Lesedauer 5min
NIS-2 Compliance rückt nach dem Beschluss des Bundestags in den Fokus von Unternehmen. Der Bundestag hat am 13. November 2025 das NIS-2-Umsetzungsgesetz verabschiedet. Bereits am 21. November stimmte der Bundesrat zu. Damit steht fest, dass die verschärften Cybersicherheitspflichten in Deutschland Anfang 2026 in Kraft treten. Für knapp 30.000 Unternehmen in Deutschland beginnt spätestens jetzt die Umsetzungsphase. Die derzeit häufig gestellte Frage lautet daher, wo steht das Unternehmen zu NIS-2 eigentlich?
Inhalt:
Mit der SECURAM GAP-Analyse in bis zu 5 Werktagen zum Befund & zum strukturierten Einstieg in NIS-2
Die SECURAM GAP-Analyse liefert auf die Frage „Wo steht das Unternehmen in Bezug auf NIS-2“ die erste passende Antwort. In bis zu fünf Werktagen erhalten Unternehmen einen strukturierten Befund ihres Informationssicherheitsstatus. Mit dem Befund der SECURAM GAP-Analyse ist eine fundierte Grundlage für alle weiteren Entscheidungen möglich. Die NIS-2 Umsetzung Mittelstand ist jetzt für viele Unternehmen zur Pflicht geworden, denn zwei Drittel der betroffenen Organisationen sind noch nicht vorbereitet [Q1].
Sind Sie überhaupt betroffen?
Zu Beginn steht die Frage, ob und in welchem Umfang Ihr Unternehmen unter NIS-2 fällt. Branchenzuordnung, Unternehmensgröße und erbrachte Dienste bestimmen, ob Sie als „wichtige“ oder „besonders wichtige“ Einrichtung gelten [Q3]. Für viele mittelständische Unternehmen ist NIS-2 ein zusätzlicher Regelungskomplex, der zur ohnehin vollen Agenda von IT-Leitung und Geschäftsführung hinzukommt. Bevor Unternehmen in die Umsetzung einsteigen, stellt sich eine grundlegende Frage, ob das eigene Unternehmen überhaupt unter die NIS-2-Pflichten unterliegt? Die Kriterien sind nicht immer eindeutig. Unternehmensgröße, Branche und Lieferkettenbeziehungen spielen eine Rolle. Eine aktuelle Auswertung auf Basis einer heise-Sicherheitsstudie zeigt, dass lediglich rund ein Drittel der betroffenen etwa 30.000 Unternehmen in Deutschland sich gut auf NIS-2 vorbereitet fühlt. Die übrigen sehen erheblichen Nachholbedarf [Q1]. Die SECURAM bietet eine kostenlose Betroffenheitsprüfung an. In einem kurzen Check klären unsere Experten, ob Ihr Unternehmen direkt oder indirekt von NIS-2 betroffen ist und welche Pflichten konkret gelten. Dieser erste Schritt schafft Klarheit, bevor Ressourcen investiert werden.
Was ist die SECURAM GAP-Analyse?
Die SECURAM GAP-Analyse ist ein standardisiertes Verfahren auf Basis der ISO/IEC 27001:2022. Sie erfasst systematisch alle relevanten Aspekte der Informationssicherheit und gleicht den Ist-Zustand mit dem Soll-Zustand ab. Das Ergebnis ist ein Befunddokument, das die identifizierten Lücken klar visualisiert. Im Rahmen der kompakten SECURAM GAP-Analyse werden Governance-Strukturen, Richtlinien, technische Maßnahmen und Notfallprozesse strukturiert aufgenommen. Die Analyse orientiert sich an ISO/IEC 27001 und den zentralen NIS-2-Pflichten, etwa Risikomanagement, Business Continuity und Incident Handling [Q3]. Der Befund ist dabei bewusst kein Maßnahmenkatalog. Er versetzt Unternehmen in eine aktive, handlungsfähige Position: Erst mit dem Wissen um den tatsächlichen Status können fundierte Entscheidungen über das weitere Vorgehen getroffen werden.
Drei Phasen – ein klarer Ablauf
Die GAP-Analyse gliedert sich in drei aufeinander aufbauende Phasen:
Phase 1 – Vertrag und NDA
Gemeinsam mit dem Sales-Team und einem erfahrenen Consultant werden die Rahmenbedingungen der Zusammenarbeit festgelegt. Ein angepasster Projektablaufplan zeigt, welche Informationen benötigt werden.
Phase 2 – GAP-Analyse
SECURAM-Experten führen Interviews zu verschiedenen Sicherheitsthemen und sichten die vorhandene Dokumentation. Die Zusammenarbeit mit den internen Experten des Unternehmens ist dabei entscheidend.
Phase 3 – Befund
Das Ergebnis ist ein systematisches Dokument, das den Status quo zum Zeitpunkt der Analyse visualisiert und die identifizierten Lücken aufzeigt.
NIS-2-Compliance erreichen
Die GAP-Analyse ist der erste von fünf Schritten auf dem Weg zur vollständigen NIS-2-Compliance. Der strukturierte Ansatz von SECURAM umfasst zuerst die SECURAM GAP-Analyse: Sie ist die Standortbestimmung und Identifikation der Handlungsfelder. In bis zu fünf Werktagen wissen Sie, wo Ihr Unternehmen steht. Danach müssen die Verantwortlichkeiten geklärt werden. NIS-2 verlangt klare Governance-Strukturen. Die Geschäftsführung trägt persönliche Verantwortung und muss nachweislich geschult sein. Anschließend folgt der Aufbau des ISMS als Fundament. Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist das Herzstück der Compliance und wird indirekt durch NIS-2 eingefordert. Mit der SECURAM ISMS-Implementierung nach ISO 27001 schaffen Unternehmen eine belastbare Grundlage für alle weiteren Anforderungen. Damit eng verbunden sind Incident-Response und Meldewesen.NIS-2 schreibt strenge Meldepflichten vor. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Ein strukturierter Incident-Response-Plan ist unerlässlich. Darüber hinaus rückt NIS-2 auch Risiken in der Lieferkette und Software-Entwicklungsprozesse ins Blickfeld. Die Sicherheit der Lieferkette und sichere Entwicklungspraktiken sind explizite NIS-2-Anforderungen. Unternehmen müssen ihre Zulieferer bewerten und Sicherheitsstandards vertraglich verankern.
Warum gerade jetzt?
Eine aktuelle Studie des Instituts der deutschen Wirtschaft zeigt, dass das Cybersicherheitsniveau zwischen von NIS-2 betroffenen und nicht betroffenen Unternehmen sich bislang kaum unterscheidet. Viele haben die Anforderungen noch nicht umgesetzt, obwohl die Pflichten absehbar waren. KMUs sind gleichzeitig von weiteren EU-Regelwerken betroffen, etwa der EU KI Akt und dem NIS-2. Eine Kurzstudie des Instituts der deutschen Wirtschaft beschreibt, dass sich gerade kleinere und mittlere Unternehmen durch die Kombination dieser Vorgaben erheblich belastet fühlen [Q2]. Die Folge sind Verzögerungen bei der Umsetzung, Unsicherheit in der Priorisierung und eine Tendenz, Maßnahmen erst dann anzustoßen, wenn Fristen akut werden. Mit der Verabschiedung des Gesetzes ändert sich das. Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes bei der Meldestelle des BSI registrieren. Die Umsetzung eines ISMS dauert erfahrungsgemäß sechs bis 18 Monate. Die SECURAM GAP-Analyse ist entsprechend der erste sinnvolle Schritt zur NIS-2 Umsetzung im Mittelstand und eine klare Standortbestimmung. Ziel ist kein umfangreicher Maßnahmenkatalog, sondern ein präziser, faktenbasierter Überblick über Ihren Status quo im Hinblick auf NIS-2 und zentrale Controls der ISO/IEC 27001. Auf dieser Basis können Sie entscheiden, welche weiteren Schritte Sie wann und mit welchem Ressourceneinsatz umsetzen.
„NIS-2 ist kein fernes Zukunftsthema. Das Gesetz kommt jetzt. In unseren Projekten erleben wir es regelmäßig: Viele CISOs wissen um die Fristen, aber ein strukturierter Umsetzungsplan fehlt oft. NIS-2 ist mehr als IT-Security. Es geht um Governance, Nachweisführung und persönliche Haftung der Geschäftsführung.“
– Nadine Eibel, CEO von SECURAM Consulting
Das NIS-2-Umsetzungsgesetz erweitert den Anwendungsbereich deutlich über die klassischen KRITIS-Sektoren hinaus. Betroffen sind nun auch Unternehmen aus Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie und digitalen Diensten, sofern sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von zehn Millionen Euro erreichen. Die IW-Studie beziffert die Zahl der direkt betroffenen Unternehmen auf knapp 30.000. Über Lieferketten könnten weitere 200.000 Unternehmen indirekt Verpflichtungen entstehen. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Kostenloser Check Ihrer Passwortrichtlinie
Sichere Authentifizierung ist eine Grundanforderung von NIS-2. Doch viele Unternehmen arbeiten noch mit veralteten Passwortrichtlinien oder haben gar keine dokumentierten Vorgaben. SECURAM bietet einen kostenlosen Check Ihrer Passwortrichtlinie an. Unsere Experten prüfen Ihre bestehenden Vorgaben und geben konkrete Empfehlungen, wie Sie die Anforderungen an starke Authentifizierung erfüllen können. Ein schneller Einstieg, der zeigt, wo Sie stehen.
Was folgt auf die SECURAM GAP-Analyse?
Mit dem Befund aus der SECURAM GAP-Analyse wissen Unternehmen, wo sie stehen. Sie können nun fundiert entscheiden, wie es weitergehen soll: Welche Maßnahmen haben Priorität? Welche Ressourcen werden benötigt? Welches Framework passt am besten zur eigenen Organisation? Für viele Unternehmen ist der logische nächste Schritt die SECURAM ISMS-Implementierung nach ISO 27001. Dieses Produkt baut direkt auf den Ergebnissen der GAP-Analyse auf und begleitet Unternehmen beim systematischen Aufbau eines Informationssicherheits-Managementsystems. Von der Konzeption bis zur Zertifizierungsreife. Die SECURAM GAP-Analyse bildet damit den kompakten Einstieg in die NIS-2 Umsetzung im Mittelstand: Sie können auch ausschließlich die Analyse oder die Kombination aus Gap-Analyse und Maßnahmenkatalog beauftragen – ohne sich sofort auf eine vollständige ISMS-Implementierung festlegen zu müssen.
Mehr Informationen unter securam-consulting.com/securam-gap-analyse.
Quellen NIS-2 Compliance
[Q1] heise security: „NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet“, Abrufdatum: 24.11.2025. Link: https://www.heise.de/news/NIS2-fuer-mehr-IT-Sicherheit-Viele-Unternehmen-sind-noch-nicht-gut-vorbereitet-9953995.html
[Q2] Institut der deutschen Wirtschaft / IW Consult: „KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU“, Kurzstudie im Rahmen von Mittelstand-Digital, Abrufdatum: 24.11.2025. Link: https://www.iwkoeln.de/studien/barbara-engels-thorsten-lang-marc-scheufen-auswirkungen-auf-kmu.html
[Q3] Bundesamt für Sicherheit in der Informationstechnik (BSI): Informationsseiten zu NIS-2-Richtlinie, NIS-2-regulierten Unternehmen und NIS-2-Pflichten, Abrufdatum: 24.11.2025. Link: https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2-Richtlinie/nis-2-richtlinie_node.html