NIS2 compliance, end to end. Operated, not just documented.
The European NIS2 Directive obliges essential and important entities to implement ten cybersecurity measures, report incidents within 24 hours, and hold management personally accountable. CloudSoul delivers the measures, produces the evidence, and files the reports.
Are you in scope?
Essential entities
Large or mid-sized operators in sectors classified as highly critical: energy, transport, banking, healthcare, drinking water, digital infrastructure, public administration, space.
Proactive supervision. Full fine bracket.
Important entities
Medium and large entities in other critical sectors: postal, waste management, chemicals, food, manufacturing of critical products, digital providers, research.
Reactive supervision. Reduced fine bracket.
Most mid-market EU operators with over 50 employees in a covered sector will be in scope, as either essential or important. The specific classification turns on sector, size, turnover, and whether you operate critical infrastructure.
The ten measures you must implement.
Plus Article 20 (management accountability) and Article 23 (incident reporting). We cover all twelve.
| Art. | Measure | What the directive says (plain English) | How CloudSoul delivers it |
|---|---|---|---|
| 21(a) | Risikoanalyse und Sicherheitsrichtlinien | Schriftliche Richtlinien zu Risikoanalyse und Sicherheit der Informationssysteme erstellen. | Compliance Core liefert vorgefertigte Richtlinien-Templates, die NIS2 zugeordnet sind. Das Risikoregister wird während des Onboardings konfiguriert und aktualisiert sich kontinuierlich. |
| 21(b) | Vorfallsbearbeitung | Cyber-Vorfälle erkennen, klassifizieren, eindämmen, beheben und daraus lernen. | Unser 24/7-SOC nimmt SIEM- und EDR-Signale auf, priorisiert und reagiert. Der Post-Incident-Bericht landet in der Evidence Engine. |
| 21(c) | Business Continuity & Krisenmanagement | Backups pflegen, Wiederherstellung testen und einen Krisenmanagement-Plan vorhalten. | Backup-Monitoring bestätigt die Einhaltung der RPO. BCP/DRP-Pläne sind versioniert und werden regelmäßig getestet. |
| 21(d) | Lieferkettensicherheit | Sicherheitsrisiken von Lieferanten und direkten Dienstleistern bewerten und überwachen. | Lieferantenbewertungen, Posture-Monitoring und Lieferketten-Vorfallswarnungen. Verfolgt jeden Lieferanten in Ihrem Abhängigkeitsgraphen. |
| 21(e) | Sichere Beschaffung, Entwicklung & Wartung | Sicherheit in Beschaffung, Entwicklung und Wartung integrieren, einschließlich Schwachstellenbehandlung und -offenlegung. | Kontinuierliches Schwachstellen-Scanning, Patch-Monitoring und CSPM. Findings fließen automatisch in den Aktionsplan. |
| 21(f) | Wirksamkeitsbewertung | Richtlinien und Verfahren zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen vorhalten. | Wiederkehrende Kontrolltests, KPI-Dashboards und prüfbereite Evidenzberichte. Ihr Alignment-Plan aktualisiert sich automatisch. |
| 21(g) | Cyber-Hygiene & Schulung | Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen, einschließlich Phishing-Sensibilisierung. | Phishing-Simulation, Training-Tracking, NIS2-Schulung für die Geschäftsleitung. Teilnahmenachweise automatisch in der Evidence Engine. |
| 21(h) | Kryptografie & Verschlüsselung | Kryptografie angemessen einsetzen, einschließlich Verschlüsselung wo zutreffend. | Verschlüsselungsstatus-Monitoring (in-transit, at-rest), Key-Rotation-Tracking, Zertifikatsinventar. Lücken erscheinen als Risiken. |
| 21(i) | HR-Sicherheit, Zugriffskontrolle & Asset-Management | Hintergrundüberprüfungen, rollenbasierte Zugriffskontrolle und vollständiges Asset-Inventar. | IAM-Monitoring, Joiner/Mover/Leaver-Workflows, Asset-Discovery und Inventarverfolgung gegen Ihr IT-Profil. |
| 21(j) | MFA & sichere Kommunikation | Mehr-Faktor-Authentifizierung und sichere Sprach- / Video- / Text-Kommunikation einsetzen, wo angemessen. | MFA-Abdeckung im IT-Bestand prüfen, Inventar sicherer Kommunikation, Lücken-Reporting. Empfehlungen erscheinen im Aktionsplan. |
| 20 | Verantwortung der Geschäftsleitung | Die Geschäftsleitung genehmigt die Cyber-Maßnahmen und überwacht deren Umsetzung. Mitglieder haften persönlich bei Nichteinhaltung. | Vorstands-Pack automatisch generiert: Risikoposition, Kontrollabdeckung, Restrisiko, Entscheidungsprotokoll. Genehmigung dokumentiert. |
| 23 | Vorfallsmeldung (24h / 72h / 1 Monat) | Erhebliche Vorfälle in drei Stufen melden: Frühwarnung innerhalb 24h, vollständige Meldung innerhalb 72h, Abschlussbericht innerhalb 1 Monat. | Auto-Klassifizierung der Erheblichkeit. Mitgliedstaat-spezifische Meldevorlagen vorgefertigt. CSIRT-Übermittlungsspur in der Evidence Engine. |
Three clocks you cannot miss.
CloudSoul handles the clock. Classification is automatic. Regulator templates are pre-built for each member state. Submission trail is captured in the evidence engine.
Incident detected
Classification begins.
Early warning
To CSIRT / competent authority. Initial description only.
Full notification
Impact, indicators, severity, mitigation applied.
Final report
Lessons learned, remediation, residual risk.
The cost of non-compliance.
Maximum fine for essential entities, whichever is higher, applied to global annual turnover.
Maximum fine for important entities.
Management bodies approve and oversee cyber measures.
Built for this regulation specifically.
EU-operated data
Luxembourg HQ, EU-only hosting, no US Cloud Act exposure. For many NIS2 entities, this is a hard constraint.
We meet you where you are
Cloud-native at launch. Hybrid and on-premise deployments available on request for operators with specific constraints.
Operated, not documented
CloudSoul runs the SIEM, the SOC, the scans, the sims, and produces the evidence as a by-product. GRC vendors give you a checklist; CloudSoul runs the controls.
Multi-framework-ready
NIS2 today. Add ISO 27001 or DORA with a single framework toggle, your existing controls map across.
Already ISO 27001 certified? You’re close, not done.
ISO 27001 gives you most of the 10 measures.
Article 21 measures overlap heavily with ISO 27001 Annex A controls. If you already have a live ISO 27001 implementation, you likely satisfy 70–80% of NIS2 technical requirements.
NIS2 adds four gaps ISO 27001 does not close.
Personal management liability (Art. 20). The 24h/72h/1-month reporting workflow (Art. 23). Supply-chain monitoring depth (Art. 21(d)). Jurisdictional reporting, each member state has its own CSIRT and submission format.
Questions.
Fällt meine Organisation unter NIS2?
Wenn Sie in einem der 18 kritischen Sektoren aus den Anhängen I und II tätig sind UND mindestens 50 Mitarbeiter oder 10 Mio. € Jahresumsatz haben, fallen Sie wahrscheinlich darunter, als wesentliche oder wichtige Einrichtung. Einige Anbieter digitaler Infrastruktur sind unabhängig von der Größe betroffen.
Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen?
Wesentliche Einrichtungen (Anhang I, z. B. Energie, Verkehr, Gesundheit) unterliegen proaktiver Aufsicht und dem höheren Bußgeldrahmen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Wichtige Einrichtungen (Anhang II, z. B. Post, Lebensmittel, Fertigung) unterliegen reaktiver Aufsicht und einem reduzierten Rahmen: bis zu 7 Mio. € oder 1,4 %.
Wie schnell muss ich einen Vorfall melden?
Artikel 23 sieht drei Fristen vor: Frühwarnung innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb von 1 Monat. CloudSoul klassifiziert die Erheblichkeit automatisch und stellt mitgliedstaat-spezifische Meldevorlagen bereit, damit Sie sich nicht um die Uhr kümmern müssen.
Wir sind bereits ISO 27001 zertifiziert. Sind wir NIS2-konform?
ISO 27001 deckt etwa 70-80% der technischen Anforderungen von NIS2 Artikel 21 ab. Die vier verbleibenden Lücken sind: persönliche Haftung der Geschäftsleitung (Art. 20), der Meldeworkflow 24h/72h/1 Monat (Art. 23), die Tiefe der Lieferketten-Überwachung (Art. 21(d)) und die mitgliedstaat-spezifischen CSIRT-Meldeformate.
Wie hoch sind die Bußgelder bei NIS2-Verstößen?
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) für wesentliche Einrichtungen; bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen. Mitgliedstaaten können zudem Zertifizierungen aussetzen und vorübergehende Management-Verbote verhängen.
Müssen wir NIS2-Tools on-premise betreiben?
Nein. CloudSoul ist Cloud-native und läuft auf EU-Infrastruktur (Luxemburg standardmäßig). Hybride und on-premise Optionen sind auf Anfrage für Betreiber mit spezifischen Anforderungen an Datenresidenz oder Air-Gap verfügbar.
Wie lange dauert die NIS2-Umsetzung mit CloudSoul?
Vom unterzeichneten Vertrag bis zur operativen Konformität dauert es typischerweise 4-8 Wochen für Cloud-First-Organisationen. Onboarding erstellt den Alignment-Plan in Woche 1; Modul-Deployment und SOC-Übernahme erfolgen in den Folgewochen. Compliance Core ist ab Tag 1 aktiv.
Wann beginnt die NIS2-Durchsetzung tatsächlich?
NIS2 musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden, und die Durchsetzung durch die Mitgliedstaaten ist nun in der gesamten EU aktiv. Spezifische Durchsetzungsdaten und zuständige Behörden variieren je nach Land; Ihre zuständige Behörde ist typischerweise das nationale CSIRT oder ein sektorspezifischer Regulator.
30-minute call · Includes scope classification · No deck.