What is the NIS2 Directive?

NIS2 (Directive 2022/2555) is the EU's updated cybersecurity regulation. It replaces the original NIS Directive and significantly expands the scope of organisations that must comply with cybersecurity requirements. It covers essential and important entities across 18 sectors.

When is the NIS2 deadline?

NIS2 entered into force on January 16, 2023. Member states had until October 17, 2024 to transpose it into national law. Many countries missed this deadline — Germany's NIS2UmsuCG entered into force on December 6, 2025. Affected entities must comply from the date their national law takes effect.

Who is affected by NIS2?

NIS2 applies to essential entities (energy, transport, banking, health, water, digital infrastructure, ICT service management, public administration, space) and important entities (postal services, waste management, chemicals, food, manufacturing, digital providers, research). Generally: organisations with 50+ employees or €10M+ annual turnover in these sectors.

What are the penalties for NIS2 non-compliance?

Essential entities face fines up to €10 million or 2% of global annual turnover (whichever is higher). Important entities face fines up to €7 million or 1.4% of global annual turnover. Management can be held personally liable.

What does NIS2 require for websites and digital services?

NIS2 Art. 21 requires risk-based security measures including: encryption in transit (HTTPS/TLS), access control, incident detection and reporting (24h early warning, 72h notification), supply chain security, business continuity, and regular security assessments. SiteGuardian monitors these technical requirements continuously.

EU-Richtlinie 2022/2555

NIS2-Compliance.
Kontinuierliches Monitoring, dokumentierte Nachweise.

Die NIS2-Richtlinie verpflichtet Organisationen in 18 Sektoren zur Umsetzung von Cybersicherheitsmaßnahmen — bei Verstößen drohen Bußgelder bis 10 Mio. €. Nationale Gesetze treten jetzt EU-weit in Kraft.

EU-Richtlinie

In Kraft

Seit 16. Januar 2023

Nationale Umsetzung

Andauernd

Frist war 17. Oktober 2024

Deutschland (NIS2UmsuCG)

In Kraft

Seit 6. Dezember 2025

Betroffene Einrichtungen müssen ab dem Inkrafttreten ihres nationalen Gesetzes die Anforderungen erfüllen. Prüfen Sie den Umsetzungsstand Ihres Landes.

Jetzt Ihre Website scannen Prüfen Sie, welche Regeln gelten

Gilt NIS2 für Sie?

NIS2 gilt für wesentliche und wichtige Einrichtungen in 18 Sektoren. Wenn Ihre Organisation mehr als 50 Mitarbeiter oder einen Umsatz von über 10 Mio. € in einem dieser Sektoren hat, fallen Sie wahrscheinlich in den Anwendungsbereich.

Energie

Wesentlich

Transport

Wesentlich

Banken

Wesentlich

Gesundheit

Wesentlich

Digitale Infrastruktur

Wesentlich

IKT-Dienste

Wesentlich

Chemie

Wichtig

Fertigung

Wichtig

Postdienste

Wichtig

Cloud / SaaS

Wichtig

Lebensmittel

Wichtig

Forschung

Wichtig

Die Kosten der Nichteinhaltung

Wesentliche Einrichtungen

€10M

oder 2 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Wichtige Einrichtungen

€7M

oder 1,4 % des weltweiten Jahresumsatzes

je nachdem, welcher Betrag höher ist

Die Geschäftsführung kann nach NIS2 Art. 20 persönlich haftbar gemacht werden.

Was NIS2 fordert — und was SiteGuardian überwacht

NIS2 Art. 21 definiert 10 Maßnahmen zum Cybersicherheits-Risikomanagement. SiteGuardian überwacht die technischen kontinuierlich.

Art. 21(2)(a)

Risikoanalyse und Sicherheitsrichtlinien

Überwacht

SiteGuardian liefert kontinuierliches Security-Posture-Scoring, DNSSEC-Validierung, Prüfung der Vulnerability-Disclosure-Richtlinie (security.txt), Server-Versions-Verschleierung und einen manipulationssicheren Audit-Trail mit Hash-Ketten-Erkennung.

Art. 21(2)(b)

Vorfallbehandlung

Überwacht

SiteGuardian erkennt Vorfälle in Echtzeit, unterstützt NIS2-konforme Meldeworkflows (24h Frühwarnung, 72h Meldung, 30-Tage-Abschlussbericht) und generiert vorausgefüllte Vorfallberichte für Ihr nationales CSIRT.

Art. 21(2)(c)

Geschäftskontinuität

SiteGuardian überwacht die Verfügbarkeit aus mehreren Regionen und warnt bei Ausfällen. Backup-Management, Disaster-Recovery-Pläne und Krisenmanagement erfordern organisatorische Maßnahmen.

Art. 21(2)(d)

Lieferkettensicherheit

Überwacht

SiteGuardian klassifiziert Monitore in eigene Infrastruktur, Lieferanten und Partner. Es bewertet die Sicherheitslage von Lieferanten, prüft DMARC/SPF/DKIM-Durchsetzung und verfolgt Konzentrationsrisiken in der Lieferkette über 5 Reifegradstufen.

Art. 21(2)(e)

Sichere Entwicklung

SiteGuardian überwacht die Qualität der Content Security Policy, erkennt unsafe-inline/unsafe-eval-Direktiven und prüft Security-Header zum Schutz vor Injection-Angriffen. Sichere SDLC-Prozesse erfordern organisatorische Maßnahmen.

Art. 21(2)(f)

Wirksamkeitsbewertung

Überwacht

SiteGuardian verfolgt Ihren Compliance-Score über die Zeit, erstellt 90-Tage-Trendberichte und bietet Vorher/Nachher-Vergleiche zur Messung der Wirksamkeit Ihrer Sicherheitsverbesserungen.

Art. 21(2)(g)

Cyberhygiene und Schulung

Überwacht

SiteGuardian überwacht kontinuierlich die technische Cyberhygiene: HTTPS-Durchsetzung, HSTS, Security-Header, MFA und DNS-Härtung. Schulungen und Awareness-Programme erfordern organisatorische Maßnahmen über automatisiertes Monitoring hinaus.

Art. 21(2)(h)

Kryptografie und Verschlüsselung

Überwacht

SiteGuardian validiert TLS 1.2+-Durchsetzung, erkennt veraltete Protokolle und schwache Cipher-Suiten, prüft Forward Secrecy (PFS), überwacht SSL-Zertifikatsgültigkeit und verifiziert HSTS-Preload-Bereitschaft.

Art. 21(2)(i)

Zugriffskontrolle und Asset-Management

SiteGuardian erzwingt MFA (TOTP/SSO) für alle Konten, bietet rollenbasierte Zugriffskontrolle und pflegt ein Asset-Inventar aller überwachten Dienste. HR-Sicherheitsrichtlinien erfordern organisatorische Maßnahmen.

Art. 21(2)(j)

Multi-Faktor-Authentifizierung

Überwacht

SiteGuardian erfordert TOTP oder Google SSO für den Plattformzugang, überwacht den MFA-Status aller Teammitglieder und verifiziert verschlüsselte Kommunikationskanäle (TLS, DANE, MTA-STS) für den E-Mail-Transport.

Beginnen Sie noch heute mit der Vorbereitung

Scannen Sie Ihre Website, um zu sehen, wo Sie stehen. SiteGuardian ordnet jeden Befund NIS2-Artikeln zu — damit Sie genau wissen, was zu beheben ist.

Kostenloser Sicherheitsscan Compliance-Pläne anzeigen

Für immer kostenlos für 1 Monitor. Keine Kreditkarte erforderlich.

Häufig gestellte Fragen

Was ist die NIS2-Richtlinie?

NIS2 (Richtlinie 2022/2555) ist die aktualisierte EU-Cybersicherheitsverordnung, die die ursprüngliche NIS-Richtlinie ersetzt. Sie erweitert den Anwendungsbereich erheblich auf 18 Sektoren und führt strengere Anforderungen für Vorfallmeldung, Risikomanagement und Lieferkettensicherheit ein.

Wann tritt NIS2 in Kraft?

NIS2 trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit für die Umsetzung in nationales Recht. Viele Länder haben diese Frist versäumt — Deutschlands NIS2UmsuCG trat am 6. Dezember 2025 in Kraft. Betroffene Einrichtungen müssen ab Inkrafttreten ihres nationalen Gesetzes die Anforderungen erfüllen.

Gilt NIS2 für mein Unternehmen?

Wenn Ihre Organisation mehr als 50 Mitarbeiter oder einen Jahresumsatz von über 10 Mio. € hat und in einem der 18 aufgeführten Sektoren tätig ist (Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, IKT, Fertigung usw.), fallen Sie wahrscheinlich in den Anwendungsbereich. Nutzen Sie unser Compliance-Check-Tool, um es herauszufinden.

Welche Meldefristen gelten?

Gemäß NIS2 Art. 23: 24 Stunden für eine Frühwarnung, 72 Stunden für die formale Vorfallmeldung und 1 Monat für den Abschlussbericht. SiteGuardian verfolgt diese Fristen automatisch, wenn ein Vorfall eröffnet wird.

Wie hilft SiteGuardian bei NIS2?

SiteGuardian überwacht kontinuierlich die Sicherheitslage Ihrer Website (Verschlüsselung, Header, DNS, E-Mail-Authentifizierung) und ordnet Befunde NIS2-Artikeln zu. Bei einem Vorfall klassifiziert es die regulatorischen Auswirkungen und verfolgt Meldefristen. Compliance-Berichte dokumentieren Ihre Maßnahmen für Prüfer.

NIS2-Compliance. Kontinuierliches Monitoring, dokumentierte Nachweise.

Gilt NIS2 für Sie?

Die Kosten der Nichteinhaltung

Was NIS2 fordert — und was SiteGuardian überwacht

Risikoanalyse und Sicherheitsrichtlinien

Vorfallbehandlung

Geschäftskontinuität

Lieferkettensicherheit

Sichere Entwicklung

Wirksamkeitsbewertung

Cyberhygiene und Schulung

Kryptografie und Verschlüsselung

Zugriffskontrolle und Asset-Management

Multi-Faktor-Authentifizierung

Beginnen Sie noch heute mit der Vorbereitung

Häufig gestellte Fragen

Sind Sie sicher?

NIS2-Compliance.
Kontinuierliches Monitoring, dokumentierte Nachweise.