NIS2-Meldepflicht und Lieferkette

# Rolle
Du bist NIS2-Beratungs-Strukturierungs-Assistenz für eine
IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Erstelle für die vorgelegte Mandantschaft ein vollständiges NIS2-Beratungs-
Konzept mit fünf Modulen:
(1) Klassifikations-Memo (Anwendbarkeit, wesentlich nach Anhang I oder
    wichtig nach Anhang II, Schwellenwerte, Konzern-Konsolidierung),
(2) Maßnahmen-Roadmap nach Art. 21 NIS2 (zehn Kategorien lit. a–j),
(3) Meldekette nach Art. 23 NIS2 (24h Frühwarnung / 72h Mitteilung / 1 Monat
    Finalbericht) mit Cross-Bezug zu DSGVO Art. 33,
(4) Lieferketten-Klausel-Bibliothek nach Art. 21 Abs. 2 lit. d,
(5) Geschäftsleitungs-Beschluss-Vorlage nach Art. 20 NIS2.

Die Geschäftsleitungs-Haftungs-Wertung — wer haftet persönlich, wie wirkt
Konzern-interne Delegation, wie verzahnt sich D&O — ist NICHT deine
Aufgabe; markiere die entsprechenden Stellen mit [ANWALT-PRUEFUNG].

# Inhalt — Modul 1: Klassifikations-Memo
1.1 NIS2-Anwendbarkeit (Art. 2, 3 NIS2)
1.2 Schwellenwerte (mittlere Unternehmen mit > 50 Mitarbeitenden ODER
    > 10 Mio. € Umsatz in spezifischen Sektoren)
1.3 Sektor-Mapping (Anhang I: wesentlich / Anhang II: wichtig)
1.4 Deutsches NIS2-Umsetzungsgesetz — Sektor-Abweichungen oder Konkretisierungen
1.5 Konzern-Konsolidierung (Schwellenwerte auf Mutter- oder Tochter-Ebene?)
[ANWALT-PRUEFUNG] Bei Grenzfall-Sektoren

# Inhalt — Modul 2: Maßnahmen-Roadmap nach Art. 21 NIS2
Pro Kategorie a–j konkrete Maßnahmen-Liste und Frist:
  a) Risikoanalyse und Sicherheits-Konzepte
  b) Incident-Handling
  c) Business Continuity Management und Backup
  d) Lieferketten-Sicherheit (explizit Art. 21 Abs. 2 lit. d)
  e) Sicherheit bei Erwerb, Entwicklung, Wartung von Netzen
  f) Wirksamkeits-Bewertung der Maßnahmen
  g) Cyber-Hygiene und Schulung
  h) Kryptografie und Verschlüsselung
  i) Zugangs-Kontrolle und Asset-Management
  j) MFA und sichere Kommunikation
Plus Art. 21 Abs. 3 (proportionalitäts-abhängige Konkretisierung).

# Inhalt — Modul 3: Meldekette nach Art. 23 NIS2
T0 + 24h: Frühwarnung an nationales CSIRT (DE: BSI) und zuständige
          Aufsicht. Inhalt: anfänglicher Befund, Wahrscheinlichkeit
          grenzüberschreitender Auswirkung, Wahrscheinlichkeit
          böswilligen Akts.
T0 + 72h: Mitteilung mit Erst-Bewertung. Inhalt: Schwere, Auswirkung,
          Indikatoren für Kompromittierung.
T0 + 1M:  Finalbericht. Inhalt: detaillierte Beschreibung, Ursache,
          ergriffene und geplante Maßnahmen, grenzüberschreitende
          Auswirkung.
Cross-Bezug DSGVO Art. 33: bei Personenbezug parallele 72h-Meldung
          an LfDI / BfDI. Doppel-Meldung aufeinander abstimmen.
Cross-Bezug KRITIS § 8a BSIG: bei KRITIS-Mandanten zusätzlich.
Cross-Bezug DORA: bei Finanzdienstleistern Art. 19 DORA parallel.

# Inhalt — Modul 4: Lieferketten-Klausel-Bibliothek
Vertrags-Klauseln für Lieferanten-Onboarding mit:
  - Sicherheits-Anforderungen (Spiegelung Art. 21 NIS2-Maßnahmen)
  - Audit-Rechte (vor Ort oder per Drittprüfer, Vorlauf-Frist)
  - Incident-Notification-Pflicht (Lieferant → Mandant binnen X Stunden)
  - Änderungs-Meldung bei wesentlicher Änderung der Sicherheits-Lage
  - Subkontraktoren-Klausel mit Spiegel-Verpflichtung
  - Kündigungs-Recht bei Sicherheits-Vertragsverletzung

# Inhalt — Modul 5: Geschäftsleitungs-Beschluss-Vorlage nach Art. 20 NIS2
- Verantwortungs-Übernahme der Geschäftsleitung
- Schulungs-Programm (Erst-Schulung + jährliche Wiederholung)
- Compliance-Officer-Bestellung (sofern erforderlich)
- Aufsichtsrats- oder Beirats-Berichts-Wesen
- Erkenntnis der persönlichen Haftung nach Art. 20 NIS2 [ANWALT-PRUEFUNG]

# Format
Markdown-Bericht mit fünf nummerierten Modulen.
Tabellen für Klassifikations-Matrix (Modul 1), Maßnahmen-Roadmap (Modul 2),
Meldeketten-Architektur (Modul 3).
Klausel-Volltext für Modul 4 (Lieferketten-Klausel-Bibliothek deutsch).
Beschluss-Vorlage als zitierfähiger Text für Modul 5.
Citation-Verifikations-Liste am Ende.

# Verbote
KEINE pauschale Empfehlung "wesentlich" ohne Anhang-I-Begründung.
KEINE Geschäftsleitungs-Haftungs-Wertung (Art. 20 ist anwaltlich).
KEINE Lieferketten-Klausel mit Generalformel "angemessene Maßnahmen" —
die Klausel muss Art. 21 Abs. 2 lit. d substanziieren.
KEINE Bezugnahme auf KI-Modell-Versionen oder Hersteller-Aussagen.
KEINE Aussage zur Versicherungs-Deckung (D&O) ohne anwaltliche Prüfung.

Mandant:
  [[Unternehmensname-5781]] — mittelständischer Maschinenbau-Konzern.
  Sitz: [[Adresse-5781]].
  Töchter: [[Unternehmensname-1d86]] (EU), [[Unternehmensname-5046]] (US).

Konsolidierte Kennzahlen:
  Mitarbeitende: 1.450 (Mutter 980, EU-Tochter 320, US-Tochter 150).
  Jahresumsatz: 280 Mio. € (Mutter 195, EU-Tochter 65, US-Tochter 20).
  Sektor: Werkzeug-Maschinenbau (NACE 28.41).

NIS2-Hypothese:
  Anhang II Nr. 5 lit. e (Herstellung — kritische Produkte / Maschinenbau).
  Klassifikation: wichtige Einrichtung — Konzern-konsolidiert > 50 MA
  und > 10 Mio. € Umsatz.

ISMS-Status:
  ISO 27001:2022 zertifiziert (nur Mutter).
  BSI-Grundschutz teil-implementiert.
  Bestehende Konstellation: nicht KRITIS, nicht NIS1 erfasst.

Lieferanten-Landschaft:
  ca. 380 IT-Lieferanten, davon 45 mit Vertraulichkeits- oder
  Verfügbarkeits-Kritikalität.
  Top-3 IT-Lieferanten: [[Unternehmensname-3a4f]] (Cloud-Hosting),
  [[Unternehmensname-9c2e]] (ERP-Wartung), [[Unternehmensname-7d61]]
  (SOC-Service).

Geschäftsleitung:
  4 Geschäftsführer, davon 1 mit CIO/CDO-Doppelrolle:
  [[Vorname-1e3f]] [[Nachname-1e3f]].
  Aufsichtsrat: 6 Mitglieder.
  D&O-Versicherung: bestehend, Standard-Konzern-Police.

Bestehende Vorfälle:
  keine BSI-meldepflichtigen Vorfälle in den letzten 24 Monaten.

# NIS2-Beratungs-Konzept für [[Unternehmensname-5781]]

## Modul 1 — Klassifikations-Memo

**Anwendbarkeit:** [[Unternehmensname-5781]] fällt unter NIS2 als **wichtige
Einrichtung** nach Anhang II (NACE-28-Maschinenbau in der Konkretisierung
des deutschen Umsetzungsgesetzes; Konzern-konsolidiert > 50 Mitarbeitende
und > 10 Mio. € Umsatz — Schwellenwerte nach Art. 3 Abs. 2 NIS2).

**Konzern-Konsolidierung:** Schwellenwert wird auf konsolidierter Konzern-
Basis (Mutter + [[Unternehmensname-1d86]]) erreicht. [[Unternehmensname-5046]]
hat US-Sitz; NIS2 greift gleichwohl für in der EU erbrachte Dienstleistungen.

**Wichtig vs. wesentlich:** Maschinenbau steht nicht in Anhang I (Energie,
Verkehr, Banken, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur,
ICT-Service-Management, öffentliche Verwaltung, Weltraum). Einordnung in
Anhang II Nr. 5 ist im deutschen Umsetzungsgesetz zu präzisieren —
Citation-Check Pflicht.

[ANWALT-PRUEFUNG: Bei Grenzfall Anhang I (z. B. wenn Werkzeug-Maschinen
für KRITIS-Sektoren gefertigt werden) gesonderte Prüfung der KRITIS-
Verordnung.]

## Modul 2 — Maßnahmen-Roadmap nach Art. 21 NIS2

| Lit. | Kategorie | Mandant-Status | Empfohlene Maßnahme | Frist |
|---|---|---|---|---|
| a | Risikoanalyse | ISO 27001 vorhanden | Risikoanalyse-Update mit NIS2-Schwellen-Triggern | 6 Monate |
| b | Incident-Handling | informell | Formalisierter IRP mit BSI-Meldekette | 3 Monate |
| c | BCM + Backup | teilweise | BCM-Tests; Offsite-Backup nach 3-2-1-Regel | 6 Monate |
| d | Lieferketten-Sicherheit | unstrukturiert | Lieferanten-Klassifikation + NIS2-Klausel-Onboarding (siehe Modul 4) | 12 Monate |
| e | Erwerb / Entwicklung / Wartung | gegeben | DevSecOps-Konkretisierung | 9 Monate |
| f | Wirksamkeits-Bewertung | jährliches Audit | Quartals-KPI-Review | 3 Monate |
| g | Cyber-Hygiene / Schulung | jährlich | NIS2-spezifische Schulung Geschäftsleitung + Awareness MA | 3 Monate |
| h | Kryptografie | gegeben | Krypto-Inventory; Quantum-Readiness-Plan | 18 Monate |
| i | Zugangs-Kontrolle / Asset | teilweise | IAM-Modernisierung; Asset-Management-Tool | 12 Monate |
| j | MFA / sichere Kommunikation | teilweise | MFA flächendeckend; E-Mail-Verschlüsselung | 6 Monate |

## Modul 3 — Meldekette nach Art. 23 NIS2

```
[Significant Cyber Incident festgestellt]
   |
   |  Kenntnis-Zeitpunkt = T0
   v
[T0 + 24h] -> Frühwarnung an BSI (CSIRT) und zuständige Aufsicht
   |          Inhalt: anfänglicher Befund, Wahrscheinlichkeit
   |                  grenzüberschreitender Auswirkung,
   |                  Wahrscheinlichkeit böswilligen Akts
   |
[T0 + 72h] -> Mitteilung mit Erst-Bewertung
   |          Inhalt: Schwere, Auswirkung, IoC-Indikatoren
   |
[T0 + 1M] ->  Finalbericht
              Inhalt: detaillierte Beschreibung, Ursache,
                      ergriffene und geplante Maßnahmen,
                      grenzüberschreitende Auswirkung
```

**Cross-Bezug DSGVO Art. 33:** Bei Personenbezug parallele 72h-Meldepflicht
an LfDI des Sitz-Bundeslandes [[Adresse-5781]]. Doppel-Meldung über getrennte
Portale (BSI-Portal + LfDI-Portal) aufeinander abstimmen.

**Cross-Bezug KRITIS § 8a BSIG:** [[Unternehmensname-5781]] ist nicht KRITIS;
nicht einschlägig. Bei Erweiterung des Konzerns in KRITIS-Sektor erneut
prüfen.

**Cross-Bezug DORA:** [[Unternehmensname-5781]] ist nicht Finanzdienstleister;
nicht einschlägig.

## Modul 4 — Lieferketten-Klausel-Bibliothek (Auszug)

```
§ X Lieferanten-Sicherheit (NIS2 Art. 21 Abs. 2 lit. d)

(1) Der Lieferant verpflichtet sich, technische und organisatorische
    Sicherheits-Maßnahmen zu unterhalten, die den Anforderungen aus
    Art. 21 Abs. 2 lit. a–j der Richtlinie (EU) 2022/2555 (NIS2) in
    ihrer jeweils nationalen Umsetzung entsprechen.

(2) Der Lieferant unterzieht sich auf Anforderung des Auftraggebers
    einem Sicherheits-Audit (vor Ort oder remote) durch den
    Auftraggeber oder einen von diesem benannten Auditor. Die
    Häufigkeit beträgt höchstens einmal jährlich, ausgenommen
    sicherheits-anlassbezogene Audits.

(3) Der Lieferant meldet dem Auftraggeber jeden Sicherheits-Vorfall,
    der den Auftraggeber betreffen könnte, binnen 12 Stunden ab
    Kenntnis. Die Meldung erfolgt schriftlich an die im Anhang
    benannte CISO-Adresse; Telefon-Eskalation bei kritischen
    Vorfällen über die 24/7-Notfall-Nummer.

(4) Der Lieferant verpflichtet seine Subkontraktoren spiegelbildlich.

(5) Bei Vertragsverletzung in Bezug auf Sicherheits-Anforderungen
    ist der Auftraggeber zur fristlosen Kündigung berechtigt.
```

Vorgesehene Adressaten für Modul 4: [[Unternehmensname-3a4f]],
[[Unternehmensname-9c2e]], [[Unternehmensname-7d61]] und die 42 weiteren
Lieferanten mit Vertraulichkeits- oder Verfügbarkeits-Kritikalität.

## Modul 5 — Geschäftsleitungs-Beschluss-Vorlage nach Art. 20 NIS2

```
Beschluss der Geschäftsleitung der [[Unternehmensname-5781]]
zur NIS2-Compliance

Die Geschäftsleitung der [[Unternehmensname-5781]] beschließt:

1. Die Geschäftsleitung übernimmt die Verantwortung für die
   Genehmigung und Überwachung der Sicherheits-Maßnahmen nach
   Art. 21 Abs. 2 NIS2.

2. Die Geschäftsleitung absolviert eine Schulung zu NIS2-Anforderungen
   mit dem Ziel, die Risiken zu erkennen und zu bewerten. Die Schulung
   erfolgt einmal jährlich; Erst-Schulung binnen 6 Monaten ab Beschluss.

3. Die Geschäftsleitung bestellt [[Vorname-1e3f]] [[Nachname-1e3f]] als
   verantwortliches Mitglied der Geschäftsleitung für NIS2-Compliance
   (CIO/CDO-Doppelrolle).

4. Die Geschäftsleitung verpflichtet sich, einmal pro Quartal vom
   CISO einen Compliance-Bericht entgegenzunehmen und bei wesentlichen
   Abweichungen den Aufsichtsrat zu informieren.

5. Die Geschäftsleitung erkennt an, dass nach Art. 20 NIS2 und dem
   deutschen Umsetzungsgesetz eine persönliche Haftung für
   Verletzungen der Aufsichts- und Schulungs-Pflichten in Betracht
   kommt. [ANWALT-PRUEFUNG]

[Datum, Unterschriften]
```

## Citation-Verifikations-Liste

1. Art. 2, 3 NIS2 — EUR-Lex Richtlinie (EU) 2022/2555
2. Art. 20 NIS2 — EUR-Lex
3. Art. 21 Abs. 2 a–j NIS2 — EUR-Lex
4. Art. 23 NIS2 — EUR-Lex
5. Anhang I, II NIS2 — EUR-Lex
6. Deutsches NIS2-Umsetzungsgesetz — gesetze-im-internet.de (Stand bei Anwendung präzisieren)
7. § 8a BSIG (Cross-Bezug KRITIS) — gesetze-im-internet.de
8. Art. 33 DSGVO (Cross-Bezug 72h) — EUR-Lex

[ANWALT-PRUEFUNG: Geschäftsleitungs-Haftungs-Wertung nach Art. 20 NIS2
inklusive Konzern-interner Delegation und D&O-Verzahnung erfolgt anwaltlich
auf Basis dieser Strukturierung.]