NIS2 Digitale Dienste: Welche Pflichten Plattformen, Suchmaschinen und digitale Anbieter 2026 erfüllen müssen.

Die Branche Digitale Dienste zählt zu den von der NIS2-Richtlinie regulierten Sektoren und unterliegt seit 2025 erweiterten Cybersicherheitspflichten. Für betroffene Unternehmen sind vor allem vier Punkte entscheidend: Bußgelder können je nach Einordnung bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes erreichen, erhebliche Vorfälle lösen eine Frühwarnung innerhalb von 24 Stunden und eine Meldung binnen 72 Stunden aus, die EU-Umsetzungsfrist endete bereits am 17. Oktober 2024, und in Deutschland gelten Registrierungs- und Meldepflichten nach BSI-Angaben seit dem 6. Dezember 2025 über das BSI-Portal.

Für digitale Dienste reicht deshalb keine generische IT-Sicherheitsrichtlinie mehr aus. Wer Plattformen, Suchdienste, soziale Netzwerke oder digitale Infrastruktur betreibt, muss NIS2 in den operativen Betrieb übersetzen: klare Verantwortlichkeiten, belastbare Rufbereitschaft, Lieferkettenkontrolle, dokumentierte Risikoanalyse und eine nachvollziehbare Schulung der Teams. Wenn Sie zuerst den Rechtsrahmen einordnen möchten, ist die Übersicht zur NIS2-Richtlinie in Deutschland der passende Einstieg; für die Mindestmaßnahmen nach Art. 21 ist der Fachbeitrag zu den NIS2-Anforderungen nach Artikel 21 die wichtigste Vertiefung.

NIS2 in der Digitale-Dienste-Branche: Überblick

Digitale Dienste sind unter NIS2 kein Randfall, sondern ein Kernsektor der europäischen Cybersicherheitsregulierung. Die Richtlinie 2022/2555 erfasst in den digitalen Sektoren sowohl klassische „digitale Anbieter“ nach Anhang II als auch besonders kritische Unterkategorien digitaler Infrastruktur und ICT-Services nach Anhang I. Für die Praxis bedeutet das: Nicht jeder Anbieter im Internet ist automatisch gleich reguliert, aber viele Geschäftsmodelle aus Plattformökonomie, Suchtechnologie, Cloud, DNS, Rechenzentrum, CDN und Managed Services liegen heute ausdrücklich im Fokus.

Der erste Fehler vieler Unternehmen ist eine zu grobe Selbstbeschreibung. „Wir sind ein SaaS-Unternehmen“ oder „wir sind eine Plattform“ hilft regulatorisch kaum weiter. Relevant ist, ob Sie einen Online-Marktplatz betreiben, Suchergebnisse für Dritte bereitstellen, soziale Vernetzung organisieren, digitale Signaturen bereitstellen, Infrastrukturkapazitäten hosten oder als technischer Dienstleister kritische Kundenumgebungen administrieren. Diese Funktionssicht entscheidet darüber, ob Sie als wichtige oder besonders wichtige Einrichtung behandelt werden, welche Aufsichtswege einschlägig sind und wie tief die Anforderungen der Durchführungsverordnung (EU) 2024/2690 in Ihren Betriebsalltag eingreifen.

Hinzu kommt die Größenlogik. Nach dem vom BSI veröffentlichten Entscheidungsbaum liegt der allgemeine Einstieg in die NIS2-Betroffenheit regelmäßig bei mindestens 50 Mitarbeitenden sowie über 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme; größere Unternehmen mit mindestens 250 Mitarbeitenden und höheren Schwellenwerten werden häufig als „besonders wichtige Einrichtungen“ behandelt. Für digitale Dienste ist diese Schwellenprüfung aber nur der zweite Schritt. Zuerst muss der richtige Untersektor feststehen, erst dann ist belastbar beurteilbar, ob Ihr Unternehmen außerhalb, innerhalb oder in einer strengeren Kategorie der Regulierung liegt.

Für die operative Umsetzung ist außerdem wichtig, dass NIS2 keine rein technische Norm ist. Art. 21 verlangt ein Risikomanagementsystem, das Geschäftsleitung, IT, Produkt, Security, Beschaffung, Krisenkommunikation und externe Dienstleister einschließt. Art. 23 macht aus Incident Response eine Melde- und Kommunikationspflicht. Und in Deutschland hat das Thema seit dem 6. Dezember 2025 eine konkrete Vollzugsebene, weil das BSI die Registrierungs- und Meldewege produktiv über das BSI-Portal betreibt. Wer jetzt noch auf einen „späteren Rechtsklarheitsmoment“ wartet, verschiebt im Kern eine Organisationsaufgabe.

Welche Digitale-Dienste-Unternehmen sind betroffen?

Betroffen sind zunächst die klassischen digitalen Anbieter nach Anhang II der NIS2-Richtlinie. Dazu zählen Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke. Für diese Unternehmen ist NIS2 besonders relevant, wenn sie eine substanzielle Markt- und Nutzerrelevanz haben, hohe Verfügbarkeitsanforderungen erfüllen müssen oder bei Ausfällen große Ketteneffekte auslösen. Ein größerer B2B- oder B2C-Marktplatz mit Händlerportalen, Zahlungsanbindung, API-Ökosystem und Millionen personenbezogener Datensätze ist daher ein deutlich naheliegenderer NIS2-Fall als eine kleine Spezial-App ohne kritische Abhängigkeiten.

Daneben erfasst die Richtlinie mehrere digitale Untersektoren, die in der Praxis oft ebenfalls unter „digitale Dienste“ verstanden werden, regulatorisch aber noch sensibler sind. Das betrifft DNS-Diensteanbieter, TLD-Registries, Anbieter von Rechenzentrumsdiensten, Cloud-Computing-Diensten, Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider und Vertrauensdiensteanbieter. Das BSI nennt diese Gruppen ausdrücklich auch im Zusammenhang mit der zentralen Registrierung im Mitgliedstaat der Hauptniederlassung nach Art. 26 NIS2. Für deutsche Unternehmen mit grenzüberschreitender Tätigkeit ist das wichtig, weil Zuständigkeiten, Meldewege und organisatorische Vorbereitungen dadurch komplexer werden als bei rein lokal ausgerichteten Digitalangeboten.

Nicht betroffen sind dagegen nicht automatisch alle Softwareunternehmen, Agenturen oder Digitalberatungen. Eine Webagentur, die Websites entwickelt, ohne einen regulierten digitalen Dienst dauerhaft zu betreiben, fällt typischerweise nicht allein wegen ihrer Technologielastigkeit unter NIS2. Auch kleinere SaaS-Modelle unterhalb der Schwellenwerte sind nicht pauschal erfasst. Gerade in der digitalen Wirtschaft ist deshalb eine saubere Abgrenzung entscheidend, statt aus Vorsicht sämtliche Standards der Großplattformen ungeprüft zu übernehmen.

In der Praxis hilft diese einfache Einteilung:

Wenn Sie unsicher sind, ob Ihr Unternehmen als digitale Plattform, digitaler Infrastrukturanbieter oder als nicht erfasster Dienstleister einzuordnen ist, sollten Sie parallel die Begriffe NIS2-Richtlinie und KRITIS prüfen. Gerade im Vertrieb, bei Ausschreibungen und in Sicherheitsfragebögen wird diese Unterscheidung häufig falsch oder zu pauschal dargestellt.

Spezifische NIS2-Anforderungen für Digitale Dienste

Digitale Dienste müssen nicht irgendeinen unbestimmten „Stand der Technik“ erfüllen, sondern die in Art. 21 genannten Maßnahmen in ein branchentaugliches Betriebssystem übersetzen. Die Richtlinie nennt unter anderem Risikoanalyse, Incident Handling, Business Continuity, Backup und Krisenmanagement, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfung, Cyberhygiene, Kryptografie, personelle Sicherheit, Zugriffskonzepte, Asset Management und gegebenenfalls Multi-Faktor-Authentifizierung. Für Plattform- und Infrastrukturanbieter ist das kein optionaler Werkzeugkasten, sondern die Prüfmatrix, an der Managemententscheidungen und technische Kontrollen gemessen werden.

Für mehrere digitale Untersektoren geht die Regulierung noch weiter. Die Durchführungsverordnung (EU) 2024/2690 konkretisiert die technischen und methodischen Anforderungen gerade für digitale Infrastruktur, ICT-Service-Management und digitale Anbieter wie Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Trust Services. Damit wird aus der allgemeinen NIS2-Pflicht eine deutlich praktischere Erwartung: dokumentierte Richtlinien, definierte Rollen, Segmentierung, Härtung, Zugriffskontrollen, Business-Continuity-Konzepte, Protokollierung, Schwachstellenmanagement, Lieferantenvorgaben und nachvollziehbare Nachweise.

Besonders wichtig ist in digitalen Diensten die Verfügbarkeitsdimension. Ein Ausfall trifft hier nicht nur interne Arbeitsplätze, sondern oft direkt Nutzer, Händler, Content-Partner oder Kundeninfrastrukturen. Deshalb müssen Business-Continuity- und Wiederanlaufkonzepte mehr leisten als eine Backup-Folie im Audit-Deck. Es braucht technische Redundanzen, definierte Recovery-Ziele, Lastverteilung, Fallbacks für kritische Schnittstellen und realistische Übungen für DDoS-, Ransomware- oder Identitätsvorfälle. Das Research zeigt gerade für digitale Infrastruktur einen sehr hohen Reifegrad, aber auch einen hohen Angriffsdruck. Für mittelgroße digitale Anbieter ist die Lücke deshalb weniger das Grundwissen als die Durchgängigkeit der Umsetzung.

Meldeprozesse sind der zweite harte Prüfpunkt. Art. 23 NIS2 verlangt bei einem erheblichen Sicherheitsvorfall eine Frühwarnung binnen 24 Stunden, eine weitergehende Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. Digitale Dienste müssen dafür nicht nur technisch erkennen, dass ein Vorfall erheblich ist. Sie müssen auch intern klären können, wer die Entscheidung trifft, wer mit BSI oder CSIRT kommuniziert, wie Kunden informiert werden und wie technische Analyse, Rechtsbewertung, Datenschutz und Kommunikation parallel arbeiten. Genau hier zeigt sich der Wert einer gezielten NIS2-Schulung: Teams müssen die Schwellen und Eskalationspfade vor dem Vorfall kennen, nicht erst währenddessen.

Für die Praxis ist folgende Gegenüberstellung hilfreich:

Branchenspezifische Herausforderungen

Die größte branchenspezifische Herausforderung digitaler Dienste ist die Kombination aus hoher Änderungsfrequenz und hoher Kritikalität. Plattformen, Suchdienste und Cloud-nahe Geschäftsmodelle releasen ständig neue Features, integrieren externe Komponenten und skalieren über verteilte Infrastrukturen. Genau diese Geschwindigkeit kollidiert mit NIS2, wenn Sicherheits- und Nachweisprozesse nicht mitwachsen. Ein Unternehmen kann technisch modern wirken und trotzdem regulatorisch schwach aufgestellt sein, wenn Asset-Inventar, Verantwortlichkeiten, Lieferkettenprüfung oder Krisenkommunikation nicht Schritt halten.

Ein zweiter Risikofaktor ist die Lieferkette. Im digitalen Dienstleistungsumfeld besteht sie nicht nur aus klassischen Zulieferern, sondern aus Cloud-Subprozessoren, CDN-Partnern, Payment-Schnittstellen, Identity-Anbietern, Erweiterungen, Integratoren, Händler-Accounts, Open-Source-Komponenten und externen Administrationszugängen. Angriffe auf Partnerkonten oder Schwachstellen in Drittkomponenten können sich innerhalb weniger Minuten auf tausende Kunden oder Nutzer auswirken. Für NIS2 heißt das: Lieferkettenprüfung ist in digitalen Diensten kein Einkaufsthema am Rand, sondern Teil des eigentlichen Betriebsmodells.

Drittens ist die Abgrenzung zu Datenschutz und Plattformrecht anspruchsvoll. Viele digitale Dienste verarbeiten große Mengen personenbezogener Daten und unterliegen schon deshalb der DSGVO, insbesondere Art. 32 zur Sicherheit der Verarbeitung. Größere Plattformen und Suchmaschinen können zusätzlich unter den Digital Services Act fallen, der Transparenz-, Audit- und Risikopflichten für bestimmte Plattformkategorien vorsieht. Bei Vertrauensdiensten kommt eIDAS hinzu. Die reale Schwierigkeit liegt deshalb selten darin, eine weitere Norm zu „kennen“, sondern darin, Vorfall, Beweissicherung, externe Kommunikation und Dokumentation so zu organisieren, dass NIS2, DSGVO, Vertragsrecht und gegebenenfalls DSA oder eIDAS nicht nebeneinander herlaufen.

Viertens bleibt DDoS- und Verfügbarkeitsresilienz ein branchentypischer Brennpunkt. Das Research ordnet digitale Infrastruktur als besonders stark angegriffenen Sektor ein. Auch wenn nicht jeder digitale Anbieter denselben Angriffsdruck erlebt, ist die Erwartungshaltung an Ausfallsicherheit deutlich höher als in vielen traditionellen Branchen. Ein Marktplatz, dessen Login, Checkout oder Händlerportal ausfällt, verliert nicht nur Umsatz, sondern oft das Vertrauen der Plattformteilnehmer. Ein Suchdienst mit kompromittiertem Ranking oder Indexing schadet unmittelbar abhängigen Kunden. Ein Managed-Service-Provider kann durch einen einzigen kompromittierten Fernzugang eine ganze Kundenkette in den Vorfall ziehen.

Praxisbeispiel: Dyn-DDoS als Lehrstück für digitale Dienste

Das bekannte Dyn-DDoS-Ereignis von 2016 ist zwar kein deutsches NIS2-Vollzugsbeispiel, aber ein sehr lehrreicher Praxisfall für die Branche Digitale Dienste. Damals traf ein massiver DDoS-Angriff einen DNS-Dienstleister und legte dadurch weite Teile abhängiger Onlinedienste lahm. Das Beispiel ist für NIS2 so relevant, weil es die systemische Rolle digitaler Basisdienste sichtbar macht: Nicht nur der direkt angegriffene Anbieter ist betroffen, sondern alle Plattformen, Shops, Inhalte und Dienste, die auf dessen Verfügbarkeit angewiesen sind.

Für deutsche Unternehmen der digitalen Dienste folgt daraus eine klare NIS2-Lektion. Wer DNS, CDN, Cloud, Identität, Payment oder kritische Integrationen als „nur externe Technik“ behandelt, unterschätzt das eigene regulatorische Risiko. Die Pflicht beginnt nicht erst beim selbst betriebenen Serverraum. Sie beginnt dort, wo Ihr Geschäftsmodell von digitalen Basisdiensten abhängt und ein Ausfall erhebliche Auswirkungen auf Dienstleistung, Nutzer, Kunden oder Lieferkette hätte. Genau deshalb betont Art. 21 auch die Lieferkette und nicht nur die interne Systemhärtung.

Übertragen auf einen mittelgroßen deutschen Online-Marktplatz würde ein entsprechender Vorfall heute mehrere Pflichten gleichzeitig aktivieren: technische Eindämmung, Managementinformation, Einordnung der Erheblichkeit, Vorbereitung der 24-Stunden-Frühwarnung, Abstimmung mit Dienstleistern, Kundenkommunikation und gegebenenfalls parallele Datenschutzbewertung. Ohne geübte Rufbereitschaft, klar definierte Ansprechpartner und dokumentierte Entscheidungsrechte ist dieses Zusammenspiel kaum belastbar zu steuern. Ein Branchenmodul zur NIS2-Schulung sollte deshalb genau diese Übergänge trainieren: Wer meldet was, auf welcher Tatsachengrundlage, mit welcher Minimalinformation und in welcher Reihenfolge?

Das Beispiel zeigt außerdem, dass NIS2 in digitalen Diensten stark auf Resilienzlogik setzt. Es reicht nicht, einen Angriff „irgendwie überstanden“ zu haben. Unternehmen müssen aus Vorfällen lernen, Ursachen und Abhängigkeiten dokumentieren, Maßnahmen nachschärfen und die Ergebnisse in Risikoanalyse, Architektur und Lieferkette zurückspielen. Für Plattformen mit hoher Release-Frequenz ist diese Rückkopplung der eigentliche Reifetest.

Zusätzliche branchenspezifische Regulierungen

NIS2 ist für digitale Dienste selten das einzige relevante Regelwerk. Für Online-Plattformen und Suchmaschinen kann zusätzlich der Digital Services Act über angrenzende Risikobereiche wirksam werden. Besonders große Plattformen und Suchmaschinen müssen unter dem DSA systemische Risiken bewerten und Gegenmaßnahmen dokumentieren. Für Compliance-Teams ist wichtig: DSA ersetzt NIS2 nicht. Der DSA fokussiert stärker auf Inhalte, Transparenz, Aufsicht und systemische Risiken, während NIS2 auf Cybersicherheit, Resilienz und Meldepflichten zielt.

Praktisch fast immer relevant ist außerdem die DSGVO. Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Für digitale Dienste mit vielen Kunden- und Nutzerdaten überschneiden sich NIS2 und DSGVO daher bei Zugriffsschutz, Verschlüsselung, Berechtigungskonzepten, Logging und Incident Response. Die Pflichten sind aber nicht deckungsgleich. Ein NIS2-erheblicher Vorfall ist nicht automatisch identisch mit einer Datenschutzverletzung, und umgekehrt. Deshalb sollten Sie die Vorfallklassifikation so aufbauen, dass Security und Datenschutz dieselbe Faktenbasis nutzen, aber unterschiedliche Rechtsfolgen sauber getrennt bewerten.

Für Vertrauensdienste kommt die eIDAS-Verordnung hinzu. Art. 19 eIDAS verlangt eigene Sicherheitsmaßnahmen und bei erheblichen Sicherheitsverletzungen oder Integritätsverlusten eine Meldung ohne unangemessene Verzögerung, spätestens innerhalb von 24 Stunden. Unternehmen mit Signatur-, Siegel-, Zeitstempel- oder vergleichbaren Vertrauensdiensten müssen ihre Vorfallprozesse deshalb doppelt sauber modellieren: einmal für NIS2 und einmal für eIDAS. Ähnliches gilt für Unternehmen, die neben digitalen Diensten auch telekommunikationsrechtlich regulierte Leistungen erbringen. Dort können weitere sektorale Sicherheits- und Meldevorgaben hinzukommen.

Die saubere Reihenfolge lautet deshalb: zuerst Untersektor bestimmen, dann anwendbare Regelwerke kartieren, danach gemeinsame und getrennte Prozesse definieren. Wer stattdessen alle Anforderungen in eine unspezifische „Security-Policy“ gießt, erzeugt unnötige Reibung und verpasst gerade im Vorfall die entscheidenden Fristen.

Checkliste für Digitale-Dienste-Unternehmen

Digitale Dienste sollten NIS2 nicht als einmaliges Rechtsprojekt behandeln, sondern als Betriebsprogramm. Diese Checkliste ist für mittelgroße und größere Anbieter der sinnvollste Startpunkt:

1. Prüfen Sie die Betroffenheit anhand Ihres konkreten Diensttyps und der Größenkriterien, nicht anhand der Selbstbeschreibung als „Tech-Unternehmen“.
2. Ordnen Sie alle kritischen Dienste, Schnittstellen, Admin-Zugänge, Partnerintegrationen und externen Infrastrukturabhängigkeiten einem aktuellen Systeminventar zu.
3. Legen Sie eine Incident-Klassifikation fest, die 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Abschlussbericht operativ unterstützt.
4. Definieren Sie eine Rufbereitschaft mit klaren Rollen für Security, Betrieb, Management, Legal, Datenschutz und Kommunikation.
5. Überprüfen Sie Verträge mit Cloud-, CDN-, Payment-, Identity- und Hosting-Partnern auf Sicherheitszusagen, Eskalationswege und Auskunftspflichten.
6. Testen Sie Wiederanlauf, DDoS-Schutz, Backup, Failover und Krisenkommunikation realistisch, nicht nur auf Papier.
7. Schulen Sie Geschäftsführung und Fachbereiche dokumentiert, damit während eines Vorfalls Entscheidungen nicht an Zuständigkeitsfragen scheitern.
8. Gleichen Sie NIS2-Prozesse mit DSGVO, DSA, eIDAS und Ihren Kundenverträgen ab.

Wenn Sie diese Punkte noch nicht belastbar nachweisen können, ist das kein Sonderfall, sondern der typische Ausgangszustand vieler digitaler Dienste. Genau deshalb lohnt sich eine fokussierte NIS2-Schulung, die nicht nur Rechtstexte erläutert, sondern Incident Response, Rollen und typische Plattformrisiken gemeinsam durchgeht. Für den regulatorischen Gesamtüberblick sollten Sie zusätzlich die Seite zur NIS2-Richtlinie in Deutschland und den Beitrag zu den Maßnahmen nach Artikel 21 einbeziehen.

FAQ

Ist mein Digitale-Dienste-Unternehmen von NIS2 betroffen?

Betroffen sind nicht automatisch alle Digitalunternehmen, aber viele relevante Geschäftsmodelle. Klassische NIS2-Fälle sind Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke. Hinzu kommen bestimmte Cloud-, DNS-, CDN-, Rechenzentrums-, Trust- und Managed-Service-Anbieter. Maßgeblich sind Untersektor und Größenkriterien, nicht nur die Frage, ob Ihr Unternehmen „im Internet“ tätig ist.

Welche NIS2-Maßnahmen gelten für die Digitale Dienste?

Für digitale Dienste gelten die allgemeinen Maßnahmen aus Art. 21 NIS2 und je nach Untersektor zusätzliche Konkretisierungen durch die Durchführungsverordnung (EU) 2024/2690. In der Praxis sind besonders relevant: Risikoanalyse, Incident Handling, Business Continuity, Zugriffskontrollen, Kryptografie, Lieferkettensicherheit, sichere Entwicklung, Schwachstellenmanagement und Managementaufsicht.

Wie hoch sind NIS2-Strafen in der Digitale-Dienste-Branche?

Die Richtlinie sieht erhebliche Sanktionsrahmen vor. Art. 34 nennt je nach Einordnung Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Entscheidend ist dann die konkrete nationale Umsetzung. Für Unternehmen ist aber schon vor einer Sanktion wichtig, dass fehlende Vorbereitung bei Audits, Vorfällen und Kundenanforderungen sofort sichtbar wird.

Welche Schulungspflichten hat die Digitale Dienste unter NIS2?

NIS2 verlangt vor allem organisatorische Befähigung. Das bedeutet für digitale Dienste: Management, Security, Betrieb, Produkt, Support, Datenschutz, Legal und Kommunikation müssen die Meldewege, Eingriffsschwellen, Lieferkettenrisiken und technischen Kernmaßnahmen kennen. Eine Schulung ist dann wirksam, wenn sie in Incident Response und Governance übersetzt werden kann.

Bis wann muss die Digitale Dienste NIS2 umsetzen?

Die EU-Frist zur Umsetzung der Richtlinie endete am 17. Oktober 2024. In Deutschland weist das BSI darauf hin, dass die Registrierungs- und Meldepflichten seit dem 6. Dezember 2025 gelten. Unternehmen sollten daher spätestens jetzt mit dokumentierter Umsetzung arbeiten und nicht auf weitere Übergangsdebatten setzen.

Warum ist die Abgrenzung zu DSA, DSGVO und eIDAS so wichtig?

Weil digitale Dienste oft mehreren Regelwerken gleichzeitig unterliegen. NIS2 betrifft vor allem Resilienz und Cybersicherheit, die DSGVO den Schutz personenbezogener Daten, der DSA die Pflichten bestimmter Online-Plattformen und Suchmaschinen, und eIDAS speziell Vertrauensdienste. Ohne abgestimmte Prozesse drohen doppelte oder widersprüchliche Bewertungen im Vorfall.

Digitale Dienste brauchen unter NIS2 keine abstrakte Compliance-Folie, sondern einen belastbaren Betriebsmodus für Vorfälle, Lieferkette und Verantwortlichkeiten. Wenn Sie Marktplätze, Suchdienste, soziale Netzwerke oder digitale Basisdienste betreiben, ist ein branchenspezifischer Kurs sinnvoller als eine allgemeine Awareness-Schulung. Die NIS2-Schulung vermittelt die Pflichten aus der Richtlinie, die Meldewege und die typischen Umsetzungsfehler digitaler Dienste in einer Form, die Management, Security und operative Teams gemeinsam nutzen können.