NIS2-Compliance-Audit

Was ist NIS2?

Wen betrifft es?

Einrichtungen, die eine bestimmte Tätigkeitsgröße erreichen (grundsätzlich: mittlere und große Unternehmen — 50 Mitarbeiter oder 10 Mio. € Umsatz/Bilanzsumme im Vorjahr) und Dienste erbringen, deren Störung erhebliche Auswirkungen auf Sicherheit, Gesundheit, Wirtschaft oder öffentliche Ordnung hätte.

Lieferkette

NIS2 betrifft auch Einrichtungen, die Dienste oder Produkte an wesentliche oder wichtige Einrichtungen liefern. Das Hauptkriterium ist die Bedeutung für die Kontinuität kritischer Dienste oder die Zugehörigkeit zur Lieferkette.

Ab wann gilt es in Polen?

NIS2 ist im Gesetz über das nationale Cybersicherheitssystem (KSC) enthalten. Das Gesetz wurde vom Präsidenten unterzeichnet (Stand: Februar 2026). Vacatio legis: 14 Tage ab Veröffentlichung im Gesetzblatt. Inkrafttreten: voraussichtlich März 2026.

Anpassungsfristen

Das Parlament hat die Anpassungsfristen verlängert: 6 Monate für die Registrierung, 12 Monate für die Umsetzung und ein 2-jähriges Moratorium für Strafen eingeführt.

Wesentliche und wichtige Einrichtungen

Sektor und Rolle in der Wirtschaft sind wichtiger als die Rechtsform. Polnische Niederlassungen von Konzernen in regulierten Branchen müssen dem polnischen KSC/NIS2-Gesetz entsprechen.

Wesentliche Einrichtungen — Kritische Bereiche

Energie

Verkehr

Bankwesen

Finanzmarktinfrastruktur

Gesundheitswesen

Trinkwasser

Abwasser

Digitale Infrastruktur

IKT-Dienstleistungsmanagement

Öffentliche Verwaltung

Weltraum

Wichtige Einrichtungen

Post- & Kurierdienste

Abfallwirtschaft

Chemieindustrie

Lebensmittelproduktion

Fertigung & Technologie

Digitale Dienste

Wissenschaftliche Forschung

Verantwortung der Geschäftsführung und Sanktionen

Pflichten und Verantwortung liegen bei der Geschäftsführung / dem Vorstand — auch finanziell.

Verantwortung der Geschäftsführung

Direkte Aufsicht: Die Geschäftsführung ist für die Umsetzung und Wirksamkeit der Cybersicherheitsmaßnahmen verantwortlich.

Formale Pflichten: Genehmigung von IT-Richtlinien, Risikoanalyse und verpflichtende Schulungen für die Geschäftsführung.

Persönliches Risiko: Möglichkeit, Geldstrafen direkt gegen Geschäftsführer bei grober Fahrlässigkeit zu verhängen.

Sanktionen

Geldstrafen: Bis zu 10 Mio. EUR oder 2% des weltweiten Umsatzes (für wesentliche Einrichtungen).

Behördliche Befugnisse: Möglichkeit, Anordnungen und Verbote zu erlassen sowie Ad-hoc-Audits durchzuführen.

Geschäftliche Auswirkungen: Zivilrechtliche Haftung gegenüber Vertragspartnern und Risiko von Reputationsverlust und Vertragsverlust in der Lieferkette.

Risikomanagementmaßnahmen

Die NIS2-Richtlinie erfordert die Umsetzung umfassender Cybersicherheits-Risikomanagementmaßnahmen.

IT-Sicherheitspolitik und Risikoanalyse

Entwicklung und Umsetzung einer IT-Sicherheitspolitik sowie von Methoden, Verfahren und Werkzeugen zur Bewertung und Steuerung von Cyberrisiken, z.B. gemäß ISO/IEC 27005.

IT-Vorfallbehandlung

Aktivitäten und Verfahren zur Reaktion auf Sicherheitsvorfälle — von der Erkennung bis zur Meldung und Beseitigung der Folgen. Meldung von Vorfällen an CSIRT innerhalb von 24 Stunden.

Geschäftskontinuität und Krisenmanagement

Business Continuity Plan (BCP) und IT Disaster Recovery Plan (DRP). Tägliche Backups, Test-Wiederherstellungen aus Backups.

Sicherheit der Lieferkette

Risikomanagement aus der Nutzung von Subunternehmer- und IT-Lieferantendiensten. Sicherheitsaudits von Lieferanten, Zertifikate (z.B. ISO 27001).

Netzwerk- und IT-Systemsicherheit

Sicherheit im gesamten Lebenszyklus von IT-Systemen — Beschaffung, Entwicklung, Aktualisierung, Wartung, Außerbetriebnahme. „Security by Design“.

Bewertung der Wirksamkeit des Risikomanagements

Interne und externe Audits, Penetrationstests, Benchmarking gegen Standards (ISO 27001, CIS Benchmark). Berichterstattung an die Geschäftsführung.

Cyberhygiene und Schulungen

Starke Passwörter und MFA, Cybersicherheitsschulungen, Phishing-Simulationen, Prinzip der geringsten Berechtigung, Sensibilisierungskampagnen.

Kryptographie und Verschlüsselung

Verschlüsselung von Daten im Ruhezustand (BitLocker) und bei der Übertragung (TLS 1.3, VPN). Verwaltung kryptographischer Schlüssel (KMS). Digitale Signaturen und PKI.

Personalsicherheit, Zugriffskontrolle und Asset-Management

Multi-Faktor-Authentifizierung (MFA), RBAC, IT-Asset-Inventar, Datenklassifizierung, Asset-Lifecycle-Monitoring, DLP.

Methodik des NIS2-Compliance-Audits

Unser Audit umfasst vier Schlüsselphasen — von der Planung bis zur Lieferung eines Berichts mit Empfehlungen für Korrekturmaßnahmen.

Auditplanung

Festlegung des Umfangs und der Auditkriterien (NIS2 + KSC)
Identifizierung der zu bewertenden Bereiche
Erstellung des Arbeitsplans

Durchführung des Audits

Überprüfung von Dokumentation und Verfahren
Interviews mit Schlüsselpersonen
Analyse von Prozessen und betrieblichen Praktiken
Stichprobenartige Überprüfung ausgewählter Systemkonfigurationen und Sicherheitsmechanismen (z.B. Firewall, IAM-Systeme, Backup, Netzwerksegmentierung)
Sammlung und Bewertung von Auditnachweisen

Konformitätsanalyse (Gap-Analyse)

Vergleich des Ist-Zustands mit den NIS2/KSC-Anforderungen
Identifizierung von Lücken
Bewertung der Wesentlichkeit identifizierter Abweichungen

Berichterstattung

Bericht mit Feststellungen
Empfehlungen für Korrekturmaßnahmen
Rahmen-Umsetzungsplan
Präsentation der Ergebnisse an die Geschäftsführung

Kontaktieren Sie uns

Wir helfen Ihrer Organisation, sich auf die NIS2-Anforderungen vorzubereiten.

Gespräch starten →