Leistungen · NIS2

NIS2-Beratung — Compliance ohne Drama

NIS2 ist seit Dezember 2025 in Kraft. Prüfen Sie Ihre Betroffenheit, schließen Sie Lücken und reduzieren Sie die Geschäftsführerhaftung — strukturiert und ohne Panik.

Was ist NIS2 und was ändert sich?

NIS2 ist die überarbeitete EU-Richtlinie zur Cybersicherheit für Netz- und Informationssysteme. In Deutschland ist sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit Dezember 2025 rechtswirksam. NIS2 ersetzt die bisherige NIS-Richtlinie und erweitert den Anwendungsbereich erheblich: Statt einiger Hundert KRITIS-Betreiber sind nun rund 29.000 Unternehmen in 18 Sektoren betroffen.

Wer ist betroffen? Zwei Kategorien von Einrichtungen: „Besonders wichtige Einrichtungen" (ab 250 Mitarbeiter oder 50 Mio. EUR Umsatz in kritischen Sektoren) und „Wichtige Einrichtungen" (ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz in den 18 Sektoren). Zu den Sektoren gehören: Energie, Verkehr, Gesundheit, Finanz, IKT/Telekommunikation, Wasser, Lebensmittel, Chemie, Rüstung, Post und weitere. Auch viele mittelständische IT-Dienstleister und Managed-Service-Provider fallen unter NIS2.

Was sind die Pflichten? Alle betroffenen Unternehmen müssen: sich beim BSI registrieren, ein systematisches Risikomanagement einführen, Sicherheitsvorfälle innerhalb von 24 Stunden melden, ein Business-Continuity-Konzept vorhalten und die Sicherheit ihrer Lieferkette (Drittparteien) managen. Neu und besonders wichtig: Die Geschäftsführung haftet persönlich für die ordnungsgemäße Umsetzung.

Sanktionen: Bei Verstößen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bzw. 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen.

Wer braucht NIS2-Beratung?

Geschäftsführer und Vorstände, die die NIS2-Pflichten persönlich erfüllen müssen und den Überblick über ihre Haftungsrisiken benötigen.
Mittelständische Unternehmen mit 50–500 Mitarbeitern in den 18 NIS2-Sektoren, die ihre Betroffenheit prüfen und ggf. strukturiert umsetzen müssen.
IT-Dienstleister und MSPs, die für ihre Kunden kritische Infrastrukturen betreiben oder selbst als Einrichtung eingestuft werden.
Unternehmen, die bereits ISMS-Ansätze haben (ISO 27001 oder intern) und wissen wollen, welche NIS2-spezifischen Lücken noch zu schließen sind.

Häufige Missverständnisse: „Wir sind zu klein für NIS2" — die Schwelle von 50 Mitarbeitern oder 10 Mio. EUR Umsatz ist niedriger als viele denken. „Wir sind kein Energieversorger" — die 18 Sektoren umfassen auch Logistik, Lebensmittelversorgung, Chemieindustrie, Gesundheitsdienstleister und digitale Infrastruktur. Im Zweifel lohnt sich ein Quick-Check.

Wie ich Sie unterstütze

Als NIS2-Experte (TÜV) begleite ich den gesamten Umsetzungsprozess — von der ersten Betroffenheitsanalyse bis zur dauerhaften Compliance. Pragmatisch, ohne überflüssige Bürokratie.

Betroffenheits-Check: Analyse, ob und in welcher Kategorie Ihr Unternehmen unter NIS2 fällt — mit schriftlichem Ergebnis und Begründung.
BSI-Registrierung: Begleitung der Pflichtregistrierung beim BSI über das MELDEPLATTFORM-System — vollständig und fristgerecht.
Gap-Analyse: Systematischer Vergleich Ihrer aktuellen Sicherheitsmaßnahmen mit den NIS2-Anforderungen — inklusive schriftlichem Bericht.
Maßnahmen-Roadmap: Priorisierter Umsetzungsplan: Was ist Pflicht, was ist Best Practice, was kann warten — mit realistischen Zeitplänen.
Risikomanagement: Einführung oder Verbesserung Ihres Risikomanagementprozesses nach NIS2-Anforderungen, ISMS-Grundlagen.
Vorfall-Reaktionsplan: Prozesse für die 24h-Meldepflicht bei Sicherheitsvorfällen — wer meldet, was wird gemeldet, wie wird dokumentiert.
Geschäftsführer-Briefing: Verständliche Aufbereitung der persönlichen Haftungsrisiken und des erforderlichen Nachweises für die Geschäftsleitung.
Kontinuierliche Begleitung: NIS2 ist kein einmaliges Projekt — ich begleite Sie langfristig als vCISO oder in definierten regelmäßigen Reviews.

So läuft es ab

Quick-Check: Betroffenheit & Ersteinschätzung (1 Woche)

Klärung, ob und in welcher Kategorie Sie NIS2-pflichtig sind. Überblick über die wichtigsten Anforderungen. Empfehlung für die nächsten Schritte.

Detailanalyse & Gap-Report (2–4 Wochen)

Systematische Prüfung Ihrer aktuellen Maßnahmen gegen alle NIS2-Anforderungen. Schriftlicher Bericht mit Lücken und Priorisierung.

Maßnahmen-Roadmap (1 Woche)

Schriftlicher Umsetzungsplan: Was ist bis wann zu tun, welche Ressourcen werden benötigt, was kann intern umgesetzt werden und wo braucht es externe Unterstützung.

Umsetzung (3–9 Monate, je nach Ausgangslage)

Begleitung der Umsetzung: Dokumentation, technische Maßnahmen, Schulungen, Prozessetablierung. Iterativ und mit klaren Meilensteinen.

Nachweis-Vorbereitung & Laufende Compliance

Sicherstellung, dass alle Nachweise vollständig und aktuell sind. Vorbereitung auf mögliche BSI-Prüfungen. Laufende Aktualisierung bei neuen Anforderungen.

Was Sie davon haben

Rechtssichere Compliance

Nachweisbare Erfüllung der NIS2-Anforderungen — dokumentiert, aktuell und für Behörden prüfbar.

GF-Haftung reduziert

Dokumentierte Umsetzung und regelmäßiges Reporting schützen die Geschäftsführung vor persönlicher Haftung nach NIS2.

Klares Vorgehen statt Panik

Statt Aktionismus einen strukturierten Plan — was ist wirklich Pflicht, was ist Nice-to-have, was kostet wie viel.

Frühzeitige BSI-Registrierung

Die Registrierungspflicht besteht bereits — je früher, desto besser. Wir erledigen das vollständig und korrekt.

Cybersicherheit als Wettbewerbsvorteil

Kunden, Lieferanten und Partner fragen zunehmend nach Sicherheitsnachweisen. NIS2-Compliance ist ein Signal: Wir nehmen das ernst.

Synergien mit ISO 27001 / TISAX

Ein NIS2-ISMS schafft die Grundlage für ISO 27001 oder TISAX — Sie investieren einmal und profitieren mehrfach.

Häufige Fragen zu NIS2

Woher weiß ich, ob mein Unternehmen NIS2-pflichtig ist?

Die Betroffenheit ergibt sich aus zwei Faktoren: dem Sektor (18 Sektoren im Anhang des Gesetzes) und der Unternehmensgröße (ab 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz). Es gibt keine automatische Benachrichtigung — jedes Unternehmen muss selbst prüfen. Das BSI stellt einen Online-Selbstauskunft-Check bereit, aber für eine rechtssichere Einschätzung empfehle ich eine fachkundige Analyse. Ich mache das mit Ihnen in wenigen Stunden.

Was passiert, wenn ich die BSI-Registrierung vergesse?

Die Registrierungspflicht ist bereits mit Inkrafttreten des Gesetzes entstanden. Das BSI kann die Registrierung einfordern und bei Nichtbefolgen Bußgelder verhängen. Zudem ist die Registrierung Voraussetzung für die Erfüllung der Meldepflichten — ohne Registrierung können Vorfälle nicht ordnungsgemäß gemeldet werden, was wiederum Bußgelder auslösen kann.

Wie läuft die 24h-Meldepflicht bei einem Sicherheitsvorfall ab?

Nach Bekanntwerden eines erheblichen Sicherheitsvorfalls: Innerhalb von 24 Stunden Erstmeldung an das BSI (mit grundlegenden Informationen), innerhalb von 72 Stunden Folgemeldung (mit detaillierten Informationen), innerhalb von 1 Monat Abschlussbericht. Die Meldung erfolgt über das MELDEPLATTFORM-System des BSI. Ein vorbereiteter Reaktionsplan spart in diesem Moment Zeit und Nerven.

Deckt NIS2 auch meine Lieferanten ab?

NIS2 verpflichtet betroffene Unternehmen, auch die Sicherheit ihrer kritischen Lieferanten und Dienstleister zu managen. Das bedeutet: Risikobeurteilung für wichtige IT-Dienstleister, vertragliche Anforderungen an deren Sicherheitsmaßnahmen und laufende Überwachung. Viele Mittelständler werden dadurch indirekt durch ihre Kunden unter NIS2-Druck gesetzt.

Hilft mir ein ISO 27001-ISMS bei NIS2?

Erheblich. Ein ISMS nach ISO 27001 deckt die meisten NIS2-Anforderungen an das Risikomanagement bereits ab. Die NIS2-spezifischen Ergänzungen (BSI-Registrierung, Meldepflichten, GF-Schulungspflicht) sind dann relativ überschaubar. Ich helfe Ihnen, ein bestehendes ISMS NIS2-ready zu machen oder beides parallel aufzubauen.

NIS2 — Handeln statt Abwarten

Das Gesetz ist in Kraft. Je länger Sie warten, desto größer das Risiko. Lassen Sie uns Ihre Betroffenheit prüfen und einen klaren Plan entwickeln.

Termin online buchen Kontakt aufnehmen →