NIS2-Beratung
Pragmatische NIS2-Umsetzung für deutsche und EU-weit tätige Unternehmen. Wir führen Sie vom Scoping über die Risikoanalyse bis zur prüfungsfertigen Dokumentation nach NIS-2-Umsetzungsgesetz — ohne unnötige Beratungs-Overhead.
Vertrauenspartner führender Unternehmen
Unsere NIS2-Beratungsleistungen
NIS2-Scoping und Betroffenheitsanalyse
Klärung, ob und in welcher Kategorie (wesentlich / wichtig) Ihr Unternehmen unter NIS2 fällt — inklusive Zuordnung zu Anlage 1 oder 2, Schwellenwerten und konzernweiter Betrachtung.
Gap-Analyse gegen die 10 NIS2-Mindestanforderungen
Strukturierte Prüfung Ihrer bestehenden Sicherheitsmaßnahmen gegen Art. 21 der NIS2-Richtlinie — Risikomanagement, Business Continuity, Lieferkette, Verschlüsselung, Zugriffskontrolle, Incident Handling und weitere.
ISMS-Aufbau nach ISO 27001 oder BSI-Grundschutz
Ein Informationssicherheits-Managementsystem, das NIS2-Anforderungen vollständig abdeckt und zugleich als Grundlage für eine spätere ISO-27001-Zertifizierung dient.
Incident-Response und Meldewege nach § 32 BSIG
Aufbau der 24h-Erst-Meldung, 72h-Detailmeldung und Abschlussbericht an das BSI. Erprobte Playbooks, Kommunikations-Templates und Eskalationsketten.
Lieferantenmanagement nach Art. 21 Abs. 2 lit. d
Risikobewertung Ihrer kritischen Dienstleister, vertragliche Mindeststandards (Sicherheitsanhang, Auditrechte) und Monitoring über den gesamten Lebenszyklus.
Geschäftsleitungs-Verantwortung und Schulung
Die Geschäftsleitung haftet nach § 38 NIS-2-UmsuCG persönlich. Wir dokumentieren die Risikogenehmigung, führen Executive-Briefings durch und schulen Führungskräfte praxisnah.
Was passiert ohne rechtzeitige NIS2-Umsetzung?
Die Nichteinhaltung kann erhebliche finanzielle, operative und persönliche Konsequenzen haben — auch für die Geschäftsleitung.
Bußgelder bis zu 10 Mio. € oder 2 % Umsatz
Wesentliche Einrichtungen riskieren bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen bis zu 7 Mio. € bzw. 1,4 %.
Persönliche Haftung der Geschäftsleitung
Nach § 38 NIS-2-UmsuCG haftet die Geschäftsleitung für die Umsetzung und Überwachung der Risikomanagement-Maßnahmen — individuell und persönlich.
Veröffentlichung von Sicherheitsvorfällen
Das BSI kann Sicherheitsvorfälle und deren Behandlung öffentlich bekannt machen — mit messbarem Reputations- und Vertrauensschaden.
Aufsichtsrechtliche Anordnungen und Prüfungen
BSI und zuständige Aufsichtsbehörden können Audits anordnen, Maßnahmenpläne verfügen und im Extremfall die Tätigkeit einschränken.
Was die NIS2-Richtlinie konkret von Ihnen verlangt
Die NIS2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz formulieren in Art. 21 einen risikobasierten Pflichtenkatalog. Wir übersetzen die Anforderungen in konkrete, überprüfbare Maßnahmen.
Risikomanagement & Governance
- Dokumentiertes Informationssicherheits-Risikomanagement (Identifikation, Bewertung, Behandlung)
- Informationssicherheits-Richtlinie mit Geschäftsleitungs-Freigabe
- Rollenmodell: CISO, Informationssicherheitsbeauftragter, Datenschutzbeauftragter
- Regelmäßige Risk Reviews und Management-Berichte
- Business Continuity und Wiederanlauf-Planung (BCM)
- Backup-Konzept und -Tests
Technische & organisatorische Maßnahmen
- Zugriffskontrolle nach Least-Privilege-Prinzip und Multi-Faktor-Authentifizierung
- Netzwerksegmentierung und sichere Systemkonfiguration
- Kryptographie und Schlüsselmanagement
- Security-Monitoring, SIEM und Schwachstellenmanagement
- Sichere Softwareentwicklung und Change-Management
- Physische Sicherheit von Rechenzentren und Arbeitsplätzen
Incident Response & Lieferkette
- 24-Stunden-Erst-Meldung an das BSI bei erheblichen Sicherheitsvorfällen
- 72-Stunden-Detailmeldung und Abschlussbericht nach 30 Tagen
- Lieferanten-Risikobewertung und vertragliche Mindestanforderungen
- Prüfung kritischer ICT-Dienstleister (Cloud, SaaS, Managed Services)
- Krisenkommunikation und Medien-Readiness
- Regelmäßige Incident-Response-Übungen (Tabletop, Red Team)
Unser Vorgehen: In 90 Tagen zur NIS2-Readiness
Woche 1–2: Scoping und Betroffenheitsanalyse
Kickoff-Workshop mit Geschäftsleitung und Sicherheitsverantwortlichen. Klärung von Anwendungsbereich, Kategorisierung (wesentlich/wichtig) und konzernweiter Betrachtung.
Woche 3–5: Gap-Analyse nach Art. 21 NIS2
Strukturierte Prüfung aller Maßnahmenbereiche — inklusive Interviews mit IT, Einkauf, Legal und Datenschutz. Dokumentensichtung und technische Stichproben.
Woche 6–9: Remediation und Dokumentation
Umsetzung der priorisierten Maßnahmen gemeinsam mit Ihrem Team. Erstellung von Richtlinien, Verfahrensanweisungen und Nachweisen — prüfungsfertig für Aufsichtsaudits.
Woche 10–12: Meldewege, Schulung, Übergabe
Technische Einrichtung des BSI-Meldekanals, Executive-Briefing für die Geschäftsleitung, Mitarbeiterschulung und formeller Übergang in den Regelbetrieb.
Häufige Fragen zur NIS2-Beratung
NIS2 gilt für Unternehmen in 18 Sektoren (Anlage 1 und 2 des NIS-2-Umsetzungsgesetzes), die mindestens 50 Mitarbeitende oder 10 Mio. € Jahresumsatz aufweisen. Bestimmte Sektoren (z. B. Anbieter öffentlicher elektronischer Kommunikationsnetze, qualifizierte Vertrauensdienste, DNS-Dienstleister) unterliegen NIS2 unabhängig von der Größe. Unser kostenloser NIS2-Prüfer klärt die Betroffenheit in 5 Minuten.
„Wesentliche Einrichtungen" (Anlage 1) sind Unternehmen in den kritischsten Sektoren — Energie, Transport, Banken, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung. „Wichtige Einrichtungen" (Anlage 2) decken weitere regulierte Branchen ab: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Industrie, digitale Anbieter, Forschung. Wesentliche Einrichtungen unterliegen strengeren Aufsichtspflichten und höheren Bußgeldern.
Bei einem erheblichen Sicherheitsvorfall gelten nach § 32 BSIG gestaffelte Meldepflichten: (1) Erst-Frühwarnung innerhalb von 24 Stunden nach Kenntnis, (2) Detailmeldung innerhalb von 72 Stunden mit Erst-Bewertung und Indikatoren, (3) Abschlussbericht innerhalb eines Monats. Wir richten den technischen und organisatorischen Meldekanal ein und stellen Vorlagen bereit.
Wesentliche Einrichtungen riskieren Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen liegt die Obergrenze bei 7 Mio. € oder 1,4 % des Umsatzes. Zusätzlich kann die Geschäftsleitung persönlich nach § 38 NIS-2-UmsuCG haftbar gemacht werden.
Für ein mittelständisches Unternehmen mit vorhandener IT-Sicherheits-Basis dauert die NIS2-Readiness in der Regel 3–6 Monate. Unternehmen ohne ISMS benötigen erfahrungsgemäß 6–12 Monate bis zur vollständigen Umsetzung. Wir liefern nach dem Gap-Assessment eine belastbare Zeit- und Kostenplanung.
Eine etablierte ISO-27001-Zertifizierung deckt einen Großteil der NIS2-Anforderungen aus Art. 21 ab — rund 70–80 % Überschneidung. Trotzdem gibt es NIS2-spezifische Zusatzanforderungen, u. a. zu Meldepflichten (§ 32 BSIG), Lieferkette, Geschäftsleitungs-Verantwortung und Registrierung beim BSI. Wir prüfen Ihre bestehende Zertifizierung im Delta-Assessment.
NIS2 erweitert den Anwendungsbereich erheblich (18 statt 7 Sektoren), führt einheitliche Mindestanforderungen und schärfere Sanktionen ein. In Deutschland wird NIS2 durch das NIS-2-Umsetzungsgesetz (NIS-2-UmsuCG) in nationales Recht überführt und löst das IT-Sicherheitsgesetz 2.0 in weiten Teilen ab. Neue Pflichten: Geschäftsleitungs-Haftung, BSI-Registrierung, strengere Meldepflichten.
Unser Standard-Mandat umfasst: (1) Scoping und Betroffenheitsanalyse, (2) Gap-Analyse nach Art. 21 NIS2, (3) Risikobewertung und Maßnahmen-Roadmap, (4) Umsetzung gemeinsam mit Ihrem Team, (5) Dokumentations-Set (Richtlinien, Verfahren, Nachweise), (6) Meldewege und Krisenorganisation, (7) Mitarbeiter- und Führungskräfte-Schulungen, (8) optional: laufende Governance als ausgelagerter Informationssicherheitsbeauftragter.
Branchen mit NIS2-Pflicht
Sind Sie NIS2-ready?
Unverbindliches Erstgespräch — 30 Minuten. Wir klären Ihre Betroffenheit, priorisieren die nächsten Schritte und liefern eine realistische Zeit- und Kostenschätzung.