Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]

NIS-2 Beratung · DACH-Mittelstand

NIS-2 Beratung für Unternehmen

ISMS-Säule

Als NIS-2-Berater begleiten wir mittelständische Unternehmen in Deutschland von der Betroffenheitsanalyse bis zur Registrierung beim BSI. Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft — rund 30.000 Unternehmen sind betroffen, viele ohne es zu wissen. Die SECURAM GAP-Analyse liefert in bis zu fünf Werktagen eine dokumentierte Standortbestimmung. §38 BSIG legt die persönliche Haftung der Geschäftsführung fest — eine Delegation an die IT-Abteilung ist nicht möglich.

Erstgespräch vereinbaren NIS-2 Flyer (PDF)
NIS-2 Compliance seit 06.12.2025 Pflicht
202 Mrd. €
Cyberschaden / Jahr in Deutschland
Bitkom 2025
4,88 Mio. $
Kosten pro Datenpanne weltweit
IBM Cost of a Data Breach 2025
30.000+
Betroffene Unternehmen in Deutschland
BSI-Schätzung 2025
10 Mio. €
Max. Bußgeld wesentliche Einrichtungen
§65 BSIG

NIS-2 verpflichtet betroffene Unternehmen, genau diese Risiken systematisch zu adressieren — mit konkreten Fristen und persönlicher Haftung der Geschäftsführung nach §38 BSIG.

Regulatorischer Hintergrund

Warum NIS-2 jetzt Handlungsbedarf erzeugt

Die Richtlinie (EU) 2022/2555 zur Netz- und Informationssicherheit (NIS-2) wurde in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) national umgesetzt. Das Gesetz verpflichtet wesentliche und wichtige Einrichtungen in 18 Sektoren zu konkreten Cybersicherheitsmaßnahmen nach §30 BSIG, darunter Risikomanagement, Incident Response, Supply Chain Security und Verschlüsselung.

Betroffen sind Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz in Sektoren von Energie und Gesundheit über Maschinenbau bis zur Lebensmittelproduktion. Die Schwellenwerte und Sektordefinitionen sind in §28 BSIG geregelt. In unseren Projekten stellt sich bei rund 70 % der Anfragen eine tatsächliche Betroffenheit heraus.

Die Registrierungspflicht beim BSI über das Meldeportal MELDOX gilt seit dem 6. Januar 2026. Die dreistufigen Meldepflichten bei Sicherheitsvorfällen nach §32 BSIG sehen eine Frühwarnung innerhalb von 24 Stunden, einen Detailbericht innerhalb von 72 Stunden und einen Abschlussbericht nach einem Monat vor.

Für wesentliche Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Haftung der Leitungsorgane nach §38 BSIG — eine Delegation an die IT-Abteilung ist nicht möglich.

Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Bis zum Stichtag hatten sich nur rund 38,5 % der betroffenen Einrichtungen registriert. Eine verspätete Registrierung ist weiterhin möglich, birgt aber ein Bußgeldrisiko von bis zu 500.000 Euro. Die Konzernklausel nach EU-Empfehlung 2003/361/EG konsolidiert Mitarbeiterzahlen und Finanzkennzahlen verbundener Unternehmen — eine GmbH mit 30 Mitarbeitenden kann durch Konzernzugehörigkeit NIS-2-pflichtig werden.

Betrifft NIS-2 Ihr Unternehmen? Prüfen Sie Sektorzugehörigkeit und Schwellenwerte in wenigen Schritten. Keine Registrierung, keine Datenweitergabe.

NIS-2 · Interaktiver Schnellcheck

Bin ich von NIS-2 betroffen?

Prüfen Sie in wenigen Schritten, ob Ihre Organisation unter die NIS-2-Richtlinie fällt und welche Kategorie auf Sie zutrifft: KRITIS/bwE, besonders wichtige Einrichtung, wichtige Einrichtung oder nicht betroffen.

Dieser Schnellcheck dient der ersten Orientierung und ersetzt keine rechtliche Prüfung im Einzelfall. Für eine verbindliche Einschätzung empfehlen wir eine individuelle Betroffenheitsanalyse.

Frage 1

Diese Einschätzung basiert auf Ihren Angaben und ersetzt keine rechtliche Prüfung im Einzelfall.

    Betroffenheit verbindlich klären: GAP-Analyse in 5 Werktagen

    Drei Wege zur NIS-2-Konformität

    So unterstützt SECURAM bei NIS-2

    Implementierung, Auditierung und laufende Begleitung — je nach Ausgangslage einzeln oder kombiniert.

    Implementierung

    NIS-2 als Projekt umsetzen

    Projekt + ISBaaS · 6–12 Monate

    Von der Betroffenheitsanalyse über die GAP-Analyse bis zur BSI-Registrierung und Auditvorbereitung. SECURAM führt durch alle Umsetzungsschritte und übergibt ein auditierbares System.

    Ergebnis: NIS-2-konforme Sicherheitsorganisation, vollständige Dokumentation, BSI-Registrierung
    Implementierung besprechen →
    Auditierung

    Internes Audit zur NIS-2-Konformität

    Internes Audit · 2–4 Wochen

    Für Organisationen mit bestehendem Managementsystem: unabhängige Prüfung der NIS-2-Konformität, Identifikation offener Punkte und Maßnahmenempfehlungen.

    Ergebnis: Auditbericht mit Feststellungen und priorisiertem Maßnahmenplan
    Audit anfragen →
    Begleitung (ISBaaS)

    Laufender Betrieb als externer ISB

    ISBaaS · Unbefristet, quartalsweise Review

    SECURAM übernimmt die Rolle des Informationssicherheitsbeauftragten im laufenden Betrieb: Dokumentenpflege, Incident-Unterstützung, Management-Reviews und Auditvorbereitung.

    Ergebnis: Kontinuierliche NIS-2-Konformität, regelmäßiges Reporting
    ISBaaS kennenlernen →
    Implementierung Zertifizierung ISBaaS (laufender Betrieb)

    Leistungsumfang im Detail

    Was die NIS-2 Beratung umfasst

    Acht Bausteine — als Projekt oder laufende Begleitung.

    01

    Was Sie nach der Betroffenheitsanalyse wissen

    Klärung, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung einzustufen ist. Berücksichtigt werden Sektorzugehörigkeit, Unternehmensgröße und Schwellenwerte nach §28 BSIG — Ergebnis ist ein dokumentierter Nachweis.

    02

    Was die GAP-Analyse gegen §30 BSIG liefert

    Systematischer Abgleich Ihrer bestehenden Sicherheitsmaßnahmen mit den zehn Anforderungsbereichen des §30 Abs. 2 BSIG — von Risikoanalyse über Lieferkettensicherheit bis zu Verschlüsselung. Ergebnis ist ein priorisierter Maßnahmenplan.

    03

    Risikomanagement nach §30 BSIG

    Aufbau oder Anpassung eines risikobasierten Sicherheitsmanagements. Wo ein ISMS nach ISO 27001 bereits besteht, werden Überschneidungen genutzt — bestehende Risikoanalysen werden auf NIS-2-Konformität geprüft.

    04

    Incident Response und Meldepflichten (§32 BSIG)

    Erstellung oder Überarbeitung eines Incident-Response-Prozesses mit den Fristen nach §32 BSIG: Frühwarnung 24 Stunden, Detailbericht 72 Stunden, Abschlussbericht nach einem Monat. Diese Meldeprozesse fehlen auch bei ISO-27001-zertifizierten Unternehmen fast immer.

    05

    Supply Chain Security nach §30 Abs. 2 Nr. 4 BSIG

    Bewertung kritischer Lieferanten und Dienstleister nach NIS-2-Anforderungen. Erstellung von Bewertungskriterien, Vertragsklauseln und Lieferantenfragebögen für den regulatorischen Nachweis.

    06

    BSI-Registrierung über MELDOX

    Unterstützung bei der Registrierungspflicht nach §33 BSIG über das BSI-Meldeportal MELDOX. Die Registrierungsfrist lief am 6. März 2026 ab, eine verspätete Registrierung ist weiterhin möglich. SECURAM bereitet alle erforderlichen Angaben vor und dokumentiert den Nachweis.

    07

    Schulung der Geschäftsführung nach §38

    NIS-2 verpflichtet Leitungsorgane zur Teilnahme an Schulungen (§38 Abs. 3 BSIG) — mindestens alle drei Jahre. SECURAM gestaltet praxisorientierte Formate, die den regulatorischen Nachweis erbringen und auf die persönliche Haftungssituation eingehen.

    08

    Auditvorbereitung und Nachweisführung

    Aufbau eines Nachweissystems, das behördliche Prüfungen und interne Audits trägt. Dokumentation der umgesetzten Maßnahmen, der Risikobehandlung und der Meldeprozesse in prüfungssicherer Struktur.

    Für laufende Betreuung: ISBaaS in drei Stufen — Core, Advanced, Complete. Aufwand abhängig vom Einzelfall.

    GAP-Analyse in 5 Werktagen

    Dokumentierter Befund als Entscheidungsgrundlage — ohne Verpflichtung zur weiteren Zusammenarbeit.

    GAP-Analyse anfragen →

    Laufender Betrieb

    ISBaaS — Ihr externer Informationssicherheitsbeauftragter

    ISBaaS (Information Security Beauftragter as a Service) ist das SECURAM-Modell für den laufenden Betrieb eines Managementsystems. Statt eine interne ISB-Stelle aufzubauen und dauerhaft zu besetzen, übernimmt SECURAM diese Rolle als externer Spezialist — mit definiertem Leistungsumfang und planbaren Kosten.

    Das Modell eignet sich für Organisationen, die nach der NIS-2-Implementierung den Regelbetrieb an einen erfahrenen Partner übergeben möchten, sowie für Unternehmen, die keinen internen ISB stellen können oder wollen.

    • Übernahme der ISB-Rolle nach §38 BSIG
    • Pflege und Weiterentwicklung der ISMS-Dokumentation
    • Vorbereitung und Begleitung interner und externer Audits
    • Regelmäßige Management-Reviews und Reporting
    Core Basisbetreuung, jährliche Dokumentenpflege, Jahresbericht
    Advanced Vollständige laufende Betreuung, Quartalsberichte, erweiterter Incident-Support
    Complete Inkl. Auditvorbereitung, monatliches Reporting, 24/7-Incident-Support

    Verwandte Standards und Normüberschneidungen

    Was ein ISMS bereits abdeckt — und was fehlt

    NIS-2 liegt innerhalb der ISMS-Säule und teilt wesentliche Anforderungen mit ISO 27001, TISAX und dem BSI IT-Grundschutz. Wer ein ISMS aufgebaut hat, kann NIS-2 mit deutlich reduziertem Aufwand adressieren — Governance-Strukturen, Risikoanalysen und Dokumentation sind wiederverwendbar.

    In unseren Projekten zeigt sich: ISO-27001-zertifizierte Unternehmen haben die Meldeprozesse nach §32 BSIG (Frühwarnung 24 Stunden, Detailbericht 72 Stunden), die BSI-Registrierung und einzelne Supply-Chain-Anforderungen fast nie bereits abgedeckt — unabhängig vom Reifegrad des ISMS.

    Wer noch kein ISMS hat, kann NIS-2 als Einstiegspunkt nutzen. Der pragmatische Pfad: CISIS12 als schlanker Einstieg, dann Skalierung auf ISO 27001 und regulatorische Pflichten wie NIS-2 oder DORA.

    Typischer Delta-Aufwand
    20–40 %

    der NIS-2-Gesamtanforderungen fehlen auch bei ISO-27001-zertifizierten Unternehmen. Die SECURAM GAP-Analyse zeigt den konkreten Umfang in 3 bis 5 Personentagen.

    Ein bestehendes Managementsystem lässt sich mit reduziertem Aufwand auf weitere Normen erweitern — Governance-Strukturen, Risikoanalysen und Dokumentation sind wiederverwendbar.

    Gleiche Säule (ISMS)
    ISO 27001 CISIS12 TISAX BSI IT-Grundschutz KRITIS DORA CRA
    Ergänzende Säulen
    ISO 22301 (BCMS) ISO 27005 (RMS)

    Vorgehen

    NIS-2 Implementierung in sechs Phasen

    Von der Bestandsaufnahme bis zum Regelbetrieb — der typische Projektverlauf.

    Scoping und Bestandsaufnahme

    2–3 Wochen

    Stakeholder-Interviews, Scope-Definition nach §28 BSIG, Bestandsaufnahme bestehender Prozesse und Dokumentation.

    Deliverables: Scope-Dokument, Stakeholder-Map, Bestandsaufnahme

    GAP-Analyse

    3–4 Wochen

    Systematischer Abgleich des Ist-Zustands gegen die zehn Anforderungsbereiche des §30 Abs. 2 BSIG. Identifikation und Priorisierung der Handlungsfelder.

    Deliverables: GAP-Analyse-Bericht, priorisierter Maßnahmenplan

    Konzeption und Dokumentation

    6–8 Wochen

    Erarbeitung der erforderlichen Richtlinien, Prozesse und Verfahrensanweisungen. Aufbau des Managementsystems und der Risikobehandlung.

    Deliverables: Leitlinie, Risikobehandlungsplan, SoA, Verfahrensanweisungen

    Umsetzung und Integration

    8–12 Wochen

    Implementierung der Maßnahmen in den operativen Betrieb. Schulungen der Geschäftsführung nach §38, Aufbau der Meldeprozesse nach §32 BSIG.

    Deliverables: Implementierte Controls, Schulungsnachweise, Meldeprozesse

    Zertifizierungsvorbereitung

    4–6 Wochen

    Internes Audit, Management-Review, Behebung offener Punkte, BSI-Registrierung über MELDOX, Abstimmung mit dem Zertifizierungsauditor.

    Deliverables: Interner Auditbericht, Management-Review-Protokoll, BSI-Registrierung

    Übergang in den Regelbetrieb (ISBaaS)

    Fortlaufend

    Übergabe in das ISBaaS-Betriebsmodell. Kontinuierliche Pflege, Weiterentwicklung und Auditvorbereitung im gewählten Tier.

    Deliverables: SLA, Onboarding-Protokoll, Regelbetriebshandbuch

    Erfahrung und Qualifikation

    Worauf SECURAM aufbaut

    30+
    Implementierte Managementsysteme
    50+
    Durchgeführte interne Audits
    15+
    Betreute Organisationen (aaS)
    20+
    Jahre Beratungserfahrung

    SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

    Häufige Fragen

    Fragen zur NIS-2-Umsetzung

    NIS-2 (Richtlinie (EU) 2022/2555) ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie trat am 16. Januar 2023 in Kraft und wird in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) national umgesetzt. Die Richtlinie verpflichtet wesentliche und wichtige Einrichtungen in 18 Sektoren zu konkreten Cybersicherheitsmaßnahmen nach §30 BSIG, darunter Risikomanagement, Incident Response und Supply Chain Security. Schätzungsweise 29.000 bis 40.000 Unternehmen in Deutschland sind betroffen.
    Betroffen sind Unternehmen in definierten Sektoren — von Energie und Gesundheit bis zu Maschinenbau und Lebensmittelproduktion — mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz. In unseren Projekten stellt sich bei rund 70 % der Anfragen eine tatsächliche Betroffenheit heraus, oft ohne dass die Unternehmen dies vorher wussten. Die SECURAM Betroffenheitsanalyse prüft Sektorzugehörigkeit und Schwellenwerte nach §28 BSIG und liefert einen dokumentierten Nachweis.
    Für wesentliche Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen gelten bis zu 7 Millionen Euro oder 1,4 %. Hinzu kommt die persönliche Haftung der Leitungsorgane nach §38 BSIG: Geschäftsführerinnen und Geschäftsführer haften unmittelbar, eine Delegation an die IT-Abteilung ist nicht möglich.
    ISO 27001 deckt erfahrungsgemäß 60 bis 80 % der NIS-2-Anforderungen ab — ist aber kein vollständiger Nachweis. Was typischerweise fehlt: die Meldeprozesse nach §32 BSIG (Frühwarnung 24 Stunden, Detailbericht 72 Stunden), die Registrierungspflicht beim BSI über MELDOX und spezifische Supply-Chain-Anforderungen. Die SECURAM GAP-Analyse zeigt den konkreten Delta-Aufwand, der erfahrungsgemäß bei 20 bis 40 % der Gesamtanforderungen liegt.
    Als Richtwert gilt: Betroffenheitscheck 1–2 Wochen, GAP-Analyse 3–4 Wochen (externer Aufwand 3–5 Personentage), Maßnahmenplanung und Umsetzung 8–16 Wochen, BSI-Registrierung und Nachweisführung 2–4 Wochen. Gesamtlaufzeit ohne bestehendes ISMS: frühestens 14 Wochen. Unternehmen mit ISO-27001-Zertifizierung sind deutlich schneller, da Governance-Strukturen bereits existieren.
    Der Einstieg ist die SECURAM GAP-Analyse — in der Regel 3 bis 5 Personentage, Ergebnis in bis zu fünf Werktagen. Der Gesamtaufwand für die vollständige Umsetzung hängt von Unternehmensgröße, Ausgangsniveau und gewählter Normkombination ab. Keine Euro-Festpreise — im Erstgespräch erhalten Sie eine erste Einschätzung für Ihren konkreten Fall.
    NIS-2 liegt innerhalb der ISMS-Säule und lässt sich mit ISO 27001, TISAX, BSI IT-Grundschutz, KRITIS und DORA kombinieren. Wer ein ISMS aufgebaut hat, kann weitere Normen mit deutlich reduziertem Aufwand adressieren, da Governance-Strukturen, Risikoanalysen und Dokumentation wiederverwendbar sind. SECURAM berät zu Normkombinationen und identifiziert Überschneidungen in der GAP-Analyse.
    SECURAM deckt mit vier Säulen — ISMS, BCMS, KI-Governance und Risikomanagement — das gesamte GRC-Spektrum ab. NIS-2-Implementierungen werden nicht isoliert betrachtet, sondern im Kontext verwandter Normen wie ISO 27001 oder DORA. Das ISBaaS-Modell bietet nach der Implementierung einen laufenden Betrieb als externer Informationssicherheitsbeauftragter in drei Leistungsstufen.
    Nein. Das NIS2UmsuCG trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Sämtliche Pflichten — Risikomanagementmaßnahmen nach §30 BSIG, Meldepflichten und Registrierung beim BSI — gelten seit diesem Tag. Die Registrierungsfrist lief am 6. März 2026 ab. Eine verspätete Registrierung ist weiterhin möglich, birgt jedoch ein Bußgeldrisiko von bis zu 500.000 Euro. Unternehmen, die ihre Betroffenheit noch nicht geprüft haben, sollten dies umgehend nachholen.
    Die Konzernklausel nach EU-Empfehlung 2003/361/EG konsolidiert Mitarbeiterzahlen und Finanzkennzahlen verbundener Unternehmen. Eine GmbH mit 30 Mitarbeitern kann durch Konzernzugehörigkeit die Schwellenwerte von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz überschreiten und damit NIS-2-pflichtig werden. Die DIHK schätzt, dass 80 Prozent der betroffenen Organisationen nicht wissen, dass sie reguliert werden — die Konzernklausel ist eine häufige Ursache für diese Fehleinschätzung.
    Die Registrierung erfolgt zweistufig über das BSI-Melde- und Registrierungsportal. Zunächst ist eine Anmeldung bei Mein Unternehmenskonto (MUK) mit ELSTER-Organisationszertifikat erforderlich — allein dieser Schritt dauert 5 bis 10 Werktage für die Aktivierungs-ID per Post. Anschließend erfolgt die eigentliche Registrierung mit Angaben zu Unternehmensgröße, Sektor und einer rund um die Uhr erreichbaren NIS-2-Kontaktstelle. Die Registrierungsfrist lief am 6. März 2026 ab, eine Nachregistrierung ist weiterhin möglich.
    Das KRITIS-Dachgesetz trat am 17. März 2026 in Kraft und setzt die EU-CER-Richtlinie um. Es regelt den physischen Schutz kritischer Infrastrukturen mit einem All-Gefahren-Ansatz und betrifft rund 2.000 Betreiber kritischer Anlagen. Unternehmen, die sowohl unter NIS-2 als auch unter das KRITIS-Dachgesetz fallen, müssen beide Regelwerke parallel erfüllen — Cybersicherheit nach BSIG und physische Resilienz nach KRITIS-Dachgesetz. Die Registrierung beim BBK beginnt frühestens am 17. Juli 2026.

    Nächster Schritt

    Wie können wir Sie bei NIS-2 unterstützen?

    Implementierung

    NIS-2 umsetzen

    Ihr Unternehmen muss NIS-2 umsetzen und benötigt ein strukturiertes Implementierungsprojekt — von der Betroffenheitsanalyse bis zur BSI-Registrierung.

    Erstgespräch vereinbaren →
    Auditierung

    Internes Audit durchführen

    Sie haben ein bestehendes Managementsystem und benötigen ein unabhängiges internes Audit zur Prüfung der NIS-2-Konformität.

    Audit anfragen →
    Laufender Betrieb

    ISBaaS besprechen

    Sie möchten den laufenden Betrieb Ihres Managementsystems an einen externen Informationssicherheitsbeauftragten übergeben.

    ISBaaS-Paket besprechen →

    Kontakt

    Wir freuen uns auf Ihre Nachricht.

    Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

    Ihre Ansprechpartnerin

    Nadine Eibel – SECURAM Consulting

    Nadine Eibel

    Gründerin & Geschäftsführerin
    SECURAM Consulting GmbH

    Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

    Kontaktdaten

    Colonnaden 5
    20354 Hamburg
    040 298 4553-0
    contact@securam-consulting.com

    Direkter Kontakt

    Lieber direkt sprechen?
    Buchen Sie ein kostenloses Erstgespräch.

    Termin buchen