Zum Inhalt springen
Horizon Scanner
Demo buchen
NIS2Framework-Seite

NIS2-Monitoring
in einem Posteingang.

Die NIS2 (Richtlinie (EU) 2022/2555) musste bis 17. Oktober 2024 umgesetzt werden — doch eine wesentliche Zahl von Mitgliedstaaten hat die Frist verfehlt und die Kommission hat 2025 Vertragsverletzungs­verfahren eröffnet. Die Richtlinie gilt für ein deutlich breiteres Universum als NIS1: Essential- und Important-Entities umfassen jetzt Banken, einige Versicherer, Zahlungs­institute und weitere Erbringer kritischer Dienste. Für Finanz­unternehmen ist das Bild geschichtet: DORA wirkt als Lex specialis für IKT-Risiko und Incident-Reporting; NIS2 erfasst, was DORA nicht erfasst. Horizon Scanner überwacht die Kommission, ENISA, jede mitgliedstaatliche Umsetzung und die nationalen Cybersicherheits­behörden — und taggt klar, wo die DORA-NIS2-Grenze für Ihr Unternehmen liegt.

Demo buchenSo funktioniert das Scoring

Scope

Was NIS2 abdeckt — und was wir dafür crawlen.

  • Richtlinie (EU) 2022/2555 und Kommissions-DurchführungsVO

    Die Richtlinie selbst plus Durchführungs­verordnung (EU) 2024/2690 der Kommission zu Cyber­sicherheits-Risikomanagement­maßnahmen für bestimmte Entitäts-Kategorien. Änderungen und nationale Vorlage­verfahren werden an der Quelle getrackt.

  • Essential- vs. Important-Entity-Klassifikation

    Anhang I (Essential) und Anhang II (Important) Entitäts-Kategorien. Die Klassifikation steuert das Aufsichtsregime (ex-ante für Essential, ex-post für Important) und die Höhe administrativer Bußgelder. Nationale Umsetzungen verschärfen die Kriterien gelegentlich.

  • DORA-NIS2-Lex-specialis-Grenze

    Art. 4 NIS2 macht DORA zur Lex specialis für Finanz­unternehmen bei IKT-Risikomanagement und Incident-Reporting. Für Unternehmen außerhalb des DORA-Scopes (oder für die Nicht-IKT-Pflichten der NIS2) gilt NIS2 direkt. Die Grenze ist nicht-trivial — wir taggen Findings auf der richtigen Seite.

  • Geschäfts­leitungs-Verantwortung (Art. 20)

    Art. 20 persönliche Verantwortung der Geschäftsleitungs­organe: Genehmigung der Risikomanagement­maßnahmen, Oversight, Schulungen. Nationale Umsetzungen fügen häufig konkrete Board-Schulungs-Zyklen hinzu. Wir tracken BSI (DE), BfC (AT), ANSSI (FR) und weitere.

  • Supply-Chain-Security (Art. 21)

    Art. 21(2)(d) Supply-Chain-Risikomanagement, vertragliche Weitergabe von Cyber­sicherheits-Anforderungen und die EU-weiten „koordinierten Risikobewertungen kritischer Lieferketten" nach Art. 22. ENISA-Outputs und gezielte Risikobewertungen der EU-Cooperation Group.

  • Incident-Reporting (Art. 23)

    Kadenz Frühwarnung 24h / Notifikation 72h / Final-Report 1 Monat. Nationale CSIRT-Kontaktstellen. Für DORA-erfasste Unternehmen gilt das DORA-Reporting-Regime; für andere (Versorgung, Gesundheit, Industrie) ist NIS2-Reporting direkt.

Wie Horizon Scanner unterstützt

Speziell für NIS2-Teams.

  • 01

    Gefiltert nach Entitäts-Klassifikation

    Konfigurieren Sie Ihre NIS2-Klassifikation (Essential / Important) und Sektor (Anhang I / II). Der Posteingang filtert auf tatsächlich anwendbare Pflichten; Essential-only-Items erreichen reine Important-Entity-Teams nicht.

  • 02

    DORA-NIS2-Deduplizierung

    Für Finanz­unternehmen taggen wir Findings als „DORA-only", „NIS2-only" oder „beide". Ein bereits unter DORAs Lex-specialis-Status fallendes Item generiert kein paralleles NIS2-Finding — doch die Nicht-IKT-NIS2-Pflichten (z.B. Geschäfts­leitungs-Schulung nach Art. 20) erreichen Sie korrekt.

  • 03

    Routing an CISO, Governance, Legal

    Default-Routing: technische Risikomanagement­maßnahmen an den CISO, Geschäfts­leitungs-Schulungs-Items an Corporate Governance, Supply-Chain-Security-Klauseln an Legal/Procurement, Bußgelder/Enforcement an Compliance.

  • 04

    Nationaler Umsetzungs-Tracker

    Jeder mitgliedstaatliche Umsetzungsakt (und etwaige Updates aus Vertragsverletzungs­verfahren) werden getrackt. Multi-Jurisdiktions-Gruppen sehen Deltas über ihren Footprint auf einen Blick — nützlich für die Harmonisierung interner Policies über Grenzen.

Überwachte Quellen

Die Aufsichts­behörden, die wir für NIS2 crawlen.

  • EUR-LexRichtlinie (EU) 2022/2555, Durchführungs­verordnung (EU) 2024/2690 der Kommission, Änderungsakte, Bekanntmachungen zu Vertragsverletzungs­verfahren.
  • ENISATechnische Leitlinien und Good-Practice-Berichte zu NIS2-Risikomanagement­maßnahmen, Supply-Chain-Risk-Advisories, Threat Landscapes.
  • CommissionEU-weite koordinierte Risikobewertungen, NIS-Cooperation-Group-Outputs, Schreiben aus Vertragsverletzungs­verfahren.
  • BSI (DE)Bundesamt für Sicherheit in der Informationstechnik — deutsche nationale Cyber­sicherheits-Behörde. Technische Advisories, sektorale Guidance, KRITIS-Koordination.
  • ANSSI (FR)Agence nationale de la sécurité des systèmes d'information — französische nationale Cyber­sicherheits-Behörde. Technische Guides, OIV-/OSE-Designations.
  • BfC / FMA (AT)Bundesamt für Cybersicherheit (BfC) — Österreichs zentrale NIS2-Behörde im Innenministerium (NISG 2026, in Kraft ab 1. Oktober 2026) — plus FMA, sofern das Unternehmen auch unter Finanz­aufsicht steht.
  • BaFin / ECBWenn NIS2 auf Finanz­unternehmen außerhalb der DORA-Lex-specialis greift — BaFin- und ECB-SSM-Erwartungen an die Nicht-IKT-NIS2-Pflichten.
  • National CSIRTsComputer Security Incident Response Teams in jedem Mitgliedstaat — Incident-Reporting-Endpunkte, sektorale Advisories.

Eigene Quellen lassen sich in Minuten hinzufügen — Aufsichts-Blog-Feeds, Verbandsrundschreiben, interne Counsel-Memos laufen alle durch dieselbe Engine.

FAQ

Was NIS2-Käufer zuerst fragen.

Wir sind Versicherer. Gilt NIS2 für uns, oder reicht DORA?

Beides — sie überlappen aber nicht. DORA ist Lex specialis für IKT-Risikomanagement, Incident-Reporting, Drittparteien­register, TLPT und Resilienz-Tests. Für Nicht-IKT-NIS2-Pflichten — insbesondere Art. 20 Geschäfts­leitungs-Verantwortung und der Corporate-Governance-Schulungs­zyklus — gilt NIS2 direkt. Plus Art. 21(2)(d) Supply-Chain-Maßnahmen können greifen, wo DORAs Kapitel V Third-Party-Regime nicht reicht. Wir taggen jedes Finding, sodass Sie das Regime sehen.

Wie trackt ihr nationale Umsetzungen, wenn die Frist verfehlt wurde?

Jeder Mitgliedstaat hat einen Umsetzungs-Status (umgesetzt / teilweise / ausstehend / Vertragsverletzungs­verfahren). Bei Einleitung eines Kommissions-Vertragsverletzungs­verfahrens ändert sich die Severity der Findings des betroffenen Staates — Aktivität in einer Jurisdiktion ohne saubere Umsetzung erhöht die aufsichtliche Unsicherheit. Gruppen mit Aktivität in vielen Mitgliedstaaten sehen die Status-Matrix nach Jurisdiktion.

Sind die CSIRT-Incident-Reporting-Endpunkte integriert?

Wir tracken die Endpunkt-Adressen, Reporting-Formular-Änderungen und etwaige sektorale CSIRT-Advisories — aber wir reichen keine Incident-Reports in Ihrem Namen ein. Horizon Scanner ist ein Regulatorik-Intelligenz- und Routing-Tool, kein Notification-Gateway. Der Audit-Trail darüber, an wen Sie gemeldet haben, wann, und welches CSIRT bestätigt hat, wird im Audit-Log als Platzhalter geführt.

Kann der Geschäftsleitungs-Schulungs-Zyklus pro Vorstandsmitglied gescopen werden?

In Enterprise unterstützt die Routing-Engine pro-Person-Subscriptions — Ihr CISO sieht technische Advisories, Ihr CEO sieht nur die Geschäfts­leitungs- / Art.-20-Findings, Ihr Chief Risk Officer sieht die Supply-Chain-Art.-21-Items. Subscriptions werden pro Rolle statt pro Person konfiguriert, um Churn bei Personalwechsel beherrschbar zu halten.

Vertiefung

Mehr zu NIS2 im Detail.

NIS2 im Posteingang sehen.
Zwanzig Minuten. Keine Folien.

Demo buchenAlle Frameworks ansehen