NIS2-Glossar: 15 zentrale Begriffe für Compliance-Verantwortliche

Alphabetisches Begriffsverzeichnis

Betroffene Einrichtung

Oberbegriff für wesentliche und wichtige Einrichtungen nach NIS2UmsuCG. Eine Einrichtung ist betroffen, wenn sie in einem der 18 Sektoren tätig ist und die Größenschwelle (mindestens 50 Mitarbeiter und 10 Mio. Euro Umsatz oder Bilanzsumme) erreicht oder besondere Kriterien erfüllt.

BSI

Bundesamt für Sicherheit in der Informationstechnik. Zentrale deutsche Aufsichtsbehörde für NIS2 mit Sitz in Bonn. Verantwortlich für Registrierung, Meldeabwicklung, Aufsicht, Bußgeldverfahren und Veröffentlichung von Warnungen nach § 13 BSIG.

Erheblicher Sicherheitsvorfall

Ein Vorfall nach Artikel 23 NIS2, der die Erbringung eines Dienstes erheblich beeinträchtigt, finanzielle Schäden über 500.000 Euro verursacht oder nennenswerte Auswirkungen auf natürliche oder juristische Personen hat. Löst dreistufige Meldepflicht aus: Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat.

Gap-Analyse

Strukturierter Abgleich zwischen IST-Zustand der Informationssicherheit und den Anforderungen aus Artikel 21 NIS2. Ergebnis: priorisierte Lücken-Liste mit Personentagen-Schätzung und Maßnahmenplan. Typische Dauer Mittelstand: 14 bis 22 Personentage.

ISMS

Information Security Management System. Prozessframework zur systematischen Steuerung der Informationssicherheit. ISO/IEC 27001 ist der internationale Standard, BSI-Grundschutz die deutsche Alternative. NIS2 fordert kein spezifisches Framework, aber deren Inhalte sind deckungsgleich.

Konzernbetrachtung

NIS2-Betroffenheit wird pro Gesellschaft geprüft, die Größenschwelle aber im Konzernverbund berechnet (EU-Empfehlung 2003/361/EG). Minderheitsbeteiligungen ab 25 Prozent werden anteilig einbezogen.

KMU-Definition (EU)

Empfehlung 2003/361/EG. Kleinstunternehmen: < 10 MA und < 2 Mio. Euro; kleine Unternehmen: < 50 MA und < 10 Mio. Euro; mittelgroße: < 250 MA und < 50 Mio. Euro Umsatz oder < 43 Mio. Euro Bilanzsumme. NIS2 erfasst ab mittelgroß.

KRITIS

Kritische Infrastrukturen nach § 2 Absatz 10 BSIG. NIS2 geht über KRITIS hinaus und erfasst auch nicht-KRITIS-Einrichtungen in den 18 Sektoren. KRITIS-Betreiber unterliegen zusätzlich § 8a BSIG.

Managementverantwortung

Artikel 20 NIS2. Die Geschäftsleitung genehmigt die Risikomanagementmaßnahmen, überwacht deren Umsetzung und haftet persönlich bei grober Fahrlässigkeit. Verpflichtende Schulung aller Leitungsorgane.

Meldeschwelle

Kriterien, ab denen ein Vorfall meldepflichtig ist. Das BSI konkretisiert die Schwelle in der NIS2-Meldepflichtverordnung (erwartet Q3 2026). Orientierung: Ausfall eines Dienstes über 4 Stunden, Datenschutz-Relevanz, Integritätsverletzung kritischer Systeme.

NIS2UmsuCG

Deutsches NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Transformiert die EU-Richtlinie (EU) 2022/2555 in deutsches Recht. Inkrafttreten erwartet Sommer 2026. Änderungen am BSIG und anderen Fachgesetzen.

Registrierung beim BSI

Pflicht nach § 33 NIS2UmsuCG. Binnen 3 Monaten nach Inkrafttreten oder nach erstmaliger Betroffenheit. Pflichtangaben: Name, Anschrift, Sektorzuordnung, Kontaktdaten eines Sicherheitsverantwortlichen, grenzüberschreitende Dienste.

Risikomanagementmaßnahmen

Artikel 21 NIS2. Katalog von 10 Kernbereichen: Risikoanalyse, Incident Handling, Backup und Krisenmanagement, Lieferkette, Entwicklung und Beschaffung, Wirksamkeitskontrolle, Cyberhygiene und Schulung, Kryptographie, Zugriffskontrolle und Asset Management, Kommunikationssicherheit.

Wesentliche Einrichtung

Essential entity. Einrichtung in einem der 11 wesentlichen Sektoren ab der Größenschwelle für Großunternehmen (ab 250 MA oder 50 Mio. Euro Umsatz). Unterliegt proaktiver Aufsicht (Ex-ante) mit regelmäßigen Nachweispflichten. Bußgelder bis 10 Mio. Euro oder 2 Prozent.

Wichtige Einrichtung

Important entity. Einrichtung in einem der 7 wichtigen Sektoren oder mittelgroße Einrichtung in einem wesentlichen Sektor. Reaktive Aufsicht (Ex-post) erst bei Vorfall oder Anhaltspunkt. Bußgelder bis 7 Mio. Euro oder 1,4 Prozent.

Ergänzende Querverweise zur EU-Rechtslage

NIS2 steht nicht allein, sondern ist Teil eines Pakets europäischer Cybersicherheits-Gesetzgebung. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) reguliert digitale Produkte, DORA (Verordnung (EU) 2022/2554) reguliert den Finanzsektor, die CER-Richtlinie (Richtlinie (EU) 2022/2557) adressiert die physische Resilienz kritischer Einrichtungen. Wer NIS2 umsetzt, berührt häufig mehrere dieser Regelwerke gleichzeitig — insbesondere im Finanzsektor mit DORA und in der Industrie mit dem Cyber Resilience Act.

Das bedeutet für die praktische Arbeit: Ein einheitliches Rahmenwerk für Risikomanagement, Meldewesen und Lieferkettensicherheit erspart doppelte Strukturen. Wer ISO 27001 als Dachstandard wählt, deckt den größten Teil der technisch-organisatorischen Anforderungen aus NIS2, DORA und CRA gemeinsam ab. Spezifika pro Regelwerk werden dann als Ergänzungsmodule eingehängt.

Gleichzeitig lohnt sich ein Blick auf nationale Ergänzungen wie das KRITIS-Dachgesetz (Umsetzung der CER-Richtlinie in Deutschland) und die Anpassungen am BSIG. Die Interdependenzen zwischen diesen Rechtsakten sind in den Referentenentwürfen klar erkennbar, werden aber in Unternehmensprojekten häufig unterschätzt. Eine konsolidierte Compliance-Landkarte ist Pflicht für jede mehrjährige Cybersicherheits-Strategie.

Häufig gestellte Fragen zum Glossar