umgesetzt werden. 

Wie können Unternehmen die Anforderungen der NIS-2 Richtlinie effizient umsetzen?

Die Anforderungen an Unternehmen umfassen diverse To-Do's aus unterschiedlichen Feldern. Software basierte Lösungen helfen Ihnen, alle Verpflichtungen einzuhalten und vereinfachen insbesondere die Erfüllung der Nachweispflicht.

Die NIS-2 Richtlinie darf nicht als statische Vorgabe verstanden werden, sondern zielt darauf ab, Unternehmen zu einem kontinuierlichen Risikomanagement zu motivieren.

Would you like more detailed information?Get free access to our German-language NIS-2 webinar recording

WATCH NOW

Your personal contact

Dr. Arnt Glienke, LL.M., CCPAttorney at Law, Head of Compliance & Data Protection