Field notes

NIS 2 ist in Kraft. Ihr Regulator wartet nicht.

How to go from “I’ve read the directive” to “I can implement it” in 5 days, May 4–8, online.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 Min. Lesezeit
NIS 2 Is Live. Your Regulator Won’t Wait.

Kommen wir auf den Punkt

Die Umsetzungsfrist für die NIS 2-Richtlinie war Oktober 2024. Die meisten EU-Mitgliedstaaten haben sie bereits in nationales Recht überführt oder befinden sich in der Abschlussphase. Durchsetzungsmechanismen werden eingerichtet. Regulierungsbehörden bauen Personal auf. Aufsichtsrahmen treten in Kraft.

Und dennoch klingt das Gespräch, wenn ich mit CISOs, Compliance-Verantwortlichen und IT-Managern in ganz Europa spreche, fast immer gleich:

“We know NIS 2 applies to us. We’ve read the directive. But we haven’t actually started implementing.”

Wenn das auf Sie zutrifft, ist dieser Artikel Ihr Weckruf. Und Ihre Lösung.

Die Lücke, über die niemand spricht

Das Problem mit NIS 2: Es ist eine Richtlinie, kein Handbuch.

It tells you WHAT you need to achieve. It does NOT tell you HOW to get there. And “how” is where most organisations are completely stuck.

Sie haben über 50 Seiten Rechtstext. Sie verstehen den Anwendungsbereich, die Sektoren, die Meldepflichten. Aber wenn Montagmorgen kommt und Sie tatsächlich einen Governance-Rahmen aufbauen, eine Risikobeurteilung durchführen müssen, die Artikel 21 genügt, ein Incident-Response-System mit 24-Stunden-Frühwarnung und 72-Stunden-Meldefristen einrichten und Ihre Maßnahmen zur Lieferkettensicherheit dokumentieren müssen…

Wo fangen Sie an?

Diese Lücke zwischen dem Verstehen der Richtlinie und ihrer Umsetzung ist genau der Punkt, an dem Fachleute monatelang feststecken. Und Monate sind eine Zeit, die Sie nicht haben.

Was NIS 2 von allem anderen unterscheidet, was Sie bisher gemacht haben

Wenn Sie mit ISO 27001, GDPR oder anderen Sicherheitsrahmenwerken gearbeitet haben, denken Sie vielleicht, NIS 2 sei nur ein weiteres Compliance-Kästchen zum Abhaken. Das ist es nicht. Hier ist der Grund:

  • Persönliche Haftung des Managements. NIS 2 macht die Unternehmensleitung persönlich verantwortlich. Nicht die Organisation. Sie. Wenn Sie der CISO oder die verantwortliche Person für Compliance sind, zeigt der Finger auf Sie, wenn etwas schiefläuft.
  • Obligatorische Meldepflichten mit festen Fristen. 24 hours for an early warning. 72 hours for a full notification. No flexibility, no “we’ll get back to you next week.”
  • Lieferkettensicherheit ist nicht optional. You can’t just say “we trust our vendors.” You need documented assessments, contractual obligations, and monitoring.
  • Spürbare Bußgelder. Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Und Ihre Organisation kann namentlich öffentlich genannt werden.
  • Grenzüberschreitende Verpflichtungen. Wenn Sie in mehreren EU-Mitgliedstaaten tätig sind, haben Sie es mit mehreren nationalen Umsetzungen derselben Richtlinie zu tun. Komplexität multipliziert sich.

ISO 27001 ist eine gute Grundlage. Sie deckt jedoch nicht die obligatorischen Meldefristen von NIS 2, sektorspezifische Anforderungen oder Regelungen zur Managementverantwortung ab. Sie brauchen das NIS 2-spezifische Playbook.

Die 5 Fragen, die Ihre Aufsichtsbehörde stellen wird

Wenn Ihre nationale Behörde vor der Tür steht, und das wird sie, möchte sie Folgendes sehen:

  • Governance: Verfügen Sie über einen Cybersecurity-Governance-Rahmen mit klaren Rollen, Verantwortlichkeiten und Management-Oversight? Können Sie nachweisen, dass die Unternehmensleitung aktiv eingebunden ist?
  • Risikomanagement: Haben Sie eine formale Risikobeurteilung durchgeführt? Ist sie dokumentiert? Ist sie mit spezifischen Kontrollen verknüpft? Können Sie zeigen, wie Sie priorisiert haben?
  • Incident Response: Verfügen Sie über einen getesteten Incident-Response-Plan? Erfüllt er die 24h/72h-Meldepflichten? Haben Sie ihn tatsächlich geübt?
  • Lieferkette: Wie bewerten und steuern Sie Cybersicherheitsrisiken in Ihrer Lieferkette? Welche Verträge, Kontrollen und Monitoring-Maßnahmen haben Sie implementiert?
  • Kontinuierliche Verbesserung: Wie messen Sie Ihre Cybersecurity-Posture? Welche Kennzahlen berichten Sie? Wie testen und verbessern Sie sich im Laufe der Zeit?

Wenn Sie nicht alle fünf Fragen mit Belegen, Dokumentation und Überzeugung beantworten können, haben Sie eine Compliance-Lücke. Und diese Lücke hat ihren Preis.

4.–8. Mai: Die Lücke in 5 Tagen schließen

Genau hier setzt unser NIS 2 Directive Lead Implementer-Kurs an.

Vom 4. bis 8. Mai führen wir einen Live-Online-Kurs auf Englisch durch, der Sie durch den vollständigen NIS 2-Implementierungsprozess führt. Nicht die Theorie. Nicht den normativen Text. Die eigentliche Methodik.

So sieht die Woche aus:

TagSchwerpunktMo, 4. MaiNIS 2-Grundlagen, Anforderungen, Anwendungsbereich Ihrer Organisation, Start des ImplementierungsprojektsDi, 5. MaiGovernance-Struktur, Rollen und Verantwortlichkeiten, Asset-Management, Risikomanagement-MethodikMi, 6. MaiCybersecurity-Controls, Lieferkettensicherheit, Incident Management, Krisenmanagement-RahmenwerkeDo, 7. MaiBusiness Continuity, Awareness- und Schulungsprogramme, Testing, Kennzahlen und Monitoring, kontinuierliche Verbesserung

Innerhalb weniger Wochen sind Sie zertifizierter NIS 2 Directive Lead Implementer.

Was Sie konkret mitnehmen

Let me be specific, because “you’ll learn a lot” is not a value proposition:

  • Eine vollständige Implementierungs-Roadmap, you can present to your board on Monday morning. Not “notes from a training,” but a structured plan with phases, milestones, and deliverables.
  • Incident-Response-Rahmenwerke, die die obligatorischen 24h/72h-Meldefristen von NIS 2 erfüllen. Dokumentiert, getestet, vertretbar.
  • Eine Risikobewertungs-Methodik, die auf realen Szenarien basiert, nicht auf Lehrbuchbeispielen. Sie werden wissen, wie Sie Risiken bewerten, priorisieren und dokumentieren, auf eine Weise, die Auditoren überzeugt.
  • Ansätze zur Lieferkettensicherheit, that go beyond “our vendors signed an NDA.” Actual assessment frameworks, contractual requirements, and ongoing monitoring.
  • Die PECB Certified NIS 2 Directive Lead Implementer-Zertifizierung europaweit anerkannt und abgesichert durch unsere Certified or Refunded-Garantie.
  • Die Art von Sicherheit, die entsteht, wenn man genau weiß, was man tut, statt zu raten.

Warum dieser Kurs anders ist

Es gibt andere NIS 2-Kurse. Die meisten werden von Trainern unterrichtet, die Folien über die Richtlinie vorlesen. Das ist hier nicht der Fall.

Ich bin ein praktizierender CISO. Ich führe NIS 2-Implementierungen für Organisationen in ganz Europa durch. Wenn ich Incident Response unterrichte, dann weil ich Incident-Response-Programme aufgebaut habe. Wenn ich Risikomanagement unterrichte, dann weil ich vor Auditoren gesessen und Risikobeurteilungen verteidigt habe. Die Beispiele in diesem Kurs sind real. Die Methodik ist erprobt. Die Praxisberichte sind meine.

Das ist keine theoretische Übung. Es ist ein komprimierter, intensiver Transfer von Implementierungs-Know-how von jemandem, der diese Arbeit täglich macht.

Und wenn Sie die Prüfung nicht bestehen? Wir erstatten Ihnen den Betrag. Das ist unsere Certified or Refunded-Garantie. Kein Kleingedrucktes. Keine Bedingungen außer dem Abschluss des Kurses und der Teilnahme an der Prüfung.

Ist das der richtige Kurs für Sie?

Dieser Kurs richtet sich an Fachleute, die genug über NIS 2 gelesen haben und bereit sind, es umzusetzen:

  • CISOs und Sicherheitsverantwortliche, die NIS 2-Compliance-Projekte leiten oder dies in Kürze tun werden
  • GRC- und Compliance-Beauftragte, die die Richtlinie in die operative Realität übersetzen sollen
  • IT-Manager in Sektoren kritischer Infrastruktur, darunter Energie, Verkehr, Gesundheitswesen, digitale Dienste und die übrigen der 18 nun erfassten Sektoren
  • Berater, die Kunden zu NIS 2 beraten und die entsprechende Zertifizierung als Nachweis benötigen
  • Risk Manager, die NIS 2-Anforderungen in unternehmensweite Risiko-Rahmenwerke integrieren

Nicht der richtige Kurs für Sie? Wenn Sie eine übergeordnete Einführung suchen, was NIS 2 ist und für wen es gilt, ist unser NIS 2 Foundation-Kurs is the better starting point. The Lead Implementer track assumes you’re past the “what” and ready for the “how.”

Sichern Sie sich Ihren Platz

NIS 2 Directive Lead Implementer

4.–8. Mai 2025 | Live Online | Englisch

PECB-Zertifizierungsprüfung inklusive | 31 CPD Credits

Certified or Refunded-Garantie

Die Plätze sind begrenzt. Wir halten die Kursgruppen klein, um echte Interaktion, echte Fragen und echte Antworten zu gewährleisten.

→ Jetzt Ihren Platz reservieren

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.