18betroffene Sektoren
≥ 50MA als Schwelle
24 hErstmeldefrist BSI
10 M€max. Bußgeld
Selbstcheck
Sind Sie betroffen?
Ein erster Indikator in vier Schritten. Verbindlich ist immer die Einschätzung im Einzelfall — wir machen die im Erstgespräch kostenfrei.
Sektor
Energie, Wasser, Transport, Banken, Finanzmarkt, Gesundheit, digitale Infrastruktur, IKT-Service-Management, öffentliche Verwaltung, Raumfahrt — und 8 weitere. Auch Tochtergesellschaften und Lieferanten kritischer Einrichtungen sind in der Lieferkette betroffen.
Größe
Ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. In besonders kritischen Bereichen (z. B. qualifizierte Vertrauensdiensteanbieter, TLD-Registries, Energieversorger) gelten niedrigere Schwellen.
Einstufung
„Wesentliche Einrichtung" (höhere Pflichten, höhere Bußgelder) oder „wichtige Einrichtung" (vereinfachte Pflichten). Die Einstufung erfolgt nach Sektor, Größe und Marktposition.
Pflichten
Risikomanagement, Meldepflichten (24/72 h / 1 Monat), Geschäftsleitung-Schulung und persönliche Haftung, Lieferantenüberwachung, Registrierung beim BSI.
Kurz gesagt: Wenn Sie ein mittelständisches Unternehmen mit ≥ 50 MA in einem der 18 NIS2-Sektoren sind, oder Lieferant einer KRITIS-Einrichtung, gilt NIS2 mit hoher Wahrscheinlichkeit für Sie. Die finale Klärung gehört in eine 60-minütige Sektor-/Größen-Einordnung — nicht in Selbstdiagnose.
Leistungsumfang
NIS2 von der Lagebeurteilung bis zum Dauerbetrieb
GAP-Analyse
Strukturierter Soll-/Ist-Abgleich gegen Art. 21 NIS2 und § 30 NIS2UmsuCG. Pro Anforderung: aktueller Reifegrad, gewünschter Zielzustand, geschätzter Aufwand, Risiko bei Nichterfüllung. Ergebnis: priorisierter Maßnahmenkatalog.
Risikoanalyse
Asset-Inventar, Bedrohungsmodell, Schadensszenarien mit Eintrittswahrscheinlichkeit und Schadenshöhe. Methodik nach BSI 200-3 oder ISO 27005, dokumentiert und auditfähig. Output: Risikoregister mit Behandlungsstrategie pro Risiko.
Maßnahmenplan & Umsetzung
Konkrete Roadmap mit Verantwortlichkeiten, Aufwand und Terminen. Wir setzen die technischen Maßnahmen selbst um — keine Übergabe an unbekannte Dienstleister. Reporting an Ihre Geschäftsleitung in monatlichen Reviews.
Technische Härtung
Netzsegmentierung mit OPNsense, MFA flächendeckend, Patch-Management, Endpoint-Härtung nach CIS Benchmarks, immutable Backups mit Proxmox Backup Server, Logging und Alerting via Wazuh-SIEM. Stack, den wir täglich betreiben.
Awareness & Schulung
Geschäftsleitung (verpflichtende Schulung nach Art. 20 NIS2), Admins (technische Detailtiefe), Endanwender (Phishing-Resistenz). Realistische Phishing-Simulationen, Auswertung pro Abteilung, gezielte Nachschulung der schwachen Stellen.
BSI-Reporting & Incident-Response
Unterstützung bei der Registrierung als wesentliche/wichtige Einrichtung, vorbereitete Meldewege für die 24-h-Erstmeldung. Im Vorfall: 24/7-Bereitschaft (Full-IT-Service-Kunden), strukturierte Forensik und nachvollziehbare Doku.
Vorgehen
In sechs Schritten von „betrifft uns?" zu „läuft".
01
Erstgespräch & Einordnung (kostenfrei)
60 Minuten Sektor- und Größenklärung. Am Ende wissen Sie, ob Sie als „wesentliche" oder „wichtige" Einrichtung gelten — oder gar nicht erfasst sind.
02
GAP-Analyse
Strukturiertes Interview, Begehung, Auswertung Ihrer bestehenden Doku. Ergebnis nach 2 – 3 Wochen: priorisierter Maßnahmenkatalog mit Aufwandschätzung.
03
Risikoanalyse
Asset-Inventar, Bedrohungsmodellierung, Risikoregister nach BSI 200-3 oder ISO 27005. Auditfähig dokumentiert.
04
Maßnahmenumsetzung
Härtung, Segmentierung, MFA, SIEM, Backup-Redesign, Awareness-Programm. Wöchentliche Reviews, klare Verantwortlichkeiten, sichtbarer Fortschritt.
05
BSI-Registrierung & Notfallplan
Vorbereitete Meldewege, Ansprechpartner-Benennung, dokumentierter Incident-Response-Plan inkl. einer geprobten Tabletop-Übung.
06
Dauerbetrieb & Re-Audit
Optional: Patch- und Vulnerability-Management, SIEM-Auswertung, jährliches NIS2-Re-Audit zur Sicherstellung der weiteren Konformität. Auf Wunsch im Rahmen unseres Full-IT-Service.
Abgrenzung
Warum wir und nicht das Beratungshaus?
Wir setzen um, nicht nur an
Klassische Compliance-Berater liefern eine Folienmappe und übergeben an Ihr internes IT-Team — das genau die fehlenden Ressourcen hat, weshalb Sie überhaupt extern Hilfe gesucht haben. Wir liefern Konzept und Realisierung aus einer Hand.
Wir kennen den Stack, weil wir ihn betreiben
Proxmox, Ceph, OPNsense, Wazuh, Ansible — täglich produktiv. Wenn wir Ihnen Härtung empfehlen, haben wir genau diese Konfiguration tausendfach selbst implementiert und nachts um drei stabilisiert.
Festpreise statt Tage-Lawine
GAP-Analyse, Risikoanalyse und Awareness-Programm bekommen Sie zu Festpreisen. Beratungstage rechnen wir nur dort ab, wo das wirklich passt — typischerweise bei Auditbegleitung und Sondervorfällen.
Werkzeuge sind Open Source
Keine proprietäre „GRC-Plattform" mit jährlicher Lizenz. Ihr Risikoregister, Asset-Inventar und Maßnahmen-Tracker liegen in Formaten, die Sie auch ohne uns weiterbetreiben können — Markdown, CSV, Git.
Reale Übersetzung: Bei einem unserer Kunden — einer Bundesbehörde mit Hyperconverged-Proxmox-Stack — haben wir den NIS2-Maßnahmenkatalog innerhalb von neun Monaten vollständig umgesetzt. Inklusive BSI-Grundschutz-konformer Härtung, Wazuh-SIEM mit 142 Agents und einer geprobten Notfall-Übergabe an die Bereitschaft. Re-Audit nach zwölf Monaten ohne Major-Findings.
FAQ
Häufige Fragen zur NIS2-Umsetzung
NIS2 gilt für „wesentliche" und „wichtige" Einrichtungen in 18 Sektoren — u. a. Energie, Transport, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, IKT-Service-Management, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe, Anbieter digitaler Dienste, Forschung. Mittelschwellen: ab 50 Mitarbeitenden oder 10 Mio. € Umsatz; in besonders kritischen Sektoren auch darunter. Konzerntochterregeln und Lieferketten-Anforderungen weiten den Kreis zusätzlich. Ein 30-minütiger Selbstcheck reicht in der Regel für eine erste Einschätzung.
Das IT-SiG 2.0 (2021) regelte KRITIS-Betreiber und Anbieter besonderer Dienste. NIS2 (EU-Richtlinie 2022/2555) erweitert den Kreis erheblich: mehr Sektoren, niedrigere Schwellen, persönliche Haftung der Geschäftsleitung, kürzere Meldefristen (24h initial, 72h ausführlich, 1 Monat Abschluss). In Deutschland wird NIS2 durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt — es ersetzt und konsolidiert weite Teile des bisherigen IT-SiG.
Für „wesentliche" Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (höherer Wert), für „wichtige" Einrichtungen bis 7 Mio. € oder 1,4 %. Daneben kann das BSI Maßnahmen anordnen und im Wiederholungsfall die Geschäftsleitung persönlich in Verantwortung nehmen. Die Bußgelder sind vergleichbar mit der DSGVO — werden aber tatsächlich verhängt, sobald eine Aufsichtsbehörde aktiv wird.
Die GAP-Analyse plus Risikoanalyse für einen Mittelständler liegt typischerweise bei 4 – 8 Wochen. Die Maßnahmenumsetzung hängt davon ab, wie weit Ihre Infrastruktur bereits ist: für reife Betriebe mit dokumentierter Architektur reichen 3 – 6 Monate, für gewachsene Landschaften mit Schatten-IT und ungetesteten Backups planen wir 9 – 18 Monate inkl. Härtung, SIEM-Anbindung, Awareness und Notfall-Drills.
Wir liefern keine Beratungsfolie ab und übergeben sie an Sie zur Umsetzung. Wir setzen die technischen Maßnahmen selbst um — Netzsegmentierung, Firewall-Härtung, MFA, SIEM, immutable Backups, Patch-Management — auf der Infrastruktur, die wir bei Ihnen oder in unserem Housing betreiben. Beratung und Realisierung aus einer Hand verkürzt Projekte spürbar und schließt die typische „Konzept-vorhanden-Umsetzung-fehlt"-Lücke.
Die Registrierung beim BSI als „wesentliche" oder „wichtige" Einrichtung erfolgt bevollmächtigt durch Sie — wir bereiten alle nötigen Unterlagen, Ansprechpartner-Benennungen und Asset-Inventare vor. Bei Sicherheitsvorfällen unterstützen wir Sie bei der 24h-Erstmeldung und der nachgelagerten 72h-Folgemeldung; in unseren Full-IT-Service-Verträgen ist diese Bereitschaft enthalten.
NIS2 ist kein Projekt, das man verschiebt.
30 Minuten Erstgespräch, ehrliche Sektor- und Größeneinordnung, danach ein klares Bild der nächsten 12 Monate. Kostenfrei, unverbindlich, ohne Verkaufsfolien.