6. Dezember 2025
NIS-2-Umsetzungsgesetz ist geltendes Recht in Deutschland.
Die EU-Richtlinie ist in nationales Recht überführt — die Pflichten gelten seitdem.
NIS-2 · Hanau · Rhein-Main
NIS-2 für den Mittelstand: Klarheit statt Panik.
Die NIS-2-Pflichten sind seit Dezember 2025 geltendes Recht. Wir machen mit Ihnen eine ehrliche Standortbestimmung, bauen eine prüfungsfähige Compliance-Mappe auf — und priorisieren Maßnahmen nach Risiko, nicht nach Checkliste.
Stand heute
Wo wir gerade in der NIS-2-Zeitleiste stehen
Die wichtigsten Stichtage sind durch oder unmittelbar relevant. Wer noch nicht registriert ist, holt das jetzt geordnet nach — Panik nützt im Audit nicht, Dokumentation schon.
6. März 2026
Registrierungsfrist beim BSI für betroffene Einrichtungen.
Wer betroffen ist und sich noch nicht registriert hat: das ist die erste Lücke, die wir mit Ihnen schließen.
Laufend
Meldepflicht bei erheblichen Sicherheitsvorfällen — innerhalb 24 Stunden Erstmeldung, 72 Stunden Folgemeldung, ein Monat Abschlussbericht.
Ohne dokumentierten Incident-Response-Plan ist diese Frist nicht haltbar.
Unterschied
Was NIS-2-Beratung bei uns konkret heißt
Standortbestimmung statt Standardpaket
Wir starten mit 90 Minuten Aufnahme — was haben Sie heute, wo sind die Lücken, wie groß ist der Aufwand realistisch. Erst danach reden wir über Maßnahmen. Keine Pflicht-Bundle, kein „NIS-2-Komplettpaket" für 30k, das halb auf Ihre Situation passt.
Compliance-Mappe, die einer Prüfung standhält
Wir dokumentieren so, dass die Geschäftsführung im Haftungs-Fall nachweisen kann, was geleistet wurde — und dass ein BSI-Audit nicht zur Improvisation wird. Maßnahmen mit Datum, Verantwortlichem und Wirksamkeits-Beleg.
Roadmap nach Risiko, nicht nach Checkliste
Was zuerst, was später, was kann man pragmatisch zurückstellen. Wir priorisieren nach Risiko und Aufwand — und sagen ehrlich, welche Maßnahmen Sie heute nicht brauchen. Compliance bedeutet nicht, alle zehn Bereiche maximal auszubauen.
Betroffenheit
Sind Sie betroffen? Drei Konstellationen.
NIS-2 unterscheidet wesentliche und wichtige Einrichtungen — und hat zusätzlich starke Auswirkungen über die Lieferkette. In welche Konstellation Sie fallen, ist die erste Frage, die wir klären.
Wesentliche Einrichtungen
meist ≥ 250 Beschäftigte oder ≥ 50 Mio. € Umsatz
Betreiber in besonders kritischen Sektoren — Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur. Höchste Anforderungen, härteste Bußgelder, regelmäßige proaktive Aufsicht durch das BSI.
Wichtige Einrichtungen
meist 50 – 249 Beschäftigte oder bis 50 Mio. € Umsatz
Breiter Sektor-Katalog: Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe (relevante Teilbereiche), digitale Dienste, Forschung. Gleiche Risikomanagement-Pflichten, etwas mildere Bußgelder, anlassbezogene Aufsicht.
Lieferkette eines NIS-2-Pflichtigen
unabhängig von Größe
Wer nicht direkt unter NIS-2 fällt, aber Auftragnehmer oder IT-Zulieferer eines pflichtigen Unternehmens ist, bekommt die Anforderungen vertraglich durchgereicht. In Audits Ihrer Kunden müssen Sie nachweisen, dass Ihre eigene IT-Sicherheit zumutbar ist.
Die Schwellen sind Faustregeln und bilden Sonderfälle nicht ab — Stichtags-Effekte, Mehrheits-Beteiligungen, sektorale Sonderregeln. In Zweifelsfällen klären wir das in der Standortbestimmung.
Maßnahmen-Bereiche
Die zehn Maßnahmen-Bereiche der NIS-2
NIS-2 schreibt nicht einzelne Werkzeuge vor, sondern verlangt angemessene Maßnahmen in zehn Bereichen. Angemessen heißt: zum Risiko und zur Größe Ihres Unternehmens passend — nicht Konzern-Niveau für jeden.
Risikomanagement und Cybersicherheits-Strategie
Ein dokumentierter Prozess, wie Risiken erkannt, bewertet und behandelt werden — nicht „der Admin hat es im Kopf". Mit Verantwortlichkeiten, Eskalations-Kette und Wirksamkeits-Prüfung.
Umgang mit Sicherheitsvorfällen
Incident-Response-Plan, der vorher geübt wurde. Wer wird wann benachrichtigt, was wird isoliert, wer entscheidet, ob das BSI informiert wird. Im Vorfall ist keine Zeit, das erst zu erfinden.
Betriebskontinuität und Krisenmanagement
Backup-Strategie mit Recovery-Proben, Disaster-Recovery-Plan, Wiederanlauf-Reihenfolge. Im Notfall muss klar sein, was zuerst hochgefahren wird — und wie lange das dauert.
Sicherheit der Lieferkette
Welche Dienstleister haben Zugriff auf Ihre Systeme oder Daten? Was haben Sie vertraglich vereinbart? Wie überprüfen Sie deren Sicherheits-Niveau? Auftragsverarbeitung, Geheimhaltung, dokumentierte Risiko-Bewertung pro Dienstleister.
Sicherheit bei Beschaffung, Entwicklung und Wartung von IT-Systemen
Sicherheits-Anforderungen schon bei der Auswahl, Patch-Management mit dokumentierten Zyklen, Konfigurations-Härtung. Keine „läuft seit Jahren, lassen wir lieber so"-Systeme im Produktivbetrieb.
Wirksamkeits-Bewertung der Maßnahmen
Es reicht nicht, Werkzeuge zu installieren. Es muss regelmäßig geprüft werden, ob sie tun, was sie sollen. Logs werden gelesen, Alarme werden bearbeitet, Backups werden wiederhergestellt — und das ist dokumentiert.
Cyber-Hygiene und Schulungen
Mitarbeiter-Sensibilisierung, Phishing-Simulationen, Passwort-Hygiene, Umgang mit USB-Sticks und privaten Endgeräten. Schulung mit Nachweisen — nicht „wir haben eine PowerPoint geschickt".
Kryptographie und Verschlüsselung
Daten in Ruhe und in Bewegung verschlüsselt. Schlüssel-Verwaltung mit definierten Verantwortlichkeiten. Sichere E-Mail-Kommunikation für sensible Inhalte. Keine ungeschützten Server-Backups auf USB-Festplatten im Schreibtisch.
Personal-Sicherheit, Zugriffskontrolle, Asset-Management
Wer hat Zugriff auf welche Systeme, wer braucht ihn noch, wer ist ausgeschieden und hat noch Konten? Asset-Inventar mit aktuellem Stand. Rollen- und Berechtigungs-Konzept, das nachweisbar gepflegt wird.
Multi-Faktor-Authentifizierung, sichere Kommunikation und Notfallkommunikation
MFA für alle administrativen und externen Zugriffe, sichere Kommunikations-Wege für Krisen (wenn die normale E-Mail ausgefallen oder kompromittiert ist), getrennte Notfall-Kontakte. Ein Krisen-Telefon, das im Vorfall steht.
Schmerzpunkte
Typische NIS-2-Schmerzpunkte im Mittelstand
Wenn Sie hier Punkte wiederfinden, sind Sie nicht allein — und es lässt sich pragmatisch angehen, bevor es zum Audit oder zum Vorfall kommt.
Wir wissen nicht, ob wir betroffen sind
Sektor- und Größen-Schwellen sind nicht trivial — und „indirekt betroffen über die Lieferkette" trifft auch viele, die sich auf dem Schirm nicht sehen. Wir machen mit Ihnen einen Betroffenheits-Check und sagen klar: pflichtig, nicht-pflichtig, oder Zulieferer-Risiko.
Die Geschäftsführung hört „NIS-2" und macht zu
Verständlich — das Thema klingt nach Großkonzern-Regulierung. Wir übersetzen die Pflichten in Maßnahmen, die zum Mittelstand passen, und machen den Aufwand realistisch greifbar: was zu tun ist, was es kostet, wie lange es dauert. Ohne Panik, ohne Bullshit-Bingo.
Wir haben schon IT-Sicherheit — reicht das nicht?
Vielleicht. Aber NIS-2 verlangt nicht nur Maßnahmen, sondern dokumentierte Wirksamkeit. Antivirus läuft heißt nicht, dass das EDR-Logbuch jemand liest. Backup existiert heißt nicht, dass eine Recovery-Probe das letzte Quartal überstanden hat. Wir prüfen, wo Sie bereits konform sind — und wo eine Lücke nur unsichtbar ist.
Geschäftsführer-Haftung bei einem Vorfall
NIS-2 macht die Geschäftsleitung persönlich verantwortlich, wenn Sicherheits-Pflichten nicht angemessen umgesetzt werden. Im Vorfall ist die Frage „was war dokumentiert?" — und wir bauen die Mappe so, dass diese Frage entspannt zu beantworten ist.
Service-Stack
Unser NIS-2-Stack
- Betroffenheits-Check (wesentlich / wichtig / Lieferkette)
- NIS-2-Standortbestimmung mit Gap-Analyse
- Maßnahmen-Roadmap nach Risiko priorisiert
- Incident-Response-Plan inkl. BSI-Meldepfad
- Dokumentierte Compliance-Mappe (auditfähig)
- Lieferketten-Bewertung und Auftragsverarbeitungs-Verträge
- MFA-, EDR- und Backup-Einführung in der laufenden Umgebung
- Tisch-Übung mit der Geschäftsführung für den Ernstfall
Zwei niedrigschwellige Einstiege
Sortieren, bevor Sie unterschreiben.
Zwei Formate für zwei Phasen — entweder kostenlos in 30 Minuten den groben Status oder als Festpreis-Standortbestimmung mit Maßnahmen-Roadmap.
Kostenlos · 30 Minuten
NIS-2-Schnell-Check
30 Minuten am Telefon. Wir prüfen Betroffenheit und die drei größten Lücken.
- Format
- 30 Min · vor Ort oder Telefon
- Was Sie zurückbekommen
- Betroffenheits-Einschätzung, drei priorisierte Empfehlungen, Ampel-Bewertung.
Keine Verkaufspräsentation. Kein Vertrag.
Tiefer Einstieg · Festpreis
NIS-2-Standortbestimmung
Wir gehen die zehn Maßnahmen-Bereiche durch, bevor wir Empfehlungen geben.
- Format
- Festpreis-Pauschale · 90 Min Aufnahme + Auswertung
- Was Sie zurückbekommen
- Gap-Analyse über die zehn Maßnahmen-Bereiche, dokumentierte Standort-Bestimmung, priorisierte Maßnahmen-Roadmap.
Konkrete Umsetzung besprechen wir danach gemeinsam.
Referenz
Aus einem laufenden NIS-2-Projekt im Rhein-Main
„Platzhalter — sobald ein Bestandskunde eine anonymisierte NIS-2-Case-Study freigibt, steht hier ein konkreter Erfahrungsbericht: Ausgangslage, Standortbestimmung, sechs Monate später."
Anonymisierte Bestandskunden-Case Study folgt mit nächster Iteration.
Häufige Fragen
Häufige Fragen zu NIS-2
Sind wir überhaupt von NIS-2 betroffen?
Das hängt von Sektor, Größe und Rolle in der Lieferkette ab — und ist seltener trivial zu beantworten, als die Kategorien suggerieren. Maschinenbau, Lebensmittelverarbeitung, Logistik und digitale Dienste fallen in den erweiterten Sektor-Katalog. Auch wenn Sie nicht direkt unter NIS-2 fallen, betrifft Sie das Thema oft als Zulieferer eines NIS-2-Unternehmens. Wir machen mit Ihnen eine 90-minütige Standortbestimmung und sagen klar, wo Sie stehen.
Wir haben die BSI-Registrierungsfrist (6. März 2026) verpasst — und jetzt?
Sie sind damit nicht allein, und Panik ist der falsche Reflex. Wir machen zuerst den Betroffenheits-Check (falls noch nicht eindeutig geklärt), holen die Registrierung nach und dokumentieren den Stand Ihrer Maßnahmen. Das BSI ist primär an einer geordneten Aufholung interessiert — wir helfen, das geordnet hinzubekommen.
Was unterscheidet euch von einem reinen NIS-2-Berater?
Ein Berater liefert Dokumente — wir setzen die technischen Maßnahmen auch um. Endpoint-Schutz konfigurieren, Backup-Strategie aufsetzen, MFA ausrollen, Incident-Response-Plan üben. Als inhabergeführtes Systemhaus aus Hanau begleiten wir Beratung und Betrieb in einer Hand. Sie haben einen Ansprechpartner für das Konzept und für die Umsetzung im laufenden Betrieb.
Wie läuft eine NIS-2-Standortbestimmung konkret ab?
90 Minuten vor Ort oder per Videokonferenz mit Geschäftsführung und IT-Verantwortlichem. Wir gehen die zehn Maßnahmen-Bereiche durch, machen eine Gap-Analyse, dokumentieren den Stand und liefern eine priorisierte Maßnahmen-Roadmap. Festpreis-Pauschale, kein Open-End, klar kalkulierbar.
Was kostet die NIS-2-Umsetzung realistisch?
Sehr unterschiedlich — abhängig davon, was schon da ist. Mittelständler mit einem soliden ISMS und ISO-27001-nahen Prozessen brauchen oft nur Gap-Schließung und Dokumentation. Wer ohne Sicherheits-Grundlage startet, baut die in einem mehrmonatigen Programm auf. Wir machen einen ehrlichen Schätz-Rahmen nach der Standortbestimmung — keine pauschalen 30k-Bundles.
Müssen wir ISO 27001 zertifizieren, um NIS-2-konform zu sein?
Nein. Eine ISO-27001-Zertifizierung deckt einen Großteil der NIS-2-Anforderungen ab, ist aber nicht zwingend. Für Mittelständler ohne entsprechende Vertragspflicht ist eine ISO-27001-konforme Prozess-Landschaft (ohne externes Audit) meist der pragmatischere Weg. Wir richten Prozesse so ein, dass eine Zertifizierung später möglich bleibt.
Was passiert, wenn wir nichts tun?
Bußgelder sind im NIS-2-Rahmen empfindlich (bei wesentlichen Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — je nach Konstellation). Wichtiger ist meist: Geschäftsführungs-Haftung im Vorfall, Vertragsbruch in Lieferketten, Reputations-Schaden und Versicherungs-Probleme. Die Konsequenzen sind nicht hypothetisch.
Wir haben einen externen Datenschutz-Beauftragten — übernimmt der NIS-2?
DSGVO und NIS-2 sind verwandt, aber nicht deckungsgleich. Der Datenschutz-Beauftragte kümmert sich um personenbezogene Daten, NIS-2 um die Cyber-Sicherheit der gesamten Netz- und Informationssysteme. Eine gute Abstimmung lohnt sich — wir arbeiten gerne mit Ihrem bestehenden DSB zusammen, wenn vorhanden.
Übernehmt ihr auch die laufende Wirksamkeits-Bewertung?
Ja. NIS-2 verlangt nicht nur Maßnahmen, sondern den Nachweis ihrer Wirksamkeit. Wir betreiben quartalsweise Wirksamkeits-Prüfungen, dokumentieren das Ergebnis und passen die Maßnahmen-Roadmap an. Das ist Teil unseres Managed-Services-Modells — kein separates Projekt.
Wie passt das in unseren laufenden IT-Betrieb?
NIS-2-Maßnahmen sind kein Parallel-Universum, sondern saubere IT-Sicherheits-Hygiene. Vieles davon sollten Mittelständler ohnehin tun. Wir integrieren die Maßnahmen so in Ihren laufenden Betrieb, dass keine Doppel-Strukturen entstehen — eine Compliance-Mappe, ein Betriebshandbuch, ein Verantwortlicher.
Nächster Schritt
Reden wir über Ihre NIS-2-Lage.
30 Minuten am Telefon oder vor Ort — wir klären Betroffenheit, schauen auf den Stand Ihrer Maßnahmen und sagen ehrlich, wo die größten Lücken sind.