Bin ich NIS2-pflichtig?

NIS2 (NIS2UmsuCG) gilt für Unternehmen in 18 Sektoren ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz — darunter Energie, Banken, Gesundheit, Verkehr, öffentliche Verwaltung und verarbeitende Industrie.

Fordert NIS2 E-Mail-Authentifizierung?

Ja. E-Mail-Authentifizierung wie SPF, DKIM und DMARC ist nach Art. 21 NIS2 explizit als technische Sicherheitsmaßnahme gefordert.

NIS2-Pflicht

NIS2 gilt. Ohne Übergangsfrist. Was tun?

Q: Was fordert NIS2 beim Risikomanagement (§ 30)?

Geeignete technische und organisatorische Maßnahmen. DMARC-Monitoring ist Standardmaßnahme — Fehlen ist beanstandungswürdig.

Q: Wer haftet bei NIS2-Verstößen?

Vorstände und Geschäftsführer haften persönlich für Pflichtverletzungen. Dokumentierte Monitoring-Reports sind Ihr Nachweis.

Das NIS2UmsuCG ist seit Dezember 2025 in Kraft. Wer in einem der 18 betroffenen Sektoren spielt und über den Schwellwerten liegt, ist verpflichtet — und der Vorstand haftet persönlich. Hier ist Ihr 3-Minuten-Selbsttest.

Selbsttest: Sind Sie betroffen?

Drei Fragen, ehrlich beantwortet. Wenn Sie mindestens zwei mit "Ja" beantworten, sind Sie sehr wahrscheinlich NIS2-pflichtig — und brauchen E-Mail-Authentifizierungs-Reports.

01

Hat Ihr Unternehmen 50+ Mitarbeitende oder 10+ Mio € Jahresumsatz?

Ja

pflichtig in 18 Sektoren ab dieser Schwelle

Nein

meist nicht NIS2-pflichtig, aber Cyber-Sorgfaltspflicht bleibt
02

Sind Sie tätig in Energie, Bank, Gesundheit, Verkehr, öffentlicher Verwaltung oder verarbeitender Industrie?

Ja

sehr wahrscheinlich pflichtig

Nein

prüfen Sie die vollständige Sektor-Liste — z.B. auch Forschung, Post, Lebensmittel
03

Senden Ihre Systeme E-Mails (Mahnungen, Bestellbestätigungen, interne Kommunikation)?

Ja

E-Mail-Authentifizierung ist explizit Pflicht nach Art. 21 NIS2

Nein

unwahrscheinlich — fast jedes Unternehmen sendet Mails

Kostenlos · Keine Anmeldung · Ergebnis in < 10s

Wie sicher ist Ihre Domain?

Live-Check für DMARC, SPF, DKIM, BIMI und MTA-STS in unter zehn Sekunden.

Was NIS2 konkret von Ihnen verlangt

Drei Paragraphen, bei denen DMARC-Monitoring den Unterschied macht.

§ 30

Risikomanagement

Geeignete technische und organisatorische Maßnahmen. DMARC-Monitoring ist Standardmaßnahme — Fehlen ist beanstandungswürdig.

§ 32

Berichtspflichten

Vorfälle innerhalb von 24 Stunden ans BSI melden. Ohne DMARC-Reporting sehen Sie Spoofing-Vorfälle zu spät.

§ 38

Geschäftsleitungs-Haftung

Vorstände und Geschäftsführer haften persönlich für Pflichtverletzungen. Dokumentierte Monitoring-Reports sind Ihr Nachweis.

Nächster Schritt: BSI-Registrierung

Wenn Sie pflichtig sind, müssen Sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Registrierung erfolgt über das Meldeportal des BSI. Bewahren Sie die Zugangsdaten gut auf — Sie nutzen sie später für Vorfalls-Meldungen.

Selector7 ist kein Ersatz für die BSI-Registrierung. Aber wir liefern den NIS2-PDF-Report mit Pflichtangaben für die Geschäftsleitung (Bezug auf §§ 30, 32 NIS2UmsuCG) plus die technischen Authentifizierungs-Daten, die Sie in der Aufsicht und im Audit referenzieren.

NIS2-Assessment buchen Funktionen für NIS2-Verantwortliche

Hinweis: Selector7 liefert technische Berichte, ist aber keine Rechtsberatung. Konkrete Auslegung der NIS2-Pflichten ist mit Ihrem Justiziariat zu klären.

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in Frankfurt, AVV nach deutschem Recht inklusive.

14 Tage kostenlos testen Demo buchen