Die NIS2-Richtlinie verpflichtet Unternehmen in kritischen Sektoren zu umfassenden Sicherheitsmaßnahmen – mit erweitertem Geltungsbereich und persönlicher Haftung der Geschäftsleitung. Wir klären in einer Betroffenheitsanalyse, ob Ihr Unternehmen betroffen ist, und begleiten Sie strukturiert bei der Umsetzung der Anforderungen.
decorative image
Das Erstgespräch ist kostenlos und unverbindlich. Einfach den Kalender aufrufen und einen Termin auswählen.
decorative image
"Ist mein Unternehmen von NIS2 betroffen? Und wenn ja, was muss ich tun?"
NIS2 verursacht Hektik – wir schaffen Ruhe.
Die NIS2-Richtlinie erweitert die Pflichten für Unternehmen in kritischen Sektoren deutlich. Das Umsetzungsgesetz verlangt ein belastbares ISMS, klare Verantwortlichkeiten, definierte Meldeprozesse und angemessene technische Schutzmaßnahmen. Bei Verstößen drohen empfindliche Sanktionen – bis hin zur persönlichen Haftung der Geschäftsleitung.
Die Anforderungen sind umfangreich, die Fristen eng. Genau dafür sind wir da: Wir bringen Ordnung in die Komplexität und geben Ihrem Unternehmen einen klaren Fahrplan.
Betroffenheit und konkrete Pflichten verständlich klären
Maßnahmen priorisieren und strukturiert umsetzen
Registrierung, Meldeprozesse und Governance aufsetzen
Diese und weitere Unternehmen vertrauen auf unsere Beratung:
decorative image
decorative image
decorative image
Leistungen rund um die NIS2-Richtlinie
Flexibel umsetzen und konform bleiben
Ob Einzelprojekt oder laufendes Full-Service-Paket mit Software und Mandat als Informationssicherheitsbeauftragter: Stellen Sie sich aus unseren drei frei kombinierbaren Leistungsmodulen die ideal passende Lösung zur NIS2-Richtlinie zusammen.
decorative image
Implementierungsprojekt
Ist Ihr Unternehmen betroffen – und wenn ja, in welchem Umfang? Wir prüfen das systematisch und setzen die Anforderungen strukturiert um: vom Aufbau oder der Erweiterung Ihres ISMS über Meldeprozesse und Governance-Strukturen bis zur Registrierung beim BSI.
Die GRC Cloud zählt zu den führenden Managementsystemen im DACH-Raum und ermöglicht eine einfache, teamübergreifende und ressourcenschonende Steuerung Ihrer Informationssicherheit. Auf Wunsch setzen wir Ihr ISMS direkt darin um oder migrieren Ihr System später in die Software.
Auf Wunsch übernehmen wir die fachliche Führung als externer ISB, begleitend zum Projekt und darüber hinaus. So bleibt Ihr Unternehmen dauerhaft NIS2-konform und Sie sind auf behördliche Überprüfungen vorbereitet.
Der erste Schritt zur Konformität ist nur ein Gespräch entfernt.
Die ursprüngliche NIS-Richtlinie kennen wir – die neue auch. Vereinbaren Sie ein kostenloses und unverbindliches Erstgespräch und gewinnen Sie Klarheit, was rund um NIS2 zu tun ist.
Betroffenheitsanalyse anhand des NIS2-Umsetzungsgesetzes
Erste Einschätzung zur Roadmap und zum Zeithorizont
ISMS mit einer der führenden Compliance-Plattformen implementieren.
Ein wirksames ISMS braucht ein System, das Risiken, Assets, Kontrollen, Incidents und Kennzahlen zentral bündelt und steuerbar macht. Genau dafür stellen wir die GRC Cloud unseres Partners Akarion bereit. Die Plattform bildet die NIS2-Anforderungen vollständig ab und identifiziert NIS2-relevante Assets automatisch durch Vererbung von Geschäftsprozessen und Business Services. So erkennen Sie auf einen Blick, welche Assets in den Geltungsbereich fallen.
NIS2 ist kein einmaliges Projekt. Anforderungen entwickeln sich weiter, Meldepflichten bleiben bestehen und die Geschäftsleitung haftet persönlich für die Einhaltung. Als externer ISB übernehmen wir die fachliche Führung und stellen sicher, dass Ihr Unternehmen dauerhaft konform bleibt und auf behördliche Überprüfungen vorbereitet ist.
Sofort verfügbare Expertise ohne internen Schulungsaufwand
Ihr ISMS hält mit der Entwicklung Ihres Unternehmens Schritt
Lücken besser erkennen dank unabhängigem Blick von außen
Sie haben feste Ansprechpartner, die Ihr Unternehmen, Ihre Strukturen und Ihre Risiken kennen
Sie erreichen uns schnell und verlässlich – im Ernstfall auch außerhalb der Geschäftszeiten
Sie erhalten Maßnahmen, die zu Ihrer Organisation passen, statt Lösungen nach Schablone
Sie können sich auf die Umsetzung der NIS2-Richtlinie im vereinbarten Zeitraum verlassen
NIS2-Richtlinie
Fragen & Antworten
Was ist NIS2?
NIS2 ist die EU-Richtlinie zur Stärkung der digitalen Resilienz. Sie definiert Sicherheitsanforderungen für Unternehmen in kritischen Sektoren, deren Ausfall zu erheblichen gesellschaftlichen oder wirtschaftlichen Schäden führen kann. Der Kreis an Unternehmen wurde mit NIS2 gegenüber NIS1 deutlich erweitert. Inzwischen ist das NIS2-Umsetzungsgesetz verabschiedet und in Kraft. Betroffene Unternehmen werden nicht behördlich benachrichtigt – eine fachliche Betroffenheitsprüfung klärt, ob ein Unternehmen unter NIS2 fällt oder nicht.
Für wen ist NIS2 relevant?
Die NIS2-Richtlinie gilt für Unternehmen aus kritischen Sektoren, die in die beiden Kategorien „wesentlich“ und „wichtig“ zugeordnet sind.
Wichtige Einrichtungen: Post, Abfall, Chemie, Lebensmittel, produzierendes Gewerbe (kann für viele relevant werden) und digitale Dienste.
Durch die deutlich erweiterten Kriterien fallen nun auch viele Mittelstandsunternehmen unter die Richtlinie. Die Pflichten sind, sofern ein Unternehmen unter die Richtlinie fällt, sofort und ohne Übergangsfrist verbindlich. Wer eine wesentliche Rolle in einer Liefer- oder Wertschöpfungskette spielt, sollte die eigene Betroffenheit prüfen.
Wie finde ich heraus, ob mein Unternehmen von NIS2 betroffen ist?
Eine strukturierte Betroffenheitsanalyse liefert Klarheit. Sie bewertet Branche, Größe, Rolle in der Lieferkette und konkrete Tätigkeiten. Das Ergebnis zeigt, ob und in welchem Umfang Pflichten bestehen. Gerne führen wir die Betroffenheitsanalyse mit Ihnen durch. Buchen Sie einfach einen Termin.
Welche Anforderungen bringt NIS2 konkret mit sich?
Insgesamt zieht das NIS2-Umsetzungsgesetz den Sicherheitsgürtel für Unternehmen deutlich enger:
Registrierungspflicht: Betroffene Unternehmen müssen sich bis zum 06.03.2026 bei der vom BSI und BBK eingerichteten Meldestelle registriert und dabei auch alle eingesetzten kritischen Komponenten angegeben haben.
Umfassende Cybersicherheitsmaßnahmen: Im Wesentlichen ein belastbares ISMS, erweitertes Risikomanagement, striktere Dokumentationspflichten, technische Schutzvorkehrungen, klare Governance, schnelle Vorfallsmeldung.
Erweiterte Meldepflichten: Erhebliche Sicherheitsvorfälle müssen in einem dreistufigen Verfahren den zuständigen Behörden (BSI, BBK, BNetzA) gemeldet werden.
Geschäftsleitungshaftung: Die Geschäftsleitung trägt ausdrücklich Verantwortung für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen und muss regelmäßig an Schulungen zur Bewertung von Cyberrisiken teilnehmen.
Was ist das Ziel von NIS2?
Angesichts steigender Cyberbedrohungen soll NIS2 europaweit ein verlässliches Mindestniveau an Informationssicherheit in kritischen Sektoren herstellen. Das Ziel lautet: Ausfälle verhindern, Risiken reduzieren und die Funktionsfähigkeit kritischer Prozesse schützen.
Wie lang dauert die Umsetzung von NIS2?
Die Dauer bis zur vollständigen NIS2-Compliance hängt vom Reifegrad Ihres Unternehmens ab. Unternehmen, die noch kein strukturiertes, wirksames ISMS nach ISO 27001 haben, benötigen meist mehrere Monate. Unternehmen, die bereits nach ISO 27001 arbeiten, können die Pflichten von NIS2 schneller adaptieren. Da die Registrierungsfrist bereits abgelaufen ist, ist schnelles und strukturiertes Handeln wichtig, sofern sich herausstellt, dass Ihr Unternehmen betroffen ist.
Wie hängen NIS2 und ISO 27001 zusammen?
Sowohl ISO 27001 als auch NIS2 verfolgen den Aufbau eines wirksamen Informationssicherheits-Managementsystems (ISMS). NIS2 formuliert gesetzliche Pflichten, ISO 27001 liefert eine international anerkannte Methodik, um diese strukturiert umzusetzen. Ein zertifiziertes ISMS deckt viele NIS2-Anforderungen bereits ab, ersetzt aber nicht die Pflicht zur Betroffenheitsprüfung und zur Erfüllung spezifischer Vorgaben, die auf der ISO 27001 aufbauen.
Wie setze ich NIS2 um, wenn ich nach ISO 27001 zertifiziert bin?
Unternehmen mit zertifiziertem ISMS nach ISO 27001 verfügen bereits über zentrale Bausteine, die in der NIS2-Richtlinie gefordert werden. Bis zu 70 % der Anforderungen sind damit bereits erfüllt. Dennoch sind zusätzliche Schritte erforderlich: Es braucht einen Abgleich mit den NIS2-Mindestmaßnahmen, eine Prüfung der Melde- und Governance-Pflichten sowie eine Anpassung der internen Prozesse. So ist die Umsetzung von NIS2 kein Projekt von null an, sondern sondern eine gezielte Erweiterung bestehender Strukturen.
Welche Sanktionen sind bei Verstößen zu erwarten?
Bei Verstößen sieht die NIS2-Richtlinie empfindliche Bußgelder vor, die sich zwischen „wesentlichen“ und „wichtigen“ Sektoren und nach der Schwere des Verstoßes unterscheiden. Die Sanktionen reichen von 100.000 Euro bis 7 Millionen Euro oder 1,4 % des Jahresumsatzes ("wichtige Einrichtungen") und bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes ("wesentliche Einrichtungen").
Was passiert, wenn man die Registrierungspflicht verpasst hat?
Unternehmen, die der NIS2-Richtlinie unterliegen, sind gemäß § 33 BSIG verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Die Nichterfüllung dieser Pflicht stellt eine Ordnungswidrigkeit dar und kann mit empfindlichen Bußgeldern geahndet werden – je nach Unternehmenskategorie bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes bei wichtigen Einrichtungen bzw. bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen.
Darüber hinaus haften Geschäftsführer und Vorstände bei nachgewiesenen Verstößen künftig persönlich. Die Registrierungspflicht sollte daher nicht als bürokratische Formalität, sondern als haftungsrelevante Managementaufgabe verstanden werden.
Was kostet die NIS2-Beratung?
Die Kosten einer NIS2-Beratung hängen maßgeblich vom Umfang der erforderlichen Maßnahmen ab. Entscheidend sind insbesondere die Einstufung der Organisation als wesentliche oder wichtige Einrichtung, der bestehende Reifegrad der Informationssicherheit, die Komplexität der eingesetzten Netz- und Informationssysteme sowie der Geltungsbereich der zu implementierenden Sicherheitsmaßnahmen gemäß Art. 21 NIS2-Richtlinie.
Für eine belastbare Einschätzung empfiehlt sich ein initiales Beratungsgespräch, in dem der konkrete Handlungsbedarf ermittelt und ein transparentes Angebot erstellt werden kann.
decorative image
decorative image
decorative image
Bereit für NIS2? Wir auch.
Zahlreiche Unternehmen vertrauen uns ihre Informationssicherheit schon an. Vereinbaren auch Sie ein unverbindliches Gespräch – unsere Experten freuen sich, Sie kennenzulernen.
