+49 40-298 4553-0

Buchen Sie Ihr Erstgespräch online

contact@securam-consulting.com

Buchen Sie Ihr Erstgespräch online

Securam Consulting Logo
NIS-2 Umsetzung Beratung — SECURAM Consulting

EU-Regulierung

NIS-2 Umsetzung

Beratung für betroffene Unternehmen — von der Betroffenheitsanalyse bis zur Registrierung beim BSI.

Abschnitt 01

Warum NIS-2 Umsetzung für Ihr Unternehmen relevant ist

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) hat die Landschaft der Cybersicherheitspflichten grundlegend verändert. Sie trat am 16. Januar 2023 in Kraft; die nationale Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) läuft derzeit durch den Gesetzgebungsprozess (Stand: Q1 2026). Das Gesetz dürfte den Kreis betroffener Unternehmen in Deutschland auf schätzungsweise 29.000 bis 40.000 Einrichtungen ausweiten — deutlich mehr als unter NIS-1.

Der entscheidende Unterschied zur Vorgängerrichtlinie: NIS-2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen und zieht damit erheblich breitere Sektorgrenzen. Betroffen sind neben klassischer kritischer Infrastruktur nun Branchen wie Maschinenbau, Chemie, Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste sowie digitale Infrastruktur.

Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Besonders folgenreich ist §38 NIS2UmsuCG (Referentenentwurf): Die Norm legt eine persönliche Haftung der Geschäftsführung für die Umsetzung von Cybersicherheitsmaßnahmen fest. Kein Hinweis auf die IT-Abteilung, keine Delegation nach unten — die Geschäftsleitung trägt die Verantwortung unmittelbar. Wer bislang angenommen hat, ISO 27001 oder ein bestehendes ISMS genüge als Nachweis, sollte die spezifischen NIS-2-Anforderungen gesondert prüfen.

NIS-2 Registrierung beim BSI

Betroffene Einrichtungen müssen sich über das BSI-Meldeportal MELDOX registrieren. Die Frist beginnt mit Inkrafttreten des NIS2UmsuCG (Stand Q1 2026: noch im Gesetzgebungsverfahren).

  • Name, Rechtsform, Sektorzugehörigkeit
  • Einstufung: wesentlich oder wichtig
  • 24/7-erreichbare Sicherheitskontaktstelle
  • IP-Adressbereiche und relevante Domain-Namen

Abschnitt 02

NIS-2 Betroffenheit realistisch einschätzen

Die häufigste Frage lautet: „Bin ich überhaupt betroffen?“ Die Antwort hängt von zwei Faktoren ab: Sektorzugehörigkeit und Unternehmensgröße. NIS-2 unterscheidet zwischen wesentlichen Einrichtungen (große Unternehmen in Hochrisikosektoren wie Energie, Gesundheit, Trinkwasser, digitale Infrastruktur) und wichtigen Einrichtungen (mittlere und große Unternehmen in weiteren Sektoren).

Als mittleres Unternehmen gilt nach der EU-Definition eine Organisation mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro. Viele Unternehmen im DACH-Mittelstand liegen damit ohnehin im Anwendungsbereich — ohne es zu wissen.

Betroffene Sektoren (Auswahl)

  • Energie und Trinkwasser
  • Gesundheit und Pharma
  • Digitale Infrastruktur
  • Maschinenbau und Chemie
  • Lebensmittelproduktion
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Logistik und Transport

Für eine verbindliche Einschätzung benötigt es eine strukturierte Betroffenheitsanalyse, die Sektorzugehörigkeit, Unternehmensstruktur und Schwellenwerte nach §28 NIS2UmsuCG systematisch prüft. Das Ergebnis ist ein dokumentierter Nachweis — keine Rechtsberatung, aber eine belastbare fachliche Grundlage.

Abschnitt 03

NIS-2 Anforderungen und ISO 27001 — kein Entweder-oder

Wer ein ISMS nach ISO 27001 betreibt, hat eine gute Ausgangsbasis. Allerdings schließen sich NIS-2 und ISO 27001 nicht gegenseitig aus — sie ergänzen sich. ISO 27001 adressiert Informationssicherheit über einen risikobasierten Ansatz mit 93 Controls. NIS-2 hingegen definiert in Art. 21 Abs. 2 spezifische Maßnahmen und verbindliche Meldepflichten, die ISO 27001 so nicht abbildet.

Der Delta-Aufwand liegt erfahrungsgemäß bei 20 bis 40 % der Gesamtanforderungen — auch bei bereits zertifizierten Unternehmen.

Die GAP-Analyse zeigt den konkreten Delta-Aufwand. Im Regelfall deckt ein bestehendes ISO-27001-ISMS bereits 50 bis 70 % der NIS-2-Anforderungen ab. Was fehlt, sind spezifisch: die Meldeprozesse nach Art. 23 (Frühwarnung innerhalb 24 Stunden, detaillierter Bericht innerhalb 72 Stunden), die Registrierungspflicht beim BSI und bestimmte Supply-Chain-Anforderungen.

Wer noch kein ISMS hat, kann NIS-2 als Einstiegspunkt nutzen und anschließend eine ISO-27001-Zertifizierung aufbauen. Beide Wege führen zu einem belastbaren Sicherheitsrahmen — SECURAM begleitet den jeweils sinnvollen Pfad.

Abschnitt 04

NIS-2 Compliance im laufenden Betrieb

NIS-2-Compliance ist kein Projektergebnis, sondern ein Betriebszustand. Risikomanagement muss laufend aktualisiert werden, Meldeprozesse müssen funktionieren, wenn ein Vorfall eintritt, und Lieferantenbewertungen müssen regelmäßig wiederholt werden.

Wer die laufende Pflege nicht intern stemmen kann oder will, findet im Interim ISB ein Modell, das NIS-2-Compliance als kontinuierliche Aufgabe verankert. SECURAM übernimmt dabei die Funktion des Informationssicherheitsbeauftragten in Teilzeit — pragmatisch, skalierbar und ohne Festanstellung.

Einen Überblick über alle relevanten Leistungen von SECURAM finden Sie auf der Leistungsübersicht. Die NIS-2-Umsetzung ist dort eingebettet in ein Portfolio, das von ISO 27001 über DORA bis zur ISMS-Beratung reicht.

NIS-2 Betroffenheit prüfen

SECURAM klärt Ihre Betroffenheit und zeigt den konkreten Umsetzungspfad. Kostenfreies Erstgespräch — ohne Verpflichtung.

Erstgespräch buchen

NIS-2 Betroffenheit klären — jetzt starten

Sie wollen prüfen, ob Ihr Unternehmen von NIS-2 betroffen ist, oder haben bereits eine Betroffenheit festgestellt und benötigen Unterstützung bei der Umsetzung? In einem kostenfreien Erstgespräch klären wir Ihre regulatorische Situation und welche Schritte sinnvoll sind.

Erstgespräch vereinbaren Kontakt aufnehmen

Was die NIS-2 Umsetzung Beratung umfasst

Von der Betroffenheitsanalyse bis zur Registrierung beim BSI — als Projekt oder in laufender Begleitung.

  • Betroffenheitsanalyse

    Klärung, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist. Die Analyse berücksichtigt Sektorzugehörigkeit, Unternehmensgröße und Schwellenwerte nach §28 NIS2UmsuCG. Ergebnis: dokumentierter Nachweis der Betroffenheit oder Nicht-Betroffenheit.

  • GAP-Analyse gegen Art. 21 NIS-2

    Systematischer Abgleich Ihrer bestehenden Sicherheitsmaßnahmen mit den zehn Anforderungsbereichen des Art. 21 Abs. 2 NIS-2: von Risikoanalyse über Lieferkettensicherheit bis zu Verschlüsselung. Das Ergebnis ist ein priorisierter Maßnahmenplan mit realistischem Umsetzungshorizont.

  • Risikomanagement nach Art. 21

    Aufbau oder Anpassung eines risikobasierten Sicherheitsmanagements nach den NIS-2-Vorgaben. Wo ein ISMS nach ISO 27001 bereits besteht, werden Synergien genutzt — bestehende Risikoanalysen und Controls werden auf NIS-2-Konformität geprüft und ergänzt.

  • Incident Response und Meldepflichten (Art. 23)

    Erstellung oder Überarbeitung eines Incident-Response-Prozesses, der die Fristen nach Art. 23 NIS-2 einhält: Frühwarnung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht nach einem Monat.

  • Supply Chain Security

    Bewertung kritischer Lieferanten und Dienstleister nach den Anforderungen des Art. 21 Abs. 2 lit. d NIS-2. Erstellung von Bewertungskriterien, Vertragsklauseln und Lieferantenfragemögen, die die Anforderungen der Richtlinie abdecken.

  • Registrierung beim BSI

    Unterstützung bei der Registrierungspflicht nach §33 NIS2UmsuCG über das BSI-Meldeportal MELDOX. Vorbereitung der erforderlichen Angaben, Begleitung des Prozesses und Dokumentation des Nachweises.

  • Schulung der Geschäftsführung

    NIS-2 verpflichtet Leitungsorgane ausdrücklich zur Teilnahme an Schulungen zur Cybersicherheit (§38 Abs. 3 NIS2UmsuCG-RefE). SECURAM gestaltet praxisorientierte Schulungsformate, die den regulatorischen Nachweis erbringen.

  • Auditvorbereitung und Nachweisführung

    Aufbau eines Nachweissystems, das behördliche Prüfungen und interne Audits trägt. Dokumentation der umgesetzten Maßnahmen, der Risikobehandlung und der Meldeprozesse in einer prüfungssicheren Struktur.

Projekt oder laufende Begleitung?

Die initiale NIS-2-Umsetzung ist ein Projekt mit klarem Ende. Wer darüber hinaus eine kontinuierliche Betreuung benötigt, kann den Interim ISB einsetzen — der NIS-2-konforme Betrieb wird dann als Bestandteil des laufenden ISMS geführt.

NIS-2 Betroffenheit klären — jetzt starten

Sie wollen prüfen, ob Ihr Unternehmen von NIS-2 betroffen ist, oder haben bereits eine Betroffenheit festgestellt und benötigen Unterstützung bei der Umsetzung? In einem kostenfreien Erstgespräch klären wir Ihre regulatorische Situation und welche Schritte sinnvoll sind.

Erstgespräch vereinbaren Kontakt aufnehmen

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin · SECURAM Consulting GmbH

Gründerin und Geschäftsführerin der SECURAM Consulting GmbH mit über 20 Jahren Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001, ITIL Expert und Datenschutzexpertin nach DSGVO (Art. 37) und BDSG. Ihr Fokus liegt auf Business Continuity Management und dem Aufbau nachhaltiger Governance-Strukturen.

→ Kontakt aufnehmen → LinkedIn-Profil
Download

NIS-2-Richtlinie

Alle Leistungen auf einen Blick als PDF zum Weitergeben.

NIS-2-Richtlinie Flyer Vorschau

NIS-2-Richtlinie

NIS-2-Betroffenheit pruefen, Anforderungen verstehen, Massnahmen planen.

PDF, 5 Seiten
Flyer herunterladen

Typische Ausgangssituationen

Drei Szenarien führen Unternehmen besonders häufig zur NIS-2 Umsetzung Beratung:

01

Betroffenheit unklar

Die Geschäftsführung hat von NIS-2 gehört, weiß aber nicht, ob das eigene Unternehmen tatsächlich betroffen ist. Sektorzugehörigkeit und Schwellenwerte sind komplex. SECURAM klärt die Betroffenheit in einem strukturierten Betroffenheitscheck und liefert eine dokumentierte Einschätzung. Ein Erstgespräch klärt die nächsten Schritte.

02

ISO 27001 vorhanden, NIS-2 unklar

Das Unternehmen ist nach ISO 27001 zertifiziert und geht davon aus, dass das ISMS die NIS-2-Anforderungen bereits abdeckt. In der Praxis fehlen jedoch die spezifischen Meldeprozesse nach Art. 23, die BSI-Registrierung und einzelne Supply-Chain-Anforderungen. SECURAM führt eine GAP-Analyse durch und zeigt den konkreten Delta-Aufwand.

03

Regulatorischer Druck

Kunden, Wirtschaftsprüfer oder die Aufsicht verlangen den Nachweis einer NIS-2-konformen Sicherheitsorganisation. Intern fehlt die Kapazität, das Thema systematisch aufzubauen. SECURAM übernimmt den Aufbau und bringt die Organisation in einen auditierbaren Zustand. Ein Erstgespräch klärt den konkreten Scope.

Häufige Fragen

Ihre Fragen zur NIS-2-Umsetzung

Praxisnahe Antworten zu Betroffenheit, Sanktionen, BSI-Registrierung und dem Verhältnis zu ISO 27001.

Das hängt von zwei Kriterien ab: Sektorzugehörigkeit und Unternehmensgröße. Betroffen sind Unternehmen in bestimmten Hochrisiko- und sonstigen Sektoren — von Energie und Gesundheit bis zu Maschinenbau und Lebensmittelproduktion —, die als mittelgroße oder große Organisation einzustufen sind (mindestens 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz).

Eine verbindliche Einschätzung liefert die Betroffenheitsanalyse im Rahmen unserer NIS-2-Beratung. Für die rechtliche Beurteilung im Einzelfall empfehlen wir, zusätzlich juristischen Rat einzuholen.

Verstöße gegen die Anforderungen des NIS2UmsuCG können zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen — je nachdem, welcher Betrag höher ist (für wesentliche Einrichtungen). Für wichtige Einrichtungen gelten bis zu 7 Millionen Euro oder 1,4 %.

Hinzu kommt die persönliche Haftung der Leitungsorgane nach §38 NIS2UmsuCG. Mehr zu den ISMS-Anforderungen finden Sie auf unserer Übersichtsseite.

Die Registrierung erfolgt über das BSI-Meldeportal MELDOX. Erforderlich sind Angaben zur Einrichtung (Name, Rechtsform, Sektorzugehörigkeit, Einstufung als wesentlich oder wichtig), eine 24/7-erreichbare Sicherheitskontaktstelle sowie technische Angaben wie IP-Adressbereiche und relevante Domain-Namen.

Die Frist beginnt mit Inkrafttreten des NIS2UmsuCG (Stand Q1 2026: noch im Gesetzgebungsverfahren). SECURAM bereitet alle erforderlichen Angaben vor und begleitet den Registrierungsprozess bis zum Abschluss — inklusive Dokumentation des Nachweises.

ISO 27001 ist eine gute Grundlage — allerdings kein vollständiger Nachweis für NIS-2-Compliance. Die Norm deckt viele der in Art. 21 NIS-2 geforderten Maßnahmen ab, aber nicht alle. Die Meldepflichten nach Art. 23 (Frühwarnung innerhalb 24 Stunden, detaillierter Bericht innerhalb 72 Stunden), die Registrierungspflicht beim BSI und spezifische Supply-Chain-Anforderungen erfordern eigenständige Prozesse.

Eine GAP-Analyse zeigt den konkreten Delta-Aufwand. Erfahrungsgemäß liegt dieser bei 20 bis 40 % der Gesamtanforderungen.

Das hängt vom GAP-Umfang und den internen Kapazitäten ab. Als Richtwert gilt: Betroffenheitscheck 1–2 Wochen, GAP-Analyse 3–4 Wochen, Maßnahmenplanung und Umsetzung 8–16 Wochen, Registrierung und Nachweisführung 2–4 Wochen. Gesamtlaufzeit für ein Unternehmen ohne bestehendes ISMS: frühestens 14 Wochen.

Wer bereits ein ISMS betreibt, ist deutlich schneller. Den genauen Zeitplan klären wir im Erstgespräch.
Noch offene Fragen zur NIS-2-Umsetzung?

Sprechen Sie direkt mit unseren NIS-2-Experten. Wir klären Ihren konkreten Bedarf im kostenfreien Erstgespräch.

Erstgespräch buchen

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen