Das Wort NIS2 umgeben von einem Kreis aus gelben Sternen und im Hintergrund in Blau eine Karte der EU.

NIS2 in Deutschland – Anspruch, Umsetzung und Realität einer europäischen Sicherheitsrichtlinie

Seit dem 16. Januar 2023 ist die NIS-2-Richtlinie (EU) 2022/2555 auf europäischer Ebene in Kraft. Sie hat zum Ziel, die Cybersicherheitsanforderungen für kritische und wirtschaftlich bedeutende Einrichtungen in zentralen, EU-weit geltenden Vorgaben zu vereinheitlichen. Ihr Anspruch ist hoch: mehr Schutz, mehr Transparenz, mehr Resilienz – europaweit und branchenübergreifend.

Doch knapp zwei Jahre später zeigt sich: Die Umsetzung in Deutschland (wir berichteten) ist nicht frei von Herausforderungen, politischen Kompromissen und kritischen Stimmen. Ein neuer, aktualisierter Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) liegt seit dem 23.06.2025 vor. Bereits terminologisch hat sich etwas geändert: Der Referentenentwurf firmiert unter dem Titel

„Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.

Was regelt er konkret? Wer ist betroffen? Und was sagen Fachkreise dazu? Mit diesen Fragen befasst sich der vorliegende Blogbeitrag.

Zielsetzung und Reichweite der NIS-2-Richtlinie

Die NIS-2-Richtlinie ersetzt die ursprüngliche NIS-Richtlinie von 2016. Während NIS1 lediglich sieben Sektoren mit sog. Betreibern kritischer Infrastrukturen adressierte, erweitert NIS2 den Anwendungsbereich erheblich:

Insgesamt 18 Sektoren werden reguliert, darunter Energie, Verkehr, Gesundheit, digitale Dienste, Herstellung von kritischen Produkten, Verwaltung, Raumfahrt, Abwasserentsorgung und öffentliche elektronische Kommunikation.

Unternehmen werden in „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ – sowie den deutschen Sonderweg der „kritischen Anlagen“ – unterteilt, je nach Sektor und Unternehmensgröße. Die sog. Size-Cap-Rule gilt ab 250 Mitarbeitenden oder 50 Mio. Euro Jahresumsatz (Ausnahmen möglich).

Damit fallen laut Schätzungen des Bundesministeriums des Inneren (BMI) etwa 42.000 Unternehmen in Deutschland unter den Anwendungsbereich – deutlich mehr als unter NIS1 (wir berichteten).

Der Referentenentwurf des NIS2UmsuCG: Ein Artikelgesetz mit über 28 Einzeländerungen

Das BMI hat nun im Juni 2025 den o. g. aktualisierten Referentenentwurf veröffentlicht. Dieser setzt die Richtlinie nicht nur in nationales Recht um, sondern überarbeitet auch zentrale Bestandteile des BSI-Gesetzes (BSIG). Im Wesentlichen hat sich zum Entwurf von Anfang Juni nur wenig geändert (vgl. hier).

Zu den wichtigsten Regelungen zählen:

§ 30 Risikomanagementpflichten: Alle müssen Maßnahmen zur Vermeidung und Beherrschung von Sicherheitsrisiken umsetzen, orientiert am Stand der Technik.
§ 32 Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden – ggf. auch vorläufig.
§ 61–62 Aufsicht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält umfangreiche Prüf- und Durchsetzungsbefugnisse, auch mit Sanktionen bis 10 Mio. Euro.
 § 48 CISO Bund: Einführung einer Koordinierungsstelle für Informationssicherheit auf Bundesebene.
 § 29 Sektor Staat & Verwaltung: Bundesbehörden gelten grundsätzlich als besonders wichtige Einrichtungen, erhalten jedoch weitreichende Ausnahmen.
keine Verpflichtung zur Risikoanalyse nach § 30
Ausnahmen bei Meldepflichten (§ 32)
kein Bußgeld bei Verstößen

Bestimmte Behörden (z. B. Nachrichtendienste, Polizei, Bundeswehr) sind teilweise explizit ausgenommen.

Auch eine zentrale Plattform zur Risikoanalyse, das Unternehmensregister, und gemeinsame Meldeinfrastrukturen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und anderen Behörden sind geplant.

Umsetzungspflichten: ISMS, BCM und Risikoanalyse

Das BSI hat im Juni 2025 einen ausführlichen Leitfaden zur NIS-2-Risikoanalyse veröffentlicht. Dieser betont, dass eine reine IT-Betrachtung nicht ausreichend ist, um die Anforderungen zu erfüllen. Vielmehr müsse ein umfassendes Lagebild entstehen, das auch externe Abhängigkeiten, betriebliche Prozesse und Notfallmanagement umfasst.

Einrichtungen, die bereits nach ISO/IEC 27001 zertifiziert sind, müssen daher oft umfangreich nacharbeiten, um die Anforderungen der NIS2 vollständig zu erfüllen.

Kritik aus der Fachwelt und Fachanhörungen

Das BMI hatte für den 4. Juli eine Anhörung von Verbänden und Ländergremien angesetzt, um den Referentenentwurf auf Basis der Fachgremien ein „Peer-Review“ durchlaufen zu lassen. Bis zu diesem Stichtag konnten Eingaben eingereicht werden. Die Resonanz war groß und zu den Kernaussagen zählten u. a.:

Ausnahmen für Behörden: Viele Bundesstellen (z. B. Ministerien, Nachrichtendienste) sind formal als besonders wichtige Einrichtungen erfasst, aber de facto ausgenommen (s. o.).
Vereinheitlichung der Systematik: einheitliche Cybersicherheitsstandards sind auf förderaler Ebene (Länder und Bund) nicht definiert (siehe Stellungnahme).
Keine Harmonisierung von KRITIS-Dachgesetz und nationaler Umsetzung NIS2
Fehlende Einbindung der kommunalen Ebene: Zahlreiche Cybervorfälle betreffen Kommunen, doch sie unterliegen nicht den Pflichten des Gesetzes – weder explizit noch systematisch. Nichtsdestotrotz ist das Gefährdungspotential den Kommunen bewusst.
Anwendungsbereich: Der Ausnahmetatbestand „vernachlässigbare Geschäftstätigkeiten“ bedarf einer Konkretisierung, um Inkonsistenzen bei regulierten Stellen zu vermeiden.
Aufsichtsbehörden: Unklare Rolle des BSI im nationalen Verwaltungsgefüge; das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) wird gar nicht berücksichtigt.
Überregulierung zivilgesellschaftlicher Akteure: Gemeinnützige DNS-Dienste (z. B. Freifunk, Digitalcourage) fallen unter die Definition besonders wichtiger Einrichtungen – obwohl sie keine kritischen Funktionen erfüllen.
Mangelnde Transparenz und Evaluation: Weder die Schwellenwertdefinitionen noch die gesetzgeberische Wirkung werden regelmäßig wissenschaftlich überprüft.

Klarheit besteht seit der Anhörung zumindest, was die Agenda des Gesetzgebungsverfahrens anbetrifft:

Juli 2025: Kabinettsbeschluss
August 2025: Zuleitung Bundesrat
September 2025: Bundesrat 1. Durchgang
Herbst 2025: Bundestag 1. Lesung
Ebd.: Sachverständigenanhörung
TBD: Bundestag 2. und 3. Lesung
TBD: Bundesrat 2. Durchgang
Bis Ende 2025: Verkündung und Inkrafttreten

Auch auf Seiten staatlicher Stellen besteht Grund zur Kritik, ebenso wie Hoffnung, die in die Umsetzung von NIS2 gesetzt werden kann. So hat der Bundesrechnungshof die Cybersicherheit des Bundes insgesamt gerügt (vgl. im Folgenden hier). In dem 46 Seiten langen Bericht wird der Status quo kritisch unter die Lupe genommen: Trotz der wachsenden Bedeutung staatlicher Resilienz gegenüber hybriden Bedrohungen offenbart die aktuelle Lage der IT-Infrastruktur des Bundes erhebliche strukturelle Defizite. Im Bericht wird nicht nur vor „eklatanten Sicherheitslücken in den Rechenzentren und Netzen des Bundes“ gewarnt, sondern auch konstatiert, dass die föderale IT auf die gegenwärtige Bedrohungslage nicht vorbereitet sei. Es mangele bereits an grundlegenden Voraussetzungen für einen funktionierenden IT-Betrieb in Krisenzeiten – so erfüllten weniger als 10 % der Einrichtungen die definierten Mindestanforderungen.

Diese strukturellen Schwächen werden durch organisatorische Fragmentierung verstärkt. Die Analyse benennt eine zersplitterte Cybersicherheitsarchitektur mit derzeit 77 staatlichen Akteuren, die sich mit Fragen der Cyberabwehr befassen – eine Zahl, die kontinuierlich ansteigt. Der daraus resultierende Mangel an strategischer Steuerung und Wirksamkeit führt zu einer Überlagerung von Zuständigkeiten, einer Verdünnung von Verantwortung und letztlich zu Ineffizienz in der operativen Krisenbewältigung.

Die Forderung des Bundesrechnungshofes ist daher eindeutig: Die Prüfer empfehlen eine tiefgreifende Reform der Cybersicherheitssteuerung, einschließlich klarer Verantwortlichkeiten, konsolidierter Finanzen und eines robusten Lagebild-Controllings, um die Handlungsfähigkeit des Staates in Extremszenarien zu sichern. Die Bundesregierung müsse ihre Cybersicherheitsziele klar definieren, priorisieren und mit überprüfbaren Kennziffern unterlegen. Ein effektives Controlling, ein koordiniertes Lagebild sowie eine strategische Reform der föderalen Cybersicherheitsarchitektur seien erforderlich, um die Handlungsfähigkeit des Staates in Extremszenarien zu sichern.

Operative Umsetzung: Herausforderungen für Wirtschaft und Verwaltung

Für die betroffenen Unternehmen stellen sich nun drängende Fragen:

Wer übernimmt die Rolle des Verantwortlichen nach § 30 – Informationssicherheits-Beauftragte (ISB), Chief Information Security Officer (CISO) oder Geschäftsführung?
Wie wird die Risikoanalyse konkret durchgeführt und dokumentiert?
Welche Anforderungen gelten an die Lieferkettensicherheit?
Wie gehen Unternehmen mit Mehrfachpflichten um – z. B. durch gleichzeitige Anforderungen aus NIS2, KRITIS-Dachgesetz oder anderen Branchenregeln?

Es herrschen Inkonsistenzen zwischen Mitgliedsstaaten, aber auch auf bundesdeutscher Ebene bei den Ländern, und ein „Mangel an Orientierung für OT-lastige Unternehmen“. Auch im Gesundheitswesen, bei Verkehrsträgern oder Entsorgern ist die Lage oft unklar, da Sektoraufsichten noch fehlen oder Regelungen widersprüchlich wirken. Auch der deutsche Sonderweg mit den „kritischen Anlagen“ als Teilmenge der BWE sorgt für Unruhe.

Neue Perspektive: Was bedeutet NIS2 für Konformitätsbewertungsstellen und Auditoren?

Die Umsetzung der NIS-2-Richtlinie hat auch Auswirkungen auf den Prüf- und Zertifizierungsmarkt. Zwar schreibt die Richtlinie keine formale Zertifizierungspflicht nach ISO/IEC 27001 oder vergleichbaren Standards vor – doch die Einführung von Risikomanagementpflichten, Maßnahmen „nach Stand der Technik“ und die behördliche Aufsicht erzeugen einen faktischen Bedarf an Nachweisführung (wir berichteten).

Für Konformitätsbewertungsstellen (KBS), die z. B. nach ISO/IEC 17021-1 oder 17065 akkreditiert sind, ergeben sich damit neue Aufgabenfelder:

Unternehmen benötigen externe Unterstützung bei der Bewertung ihrer Risikomanagementsysteme, insbesondere bei der Angemessenheit der Maßnahmen.
Auch die Prüfung auf Erfüllung gesetzlicher Anforderungen außerhalb formaler Zertifizierung (z. B. Gap-Analysen, Reifegradanalysen, Prüfberichte nach §8a BSIG analog) wird zunehmend nachgefragt.
Besonders in sektorspezifischen Kontexten (z. B. Energie, Verkehr, Gesundheits-wesen) erwarten Unternehmen komplementäre Aussagen zur Einhaltung von BSI-Vorgaben, IT-Sicherheitskatalogen und branchenspezifischen Standards (B3S).

Für Auditoren im Bereich Informationssicherheit verändert sich der Fokus:

Die bisherige ISO/IEC 27001-Ausrichtung reicht für eine vollständige Konformitätsbewertung nach NIS2 oft nicht mehr aus.
Zusätzliche Kompetenzen zu gesetzlichen Anforderungen, Schwellenwertsystematik, Meldepflichten und Aufsichtsinstrumenten sind notwendig.
Auch der Umgang mit neuen Prüfgegenständen, wie der NIS2-Risikoanalyse (nach BSI-Leitfaden) oder der Nachweisführung gemäß § 30 BSIG-E, wird künftig Teil des Prüfportfolios sein.

Langfristig könnten sich hier – analog zu § 8a BSIG – eigene Auditansätze etablieren, insbesondere wenn die Bundesländer, das BSI oder die Aufsichtsbehörden auf evidenzbasierte Berichte unabhängiger Stellen zurückgreifen wollen. Auch der „Stand der Technik“ wird in Zukunft verstärkt durch Auditergebnisse und Best Practices geprägt – mit einer wachsenden Rolle für die qualitätsgesicherte Prüfung durch akkreditierte Stellen.

NIS2 als Chance – oder „bürokratischer Knoten“?

Die NIS-2-Richtlinie bietet die Chance auf einheitliche, verbindliche und sektorübergreifende Cybersicherheitsstandards in der EU. Doch der deutsche Umsetzungsentwurf verfehlt aus Sicht vieler Fachleute dieses Ziel noch in Teilen:

Zu viele Ausnahmen schwächen die Glaubwürdigkeit des Gesetzes.
Unklare Aufsichtsstrukturen behindern eine effiziente Kontrolle.
Praktische Hilfsmittel wie BSI-Leitfäden sind hilfreich, kommen aber spät.

Die Rolle der Auditoren und Konformitätsbewertungsstellen wird unter NIS2 nicht direkt gesetzlich definiert – aber indirekt gestärkt: durch den Nachweisdruck bei Unternehmen, die Komplexität der regulatorischen Anforderungen und die verstärkte Orientierung an Best Practices.

Für den Zertifizierungsmarkt entsteht damit ein neues Tätigkeitsfeld – allerdings mit dem Erfordernis, über den rein normativen Rahmen hinaus gesetzliche, sektorale und operationale Expertise aufzubauen.

Es bleibt zu hoffen, dass der nun anstehende parlamentarische Prozess die zahlreichen kritischen Anmerkungen aus Fachwelt und Praxis ernst nimmt. Denn Cybersicherheit braucht nicht nur Vorschriften, sondern Klarheit, Verbindlichkeit und Vertrauen. Die Politik scheint sich die Kritik zumindest bereits zu Herzen zu nehmen, so wurde eine signifikante Erhöhung der finanziellen und personellen Ausstattung der Cybersicherheit in Deutschland für 2026 ausgelobt.

Manfred Bauer | 14. Juli 2025 | Gesetzesänderungen, Informationssicherheit | Auditoren, Aufsichtbehörden, besonders wichtige Einrichtungen, BMI, BSI, BSIG, Cybersicherheit, Informationssicherheit, ISB, ISMS, KBS, KRITIS, KRITIS-Dachgesetz, NIS-2-Richtlinie, NIS2, NIS2UmsuCG, wichtige Einrichtungen, Zertifizierung | 10 Kommentare

10 Comments

ChrisK
11. August 2025 @ 7:51

Guten Morgen,
unklar ist mir bei der Definition der (besonders) wichtigen Einrichtungen, ob sich die Mitarbeiterzahl auf Köpfe oder Vollkräfte bezieht und ob es dabei eine Stichtagsregelung gibt. Denn viele Unternehmen werden (wie wir) direkt am Schwellenwert (hier: Köpfe) liegen und also mal über und mal unter 250 Köpfen liegen…

Reply
- Manfred Bauer
  11. August 2025 @ 9:48
  
  Guten Morgen,
  
  Nach aktuellem Stand zur NIS2-Umsetzung richtet sich die Mitarbeiterzahl nach der EU-KMU-Definition (2003/361/EG). Maßgeblich sind Vollzeitäquivalente (VZÄ), nicht capita (§28 Abs. 3 BSIG verweist explizit auf diese Definition: „Die Einstufung richtet sich nach der Empfehlung 2003/361/EG der Kommission […]“).
  Teilzeitkräfte werden dabei anteilig angerechnet, Auszubildende in der Regel nicht einbezogen (vgl. 2003/361/EG, Anhang, Art. 5).
  Als Grundlage der Berechnung dient der Jahresdurchschnitt der letzten beiden abgeschlossenen Geschäftsjahre – eine Einstufung ändert sich nur, wenn der Schwellenwert (z.B. 250 VZÄ) in zwei aufeinanderfolgenden Jahren über- oder unterschritten wird (vgl. 2003/361/EG, Anhang, Art. 4 Abs. 2). Kurzfristige Schwankungen um den Grenzwert haben daher keine direkte Auswirkung.
  Wenn weitere Fragen oder Unklarheiten bestehen, melden Sie sich gerne.
  
  Beste Grüße
  Manfred Bauer
  
  Reply
Anonymus
4. August 2025 @ 15:16

Was mir übrigens auch fehlt ist die Interpretation der Eröffnung in Art. 2 der NIS2-Richtlinie, dass jedes Bundesland eine eigene Identifikation von kritischen Infrastrukturen vornehmen kann, und dass es in DE bereits 4 solcher Konzepte gibt. Dies sollte nochmal nachgebessert werden.

Reply
- Blogredaktion
  6. August 2025 @ 11:14
  
  Vielen Dank für Ihren Hinweis.
  Tatsächlich ist die Frage der einheitlichen Identifikation kritischer Infrastrukturen ein zentraler Punkt, der in der nationalen Umsetzung von NIS2 noch nicht vollständig geklärt ist. Dass aktuell in Deutschland bereits mehrere Konzepte auf föderaler Ebene parallel existieren, zeigt, wie komplex die Gemengelage ist.
  
  Die europäische Richtlinie gibt mit Art. 2 bewusst einen gewissen Interpretationsspielraum, um nationale Besonderheiten zu berücksichtigen. Gleichzeitig besteht aber die Gefahr, dass dieser Spielraum in einem föderalen System wie Deutschland zu einer zersplitterten Umsetzung führt. Ihr Hinweis, dass hier der Bedarf des klaren Herausstellens dieses Umstands besteht, ist daher absolut nachvollziehbar. Mittelfristig ist eine Harmonisierung auf EU-Ebene reale Erwartungshaltung, ohne einen verbindlichen europäischen Kriterienkatalog bleibt das Problem jedoch immanent.
  
  Mit freundlichen Grüßen
  Ihre Blogredaktion
  
  Reply
Anonymus
4. August 2025 @ 15:08

Eine kleine Irreführung, es wird suggeriert, das Zertifizierungen mehr nachgefragt werden, ist aber nicht der Fall. Für die NIS2-Prüfung müssen keine Zertifizierungen durchgeführt werden. Die Konformitätsbewertung ist ein enormer overhead. Genauso wenig muss die OH-SzA bei BNetzA-Verfahren Berücksichtigung finden. Man benötigt keine Akkreditierung, solange die Selbstauskunft vom BSI akzeptiert wird. Sie bietet auch keinen Mehrwert, da die Zert’Stellen leider in ihren akkreditierten Prozessen versumpfen und keine ordentlichen Nachweisprüfungen (Risiko/Gefährdung im Fokus) durchführen.

Der Fokus für Auditoren ändert sich nicht > Wer nach ISO 27001 ein Prozessaudit bei kritischen Infrastrukturen durchführt ist fehl am Platz oder eine falsche Wahl für die Nachweisprüfung. Das BSI regelt hier sehr gut, wie eine Prüfung gestaltet sein muss – und das hat nur wenig mit der 27001 zu tun. Folglich hat eine reine 27001-Prüfung noch nie für den Nachweis ausgereicht. Glück denen, die auf den Personalmangel des BSI setzen.

Kritische Anlagen sind auch kein deutscher Sonderweg. Alleine die Transposition der CER-Richtlinie in den einzelnen Mitgliedstaaten sollte das aufzeigen.

Das die reine IT-Betrachtung im KRITIS-Kontext nicht ausreichend ist, ist auch wenig überraschend. Der Fensterputzer kann ebenso Informationen vom Bildschirm ablesen, wie die Putzkraft spionage Tools platzieren kann. Von daher ist der Leitfaden leider nur eine Klarstellung dessen, was Grundsatz im Allgefahrenjungel sein sollte.

Reply
- Blogredaktion
  6. August 2025 @ 11:13
  
  Vielen Dank für Ihren ausführlichen Kommentar.
  Sie haben vollkommen recht: NIS2 fordert ausdrücklich keine formale Zertifizierung im Sinne einer Akkreditierung oder eines Zertifikats nach ISO 27001. Die Richtlinie sieht vielmehr eine Nachweis- und Berichtspflicht gegenüber den zuständigen Behörden vor, wobei das jeweilige Mitgliedsland definiert, wie diese ausgestaltet ist. Die Anforderungen an ein „angemessenes Prüfverfahren“ sind allerdings hoch und können faktisch ähnliche Anforderungen wie ein Audit nach ISO 27001 beinhalten, selbst wenn kein formales Zertifikat ausgestellt wird.
  
  Mit freundlichen Grüßen
  Ihre Blogredaktion
  
  Reply
  - Anonym
    13. August 2025 @ 10:04
    
    Danke für die Reaktion.
    In einem Punkt muss ich widersprechen: Ein KRITIS-Audit kann mit einem ISO 27001 Audit nicht verglichen werden – das zeigen bereits die neuen Schulungsfolien des BSI zur Prüfverfahrenskompetenz. Eher ließe sich ein Vergleich mit einem Grundschutz-Audit herstellen. Bei KRITIS geht es eben nicht primär um die Prozesse, Konformität zu einem Standard oder um das Vorhandensein von Regelungen, sondern darum, echte Bedrohungen zu erkennen und die dagegen umgesetzten Maßnahmen zu bewerten. Natürlich bietet die 27001 einen hervorragenden formalen Rahmen, um die einzelnen Themen zu besprechen, aber eine Prüfung nach dem Prüfschema der 27001 (oder dem Zert’Schema) ist hier fehl am Platz. Die angesprochenen Folien finden sich übrigens hier: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/Infos-fuer-Pruefer/Schulungen-Pruefkompetenz/schulungen-pruefkompetenz_node.html
    
    Reply
    - Manfred Bauer
      13. August 2025 @ 10:54
      
      Vielen Dank für Ihre Rückmeldung.
      Ich teile Ihre Ansicht, dass ein KRITIS-Audit nicht einfach ein ISO 27001-Audit „unter anderem Namen“ ist. Der Unterschied zeigt sich deutlich in den zusätzlichen branchenspezifischen und gesetzlichen wie regulatorischen Anforderungen, die in KRITIS-Prüfungen zu berücksichtigen sind.
      Gleichwohl bietet ISO 27001 ein bewährtes Fundament: Die Norm liefert die Struktur, um Informationssicherheitsmaßnahmen methodisch und nachvollziehbar zu prüfen. Mit dieser Grundlage lassen sich KRITIS-Anforderungen gezielt ergänzen – sei es aus GAiN, dem BSIG oder auch branchenspezifischen Sicherheitsstandards und der damit einhergehenden Bedrohungslage sowie deren Einhegung in Maßnahmen. In der Praxis heißt das: Der ISO-27001-Rahmen als tragfähige Basis, ergänzt um die „KRITIS-Brille“ bei der Prüfdurchführung.
      
      Mit freundlichen Grüßen
      Manfred Bauer
      
      Reply
Anonym
22. Juli 2025 @ 14:55

Der Link zum Leitfaden zur NIS-2-Risikoanalyse funktioniert nicht.
Falsche Verlinkung oder hat das BSI den Leitfaden wieder entfernt.
Wenn ja, ist der Leitfaden woanders zu finden?

Reply
- Blogredaktion
  23. Juli 2025 @ 10:10
  
  Haben Sie vielen Dank für Ihren Hinweis! Die Seite zur Risikoanalyse wurde wohl zwischenzeitlich verschoben, wir haben den Link aktualisiert.
  Vorher: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Risikoanalyse/NIS-2-Risikoanalyse_node.html
  Jetzt: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Risikoanalyse/NIS-2-Risikoanalyse_node.html
  
  Reply