Compliance & Umsetzung nach NIS2UmsuCG

NIS2-Beratung für Unternehmen

Seit Dezember 2025 ist NIS2 deutsches Gesetz (NIS2UmsuCG). Rund 30.000 Unternehmen müssen sich gegen Datenlecks, Ransomware, Phishing-Angriffe, Insider-Bedrohungen und DDoS-Attacken absichern — bei Bußgeldern bis 10 Mio. EUR und persönlicher Geschäftsführer-Haftung nach §38 BSIG. Wir begleiten Sie von der Betroffenheitsprüfung über Penetration Testing bis zur vollständigen NIS2-Compliance.

Warum NIS2-Beratung?

Schützen Sie Ihr Unternehmen vor Bußgeldern und Haftungsrisiken

Betroffenheitsprüfung

Klärung ob NIS2 für Ihr Unternehmen gilt: ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 Sektoren. Das NIS2UmsuCG definiert klar die Schwellenwerte — wir prüfen Ihre genaue Einstufung als 'besonders wichtige' oder 'wichtige Einrichtung' gemäß §28 BSIG.

Bußgeldschutz bis 10 Mio. EUR

Vermeiden Sie Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes durch rechtzeitige NIS2-Compliance. Bei 'wichtigen Einrichtungen' drohen bis zu 7 Mio. EUR oder 1,4% des Umsatzes. Die Frist ist bereits abgelaufen — handeln Sie jetzt.

Geschäftsführer-Haftung absichern

NIS2 sieht eine persönliche Haftung der Geschäftsleitung vor (§38 BSIG). Geschäftsführer müssen die Umsetzung von Risikomanagementmaßnahmen überwachen und an Cybersicherheitsschulungen teilnehmen. Wir dokumentieren Ihre Compliance lückenlos.

Penetration Testing

NIS2-Pflicht nach §30 BSIG: Regelmäßige Sicherheitstests für Web-Anwendungen, Netzwerke, APIs und mobile Applikationen durch zertifizierte Experten. Wir identifizieren Schwachstellen, bevor es Angreifer tun — mit detailliertem Bericht und Maßnahmenplan.

24h-Meldepflicht einrichten

§32 BSIG fordert: 24h-Erstmeldung an das BSI, 72h-Detailbericht und Abschlussbericht innerhalb eines Monats. Wir etablieren Ihren vollständigen Incident-Response-Prozess mit klaren Rollen, Kommunikationswegen und Vorlagen für die BSI-Meldung.

Systematisches Risikomanagement

Systematische Risikobewertung und Maßnahmenplan nach §30 BSIG — die Grundlage Ihrer NIS2-Compliance. Wir identifizieren, bewerten und priorisieren Ihre IT-Risiken und erstellen einen dokumentierten Behandlungsplan mit konkreten Maßnahmen und Zeitrahmen.

ISMS-Aufbau (ISO 27001)

Ein Information Security Management System (ISMS) nach ISO 27001 ist die ideale Grundlage für NIS2-Compliance. Wir unterstützen Sie beim Aufbau oder der Erweiterung Ihres ISMS — von der Richtlinienentwicklung über die Risikobewertung bis zur Zertifizierungsvorbereitung.

BSI-Registrierung

Betroffene Unternehmen müssen sich beim BSI registrieren und eine Kontaktstelle benennen. Wir übernehmen die vollständige Registrierung, dokumentieren Ihre Meldewege und stellen sicher, dass alle Fristen eingehalten werden.

Cyberhygiene & Schulungen

NIS2 fordert nachweisbare Cybersicherheitsschulungen für Geschäftsführer und Mitarbeiter (§38 BSIG). Wir bieten Phishing-Simulationen, Security-Awareness-Trainings und Geschäftsführer-Workshops — dokumentiert und auditfähig.

Unsere NIS2-Leistungen

Von der Gap-Analyse bis zur vollständigen Compliance nach §30 BSIG

NIS2 Gap-Analyse

Ist-Soll-Vergleich Ihrer IT-Sicherheit gegenüber den NIS2-Anforderungen (§30 BSIG). Sie erhalten einen detaillierten Maßnahmenplan mit Priorisierung, Zeitrahmen und Kostenrahmen für jede identifizierte Lücke.

Betroffenheitsanalyse nach NIS2UmsuCG

Detaillierte Prüfung ob und welche NIS2-Pflichten für Ihr Unternehmen gelten — inkl. Sektorenzuordnung nach Anhang I/II der EU-Richtlinie, Einstufung als 'besonders wichtige' oder 'wichtige Einrichtung' (§28 BSIG).

Penetration Testing nach §30 BSIG

Web-, Netzwerk- und API-Pentests — gesetzlich gefordert unter NIS2 für regelmäßige Schwachstellenanalyse. Wir nutzen OWASP Top 10, PTES und OSSTMM als Frameworks. Detaillierter Bericht mit CVSS-Bewertung.

Risikobewertung nach §30 BSIG

Systematisches Risikomanagement mit dokumentierter Bewertung und Behandlungsplan. Basierend auf BSI-Grundschutz oder ISO 27005 — abgestimmt auf Ihre Unternehmensgröße und Branchenanforderungen.

Incident Response Plan (§32 BSIG)

Vollständiger Meldeprozess: 24h-Erstmeldung, 72h-Detailbericht und Abschlussbericht ans BSI. Inklusive Rollenverteilung, Eskalationswege, Kommunikationsvorlagen und regelmäßige Incident-Response-Übungen.

Lieferketten-Sicherheit (§30 Abs. 2 Nr. 4)

Supply Chain Security für NIS2-Compliance: Bewertung und Absicherung Ihrer Zulieferer und Dienstleister. Vertragliche Absicherung, regelmäßige Sicherheitsprüfung und Risikobewertung der gesamten Wertschöpfungskette.

Security Awareness (§38 BSIG)

Geschäftsführer- und Mitarbeiterschulungen — NIS2 fordert nachweisbare Cybersicherheits-Schulungen. Inklusive Phishing-Simulationen, Social-Engineering-Tests und individuellen Schulungsplänen.

Compliance-Dokumentation & Audit

ISMS-Aufbau, lückenlose Nachweisdokumentation und Audit-Vorbereitung für die BSI-Prüfung. Alle Policies, Richtlinien und Nachweise strukturiert und jederzeit nachweisbar — auch für externe Auditoren.

Business Continuity Management

§30 BSIG fordert Maßnahmen zur Aufrechterhaltung des Betriebs. Wir erstellen BCM-Pläne, definieren Recovery-Zeiten (RTO/RPO), implementieren Backup-Strategien und führen regelmäßige Wiederherstellungstests durch.

Kryptographie & Verschlüsselung

NIS2 fordert den Einsatz von Kryptographie (§30 Abs. 2 Nr. 7). Wir prüfen und implementieren Verschlüsselungskonzepte für Daten at rest, in transit und bei der Verarbeitung. Inklusive Key-Management-Strategie.

Die wichtigsten NIS2-Paragraphen

Was das NIS2UmsuCG konkret von Ihrem Unternehmen fordert

§28 BSIG — Einstufung der Einrichtungen

Das NIS2UmsuCG unterscheidet zwischen 'besonders wichtigen Einrichtungen' (wesentliche Sektoren, ab 250 MA oder 50 Mio. EUR) und 'wichtigen Einrichtungen' (wichtige Sektoren, ab 50 MA oder 10 Mio. EUR). Die Einstufung bestimmt den Umfang der Pflichten und die Höhe möglicher Bußgelder.

§30 BSIG — Risikomanagementmaßnahmen

Der Kern der NIS2-Pflichten: Risikoanalyse, Sicherheitsmaßnahmen, Incident Handling, Business Continuity, Supply Chain Security, Schwachstellenmanagement, Cyberhygiene, Kryptographie, Zugangskontrolle und Multi-Faktor-Authentifizierung. Alle Maßnahmen müssen verhältnismäßig sein.

§32 BSIG — Meldepflichten

Bei erheblichen Sicherheitsvorfällen: 24 Stunden für die Erstmeldung, 72 Stunden für den Detailbericht und maximal einen Monat für den Abschlussbericht. Die Meldung erfolgt an das BSI über ein elektronisches Meldesystem. Verspätete Meldungen können selbst Bußgelder auslösen.

§38 BSIG — Geschäftsführer-Pflichten

Geschäftsführer müssen die Umsetzung der Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Bei Verletzung dieser Pflichten haften sie persönlich. Die Haftung kann nicht durch Delegation aufgehoben werden.

Sind Sie von NIS2 betroffen?

Prüfen Sie in 4 Schritten kostenlos, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt.

Kostenlosen NIS2-Check starten

Bereit für KI in Ihr Unternehmen?

Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie KI Ihr Unternehmen in Ihr Unternehmen voranbringen kann.