Compliance · Wissen

NIS2, DORA und KRITIS verständlich erklärt

Drei Regulierungen, ein Ziel: mehr Cyber-Resilienz. Wer betroffen ist, welche Fristen gelten und was Sie jetzt konkret tun sollten – ohne Juristendeutsch.

Kurz erklärt

NIS2, DORA und KRITIS verpflichten Unternehmen zu Cybersicherheits-Maßnahmen und schnellen Meldungen von Sicherheitsvorfällen. NIS2 gilt EU-weit für 18 Sektoren ab mittlerer Unternehmensgröße, DORA speziell für den Finanzsektor, KRITIS für Betreiber kritischer Infrastrukturen in Deutschland. Wer betroffen ist, muss Risikomanagement, Meldeprozesse und Vorfallreaktion nachweisbar aufbauen – die Geschäftsleitung haftet persönlich.

Für wen relevant?

Deutlich mehr als KRITIS

NIS2 erfasst Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz in 18 Sektoren – auch Produktion, IT-Dienstleister und viele Zulieferer über die Lieferkette.

Was ist das Risiko?

Bußgelder & Haftung

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – plus persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen.

Was sollten Sie jetzt tun?

Betroffenheit & Gap-Analyse

Klären, welche Regulierung greift, Ist-Stand gegen die Anforderungen prüfen und Maßnahmen priorisieren – inklusive Meldeprozessen und Incident-Response-Plan.

Wie hilft Argos?

Von der Analyse bis 24/7

Cyber Security Assessment, IT-Compliance Consulting, Incident-Response-Plan und 24/7-Erkennung – BSI-orientiert und ISO-27001-zertifiziert (TÜV SÜD).

Die drei Regulierungen im Überblick

Unterschiedlicher Geltungsbereich, gleiche Kernpflichten: Risikomanagement, Meldewege, Vorfallreaktion.

EU-Richtlinie · 18 Sektoren

NIS2

Gilt für wesentliche und wichtige Einrichtungen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz – von Energie und Transport über Produktion bis zu digitalen Diensten. Kernpflichten: Risikomanagement, Lieferkettensicherheit, Schulung der Leitung, Meldung an das BSI (Erstmeldung in 24 Stunden, Detailbericht in 72 Stunden).

EU-Verordnung · Finanzsektor

DORA

Seit Januar 2025 verbindlich für Banken, Versicherer, Zahlungsdienstleister und deren kritische IT-Dienstleister. Fokus: digitale operationale Resilienz – IKT-Risikomanagement, Tests, Drittparteien-Steuerung und Vorfallmeldungen an die BaFin.

Deutschland · BSIG

KRITIS

Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Ernährung u. a.) ab bestimmten Schwellenwerten. Pflichten: Stand der Technik nachweisen, Systeme zur Angriffserkennung betreiben, Störungen unverzüglich ans BSI melden (BSIG §8b).

  • NIS2: Erstmeldung ans BSI in 24 Stunden, Detailbericht in 72 Stunden
  • DSGVO: Meldung an die Datenschutzbehörde in 72 Stunden (bei Personenbezug)
  • KRITIS: unverzügliche Meldung erheblicher Störungen
  • DORA: gestaffelte Meldung schwerwiegender IKT-Vorfälle an die BaFin

Häufige Fragen zu NIS2, DORA & KRITIS

Die Antworten, die Entscheider am häufigsten brauchen.

Gilt NIS2 auch für mein Unternehmen?

Sehr wahrscheinlich, wenn Sie in einem der 18 Sektoren tätig sind und mehr als 50 Mitarbeitende oder 10 Mio. € Umsatz haben. Auch Zulieferer betroffener Unternehmen geraten über Lieferkettenpflichten in den Anwendungsbereich.

Welche Meldefristen gelten im Ernstfall?

NIS2: Erstmeldung ans BSI in 24 Stunden, Detailbericht in 72 Stunden. DSGVO: 72 Stunden. KRITIS: unverzüglich. DORA: Meldung an die BaFin. Ohne geübten Meldeprozess sind diese Fristen kaum zu halten.

Was droht bei Verstößen?

NIS2 sieht Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor – und die persönliche Haftung der Geschäftsleitung für die Umsetzung der Pflichten.

Wo fange ich am besten an?

Mit einer Gap-Analyse: Betroffenheit klären, Ist-Stand gegen die Anforderungen prüfen, Maßnahmen priorisieren. Ein Cyber Security Assessment mit Compliance-Fokus liefert dafür die Grundlage – inklusive Incident-Response-Plan und Meldewegen.