Compliance

kann Tempo.

Wir zeigen wie.

NIS2-Beratung: Umsetzung, Betroffenheitsanalyse und Audit aus einer Hand

NIS-2-Richtlinie sicher umsetzen

Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen auf rund 30.000 Unternehmen in Deutschland und schreibt strenge Meldepflichten, Risikomanagement-Maßnahmen und schärfere Sanktionen vor – inklusive persönlicher Haftung der Geschäftsleitung. Wir prüfen Ihre Betroffenheit, leiten konkrete Maßnahmen ab und begleiten Sie bis zur nachweisbaren Compliance.

Beratungstermin vereinbaren

NIS2-Audit-Quickcheck: Betroffenheitsprüfung, Reifegrad-Analyse und Identifikation kritischer Lücken

Kostenloser NIS2-Audit-Quickcheck

Sie wissen nicht, ob Ihr Unternehmen unter NIS2 fällt? Mit unserem NIS2-Audit-Tool ermitteln Sie in wenigen Minuten Ihre Betroffenheit, den Reifegrad Ihrer Cybersicherheit und die wichtigsten nächsten Schritte – kostenlos und unverbindlich.

Zum NIS2-Audit-Tool

NIS2-Beratung gemeinsam mit Datenschutz & IT-Sicherheit aus einer Hand

Beratungstermin buchen

NIS2: Ermitteln Sie Ihre individuelle Umsetzungpflicht mit unserem Audit-Tool

NIS2 „Sofort-Audit“

Was ist die NIS-2-Richtlinie?

Die Network and Information Security Directive 2 (NIS-2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer und wichtiger Einrichtungen. Sie löst die ursprüngliche NIS-Richtlinie ab und weitet ihren Anwendungsbereich erheblich aus: Statt rund 5.000 KRITIS-Unternehmen fallen künftig in Deutschland etwa 30.000 Unternehmen unter die Regelung.

Mit dem deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde die EU-Richtlinie in nationales Recht überführt. Maßgebliche Regelung ist das BSI-Gesetz. Betroffene Unternehmen müssen technische und organisatorische Maßnahmen zum Risikomanagement umsetzen, Sicherheitsvorfälle innerhalb klar definierter Fristen melden und ihre Compliance gegenüber dem BSI nachweisen.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Erfasst sind grundsätzlich Unternehmen mit mindestens 50 Beschäftigten oder 10 Mio. EUR Jahresumsatz – in bestimmten Sektoren auch ohne diese Schwellen.

Wesentliche Sektoren (u. a.):

Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur
Gesundheitswesen, Trinkwasser, Abwasser
Digitale Infrastruktur, IKT-Dienstmanagement
Öffentliche Verwaltung, Raumfahrt

Wichtige Sektoren (u. a.):

Post- und Kurierdienste, Abfallwirtschaft
Chemische Erzeugnisse, Lebensmittel
Verarbeitendes Gewerbe (Medizinprodukte, Maschinenbau, Elektronik, Fahrzeuge)
Anbieter digitaler Dienste, Forschung

Anforderungen der NIS-2-Richtlinie

Artikel 21 NIS2 / § 30 BSI-Gesetz verpflichtet Unternehmen zu einem umfassenden Risikomanagement. Die Maßnahmen müssen nach dem Stand der Technik geeignet, verhältnismäßig und nachweisbar sein.

Mindestmaßnahmen nach Art. 21 NIS2 / § 30 BSI-Gesetz:

Risikoanalyse und Sicherheitskonzepte für Informationssysteme
Bewältigung von Sicherheitsvorfällen (Incident Response)
Aufrechterhaltung des Betriebs (Business Continuity, Backup, Krisenmanagement)
Sicherheit der Lieferkette inkl. Beziehungen zu Zulieferern
Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
Konzepte zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen
Cyberhygiene und Schulung der Mitarbeitenden
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle, Asset-Management
Multi-Faktor-Authentifizierung und sichere Kommunikation

Meldepflichten bei Sicherheitsvorfällen:

24 Stunden – Frühwarnung an das BSI
72 Stunden – ausführliche Meldung mit erster Bewertung
1 Monat – Abschlussbericht mit Ursachen und Maßnahmen

Sanktionen bei Verstößen:

Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes
Persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen

Pflichten der Geschäftsleitung

Mit NIS2 rückt die Verantwortung explizit auf Vorstands- und Geschäftsführungsebene. Leitungsorgane müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an verpflichtenden Schulungen teilnehmen. Verstöße können zu persönlicher Haftung führen – auch privat.

Unsere NIS2-Beratung – in 4 Phasen zur Compliance

1. Betroffenheitsanalyse

Wir prüfen, ob und in welcher Kategorie (wesentlich / wichtig) Ihr Unternehmen unter NIS2 fällt. Grundlage sind Sektor, Größenklassen, Geschäftsmodell und Lieferketten-Position. Ergebnis: rechtssichere Einstufung mit Dokumentation für Aufsichtsbehörden.

2. Gap-Analyse & Reifegrad-Audit

Wir vergleichen Ihre vorhandenen Maßnahmen mit den NIS2-Anforderungen nach Art. 21 NIS2 / § 30 BSI-Gesetz. Sie erhalten einen priorisierten Maßnahmenplan, abgestimmt auf BSI-IT-Grundschutz und – falls vorhanden – ISO 27001 oder bestehende ISMS-Strukturen.

3. Umsetzung & Dokumentation

Wir begleiten die operative Umsetzung: Risikomanagement-Prozess, Incident-Response-Plan, Business Continuity, Lieferketten-Sicherheit, Schulungen für Geschäftsleitung und Mitarbeitende. Alle Maßnahmen werden prüfungssicher dokumentiert.

4. Nachweis & Folge-Audit

Wir bereiten Sie auf BSI-Nachweise vor, prüfen die Wirksamkeit der eingeführten Maßnahmen und führen jährliche Folge-Audits durch. So bleibt Ihre NIS2-Compliance dauerhaft belastbar.

NIS2 trifft auf DSGVO und KI-Compliance

NIS2 lässt sich in der Praxis nicht isoliert betrachten. Risikomanagement, Meldepflichten und Lieferketten-Sicherheit greifen direkt in DSGVO-Pflichten und in den EU AI Act ein. Wir denken die drei Regelwerke als integriertes Compliance-Framework: ein Risikoregister, ein Vorfall-Prozess, eine Lieferanten-Bewertung – statt drei parallele Insellösungen. So vermeiden Sie Doppelarbeit, schließen Lücken und reduzieren das Haftungsrisiko der Geschäftsleitung.

FAQ NIS2 / NIS-2-Richtlinie

Die NIS-2-Richtlinie ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie legt verbindliche Cybersicherheits-Mindestanforderungen für rund 30.000 Unternehmen in Deutschland fest und verpflichtet zu Risikomanagement, Meldungen und Nachweisen. In Deutschland erfolgte die nationale Umsetzung im BSI-Gesetz.

Erfasst werden Unternehmen aus 18 definierten Sektoren – ab 50 Beschäftigten oder 10 Mio. EUR Umsatz. In besonders kritischen Sektoren wie Energie, Telekommunikation oder Trinkwasser gelten die Pflichten unabhängig von der Unternehmensgröße.

Art. 21 NIS2 / § 30 BSI-Gesetz verlangt u. a. Risikoanalyse, Incident Response, Business Continuity, Lieferketten-Sicherheit, Cyberhygiene-Schulungen, Multi-Faktor-Authentifizierung, Verschlüsselung und Zugriffskontrolle – alles auf Stand der Technik und nachweisbar dokumentiert.

Geschäftsleitungen müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an verpflichtenden Cybersicherheits-Schulungen teilnehmen. Bei Verstößen besteht persönliche Haftung – auch mit dem Privatvermögen.

Wesentliche Einrichtungen riskieren bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Bei wichtigen Einrichtungen liegt der Rahmen bei 7 Mio. EUR oder 1,4 % des Umsatzes. Hinzu kommen Anordnungen, Untersagungen und persönliche Haftung der Leitungsebene.

Sicherheitsvorfälle mit erheblichen Auswirkungen müssen innerhalb von 24 Stunden als Frühwarnung an das BSI gemeldet werden, innerhalb von 72 Stunden folgt eine ausführliche Meldung, nach spätestens einem Monat ein Abschlussbericht.

NIS2 und DSGVO ergänzen sich: Wo die DSGVO den Schutz personenbezogener Daten regelt, sichert NIS2 die Verfügbarkeit, Integrität und Vertraulichkeit der dahinterliegenden Systeme ab. Risikoanalysen, Vorfall-Meldungen und Lieferanten-Bewertungen lassen sich für beide Regelwerke gemeinsam aufbauen.

Wir starten mit einer Betroffenheitsanalyse, führen ein Reifegrad-Audit gegen Art. 21 NIS2 / § 30 BSI-Gesetz und BSI-IT-Grundschutz durch, begleiten die Umsetzung der Maßnahmen und bereiten Ihr Unternehmen auf BSI-Nachweise vor. Auf Wunsch auch im Verbund mit DSGVO- und KI-Compliance-Beratung.

Webinare

Newsletter

Kontakt