audatis MANAGER SHOP
Kontakt
Jetzt kostenlos testen
Hilfe und Support

NIS-2-Richtlinie: Ihre Pflichten verstehen – Ihren Praxis-Fahrplan entwickeln

Sie hören überall von NIS-2, aber Sie wissen nicht, ob Ihr Unternehmen wirklich betroffen ist? Und was genau von Ihnen verlangt wird und wie Sie die Umsetzung der NIS-2-Richtlinie neben dem Tagesgeschäft schaffen sollen, ist noch unklar? Dann finden Sie hier einen verständlichen Überblick, lernen die wichtigsten NIS-2-Anforderungen kennen und erhalten einen konkreten Praxis-Fahrplan. So können Sie einschätzen, wo Sie heute stehen, welche Schritte jetzt Priorität haben und wie Sie NIS-2 nutzen, um Sicherheit und Compliance in Ihrem Unternehmen gezielt voranzubringen. 

decorative decorative decorative

Die NIS-2-Richtlinie kurz erklärt

Die NIS-2-Richtlinie ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie schärft die bisherigen Regeln und weitet den Kreis der betroffenen Unternehmen deutlich aus. Ziel ist es, die Cyber- und Informationssicherheit in Europa spürbar zu erhöhen.

Konkret heißt das: Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, Risiken systematisch managen und Sicherheitsvorfälle melden. NIS-2 ist zwar eine juristische Vorgabe, sie wirkt sich in der Praxis jedoch direkt auf Ihre Prozesse, Ihre IT und die Verantwortung der Geschäftsführung aus.

Die Richtlinie wurde am 16. Januar 2023 im EU-Recht wirksam und wurde in Deutschland mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist. Sie gilt EU-weit für als „wesentlich“ oder „wichtig“ eingestufte Einrichtungen in kritischen Sektoren (z. B. Energie, Verkehr, Gesundheit, Digitalisierung). Die rechtlichen Details finden Sie im Originaltext zur NIS-2 auf EUR-Lex sowie in den NIS-2-Informationen des BSI zur Umsetzung in Deutschland.

 

Ziele und Hintergrund der NIS-2-Richtlinie

Die NIS-2-Richtlinie reagiert auf die wachsende Bedrohungslage im Bereich Cyber- und Informationssicherheit und soll ein einheitlich höheres Sicherheitsniveau in der EU schaffen. Sie bündelt Anforderungen, verschärft bestehende Pflichten und erweitert den Kreis der betroffenen Unternehmen. Der Gesetzgeber hat bei der Gestaltung von NIS-2 folgende Ziele verfolgt:

  • Stärkung der Cyber- und Informationssicherheit in kritischen und wichtigen Sektoren in der gesamten EU
  • Harmonisierung von Sicherheitsanforderungen und Meldepflichten über Branchen und Länder hinweg
  • Erhöhung der Widerstandsfähigkeit(Resilienz) von Unternehmen und Unternehmen in der Lieferketten gegen Cyberangriffe und Ausfälle
  • Klarere Verantwortung und Haftung der Geschäftsführung für Cybersicherheit/Cybersecurity

  • Förderung eines systematischen Risikomanagements und einer professionellen Sicherheitsorganisation in Unternehmen

     

Wichtige Unterschiede zur bisherigen NIS-Richtlinie

Mit der NIS-2-Richtlinie werden Anforderungen an die Sicherheitsorganisation von unternehmen (Governance)deutlich geschärft. Für Unternehmen heißt das vor allem: Klarere Formulierung der Ziele und Anforderungen an Informationssicherheit und Risikomanagement, sowie  Festlegen von Verantwortlichkeiten und Pflichten. Es wird ein einheitlicher Rahmen für Cybersecurity geschaffen. Dazu zählen in der EU auch Sanktionen bei Verstößen gegen NIS-2 bzw. bei fehlender NIS-2-Compliance. Die folgende Tabelle zeigt die wesentlichen Unterschiede zwischen der NIS-(1)-Richtlinie und NIS-2. 

 

Früher: 
NIS-Richtlinie

Heute: 
NIS-2-Richtlinie

Betroffene Unternehmen vor allem klassische Betreiber kritischer Infrastrukturen (KRITIS) und ausgewählte digitale DiensteNIS-2-Betroffenheit für „wichtige“ und „besonders wichtige“ Einrichtungen in mehr Sektoren, inklusive vieler Dienstleister, IT-Provider und Industrieunternehmen, auch in Lieferketten
Sicherheitspflichten eher allgemein formuliert; viel Spielraum für nationale AuslegungKonkretere NIS-2-Anforderungen an Risikomanagement, Informationssicherheitsmaßnahmen und Incident Management – klarer Rahmen für NIS-2-Compliance
Managementverantwortung für Informationssicherheit eher indirekt adressiertGeschäftsführung und Leitungsorgane ausdrücklich in der Verantwortung, inklusive Pflicht zu Schulungen und aktiver Überwachung der Umsetzung
Meldepflichten zu Sicherheitsvorfällen weniger detailliert harmonisiertDetaillierte, gestufte Meldepflichten mit definierten Fristen und Inhalten für ein schnelleres, einheitliches Incident-Reporting
Sanktionsrahmen und Aufsicht stark vom nationalen Recht abhängigHarmonisierte Mindestvorgaben für Aufsicht und Bußgelder; spürbar höhere mögliche Sanktionen bei Verstößen gegen die NIS-2-Richtlinie
decorativedecorativedecorative

Praxisbeispiele: Welche Änderungen bringt NIS-2?

NIS-2 hat konkrete Auswirkungen auf direkt und indirekt betroffenen Unternehmen. Typisch sind erhöhte Fragen nach Nachweisen. Spannend sind die individuellen Szenarien, die uns in der NIS-2-Projektbegleitung begegnen.

Gasleitung, Wasserleitung, freigelegt, Foto von Rose Galloway Green auf UnsplashGasleitung, Wasserleitung, freigelegt, Foto von Rose Galloway Green auf UnsplashGasleitung, Wasserleitung, freigelegt, Foto von Rose Galloway Green auf Unsplash

Ein Anbieter von Lösungen zur Gas- und Wasser-Leckortung möchte zunächst seine Betroffenheit klären. Allein anhand der Unternehmenskennzahlen werden zwar die gesetzlichen Schwellenwerte nicht erreicht, aber durch die sehr engen Kundenbeziehungen mit „wichtigen“ und „sehr wichtigen“ kommunalen Betrieben ist eine eigene direkte Betroffenheit möglich. 

Der Vertrieb erhält viele Sicherheitsfragebögen, die seit der NIS-2-Einfürung immer mehr werden. Sie werden an den IT-Leiter weitergeleitet, der aber selbst nicht genügend Ressourcen zur Bearbeitung hat – Zeit ist immer chronisch knapp. Die von den Kunden abgefragten Maßnahmen wurden in der Vergangenheit noch nicht umgesetzt, wodurch jetzt Aufträge verloren gehen. Es besteht akuter Handlungsbedarf, da erwartet wird, dass die Zahl solcher Anfragen durch NIS-2 weiter steigen wird. Deshalb entscheidet sich das Unternehmen für externe Unterstützung bei seinem NIS-2-Projekt durch einen Dienstleister.

Autoteile, Edelstahl, Foto von Francesco Giacomini auf UnsplashAutoteile, Edelstahl, Foto von Francesco Giacomini auf UnsplashAutoteile, Edelstahl, Foto von Francesco Giacomini auf Unsplash

Ein Automobilzulieferer hat bereits das TISAX®-Label, wonach Kunden regelmäßig in RFPs fragen. Ohne TISAX®-Zertifizierung wären in der Vergangenheit viele Aufträge nicht zustande gekommen. Da der Zulieferer einige der größten Automobilhersteller im Kundenkreis hat, die selbst von NIS-2 betroffen sind, sieht er sich nun als Teil der Lieferkette damit konfrontiert, dass die Autobauer die NIS-2-Anforderungen an ihre Zulieferer weitergeben und nun nachdrücklich weitere Maßnahmen abfragen, die in der vorhandenen Zertifizierung nicht enthalten sind.  

Das Unternehmen hat bereits viele NIS-2-relevante Maßnahmen im vorhandenen ISMS umgesetzt, muss nun aber nachschärfen, um über die TISAX®-Zertifizierung hinausgehend auch NIS-2-relevante Kriterien zu erfüllen. Das Aufsetzen auf das ISMS bedeutet einen relativ geringen Projektaufwand, der in kurzer Zeit umsetzbar ist. 

Software-Simulation, Messung, test, Foto von ThisisEngineering auf UnsplashSoftware-Simulation, Messung, test, Foto von ThisisEngineering auf UnsplashSoftware-Simulation, Messung, test, Foto von ThisisEngineering auf Unsplash

Ein Elektronik- und Softwareunternehmen entwickelt als Technologieführer Simulationsumgebungen für den Entwurf und Test mechatronischer Steuerungssysteme. Das Unternehmen ist aufgrund Größe und Umsatz direkt von NIS-2 betroffen. Da es mehrere internationale Standorte hat, greifen nicht nur die Regelungen des deutschen NIS-2-Umsetzungsgesetzes, sondern auch weitere nationale Ausgestaltungen der europäischen Richtlinie. In jedem Land, in dem das Unternehmen NIS-2-betroffenen Tätigkeiten nachgeht, ist die Registrierung einzeln vorzunehmen und die jeweiligen lokalen Anforderungen sind umzusetzen. 

Für diese Unternehmen ist das Maximalprinzip bei der NIS-2-Umsetzung sinnvoll, damit abweichende Einzellösungen an den Standorten weitestgehend vermieden werden können und stattdessen eine zentral managebare Lösung für das Gesamtunternehmen entsteht.

Zum Seitenanfang

Welche Unternehmen sind von NIS-2 betroffen – direkt oder indirekt?

Ob Sie von NIS-2 betroffen sind und sie sich damit befassen müssen, das Gesetz um zu setzen ist keine einfach zu beantwortende Frage. NIS-2 unterscheidet zwischen klassischen KRITIS-Unternehmen/-Betreibern, „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“ in kritischen Sektoren der europäischen Wirtschaft. 

Auch die Zusammenarbeit mit Unternehmen, die zu diesem Kreis gehören kann dazu führen, dass Sie vom Gesetz betroffen sind, ohne dass Sie selbst als KRITIS-Betreiber, besonders wichtige oder wichtige Einrichtung gelten. Die Richtlinie wirkt über Lieferketten, Dienstleister und IT-Partner tief in den Mittelstand hinein. Für datenintensive Dienstleister, IT-Dienstleister/Systemhäuser, Cloud-Anbieter (SaaS/PaaS/IaaS) und auch produzierende Industrieunternehmen ist die Frage nach der eigenen Einstufung und nach NIS-2-Compliance deshalb kein Randthema, sondern kann geschäftskritisch sein. Eine erste pragmatische Einschätzung ermöglicht die Betrachtung der direkten oder indirekten Betroffenheit Ihres Unternehmens. 

decorativedecorativedecorative

Direkte Betroffenheit: kritische und (besonders) wichtige Einrichtungen

Direkt von der NIS-2-Richtlinie betroffen sind Unternehmen, die nach den Kriterien der Richtlinie und der nationalen Umsetzung (z. B. Branche, Unternehmensgröße, Umsatz, Rolle in der Versorgung) als „besonders wichtige“ oder „wichtige“ Einrichtungen eingestuft werden. Sie müssen die NIS-2-Anforderungen vollständig umsetzen und NIS-2-Compliance nachweisen – ggf sogar Aufsichtsbehörden oder Geschäftspartnern gegenüber. 

Hinweis zur Begriffsklärung: Oft wird auch der Begriff "wesentliche" Einrichtungen verwendet, der angelehnt an das Wort "essential" in der englischen EU-Richtlinie ist. Er meint die "besonders wichtigen" Einrichtungen.

Typische Sektoren und Einrichtungen:

  • Energieversorgung (Strom, Gas, Öl, Fernwärme)
  • Transport und Verkehr (Luft-, Schienen-, Straßen- und Schiffsverkehr, Logistik)
  • Finanz- und Versicherungswesen (Banken, Zahlungsdienste, Börsen, Versicherer)
  • Gesundheitswesen (Krankenhäuser, Kliniken, Labore, Arzneimittel-Hersteller)
  • Trinkwasser- und Abwasserversorgung
  • Digitale Infrastruktur (Rechenzentren, DNS-Dienste, Content Delivery Networks)
  • Öffentliche Verwaltung auf zentraler oder besonders kritischer Ebene
  • Anbieter digitaler Dienste und Plattformen (z. B. große Cloud- und Online-Marktplätze)

Zur groben Orientierung können Sie sich die Größenordnung merken: Liegt Ihr Unternehmen in einem der genannten Sektoren bei mindestens 50 Mitarbeitenden oder über 10 Mio. € Jahresumsatz und Bilanzsumme, gelten Sie häufig als „wichtige Einrichtung“. Ab etwa 250 Mitarbeitenden oder mehr als 50 Mio. € Jahresumsatz und mehr als 43 Mio. € Bilanzsumme sprechen Gesetzgeber und Aufsicht in der Regel von einer „besonders wichtigen Einrichtung“. Im Einzelfall entscheidet aber immer die konkrete Einstufung nach den gesetzlichen Kriterien.

 

Indirekte Betroffenheit: Lieferkette, Dienstleister und IT-Partner

Nicht jedes Unternehmen ist direkt als „wichtige“ oder „besonders wichtige Einrichtung“ eingestuft – trotzdem kann NIS-2 sehr relevant sein. Viele NIS-2-regulierte Unternehmen geben ihre Pflichten über Verträge, Fragebögen und Audits an ihre Lieferkette, Dienstleister und IT-Partner weiter. So entsteht eine indirekte NIS-2-Betroffenheit.

Typische Konstellationen indirekter Betroffenheit:

  • IT-Dienstleister, IT-Systemhäuser und Managed Service Provider, die Netze, Server oder Anwendungen für NIS-2-regulierte Unternehmen betreiben oder administrieren
  • Rechenzentrumsbetreiber, Housing-/Hosting-Anbieter und Managed Security Service Provider, die kritische Infrastruktur und Security-Funktionen für Kunden bereitstellen
  • Cloud- und SaaS-Anbieter (z. B. HR-, DMS-, CRM- oder Branchenlösungen), die geschäftskritische Prozesse ihrer Kunden unterstützen
  • Beratungs- und Serviceunternehmen mit Zugriff auf sensible Daten oder Systeme (z. B. im Finanz-, Gesundheits- oder KRITIS-nahen Umfeld)
  • Zulieferer und Produzenten in wichtigen Wertschöpfungsketten (z. B. Maschinenbau, Automotive, Medizintechnik, Lebensmittelindustrie) mit enger Integration in die Prozesse ihrer Kunden
  • Mittelständische Unternehmen, die als langfristige Lieferanten für Großunternehmen oder Konzerne tätig sind und NIS-2-Anforderungen über Self-Assessments, Sicherheitsklauseln und Nachweise erfüllen müssen

Für diese Unternehmen gilt: Auch wenn sie formal nicht als NIS-2-Einrichtung eingestuft sind, spüren sie die NIS-2-Anforderungen über ihre Kundenbeziehungen. Wer hier frühzeitig Transparenz, Informationssicherheit und geordnete Prozesse nachweisen kann, sichert nicht nur Aufträge, sondern positioniert sich als verlässlicher Partner in NIS-2-regulierten Lieferketten.

 

Erste Einschätzung: Fällt Ihr Unternehmen unter NIS-2?

Wenn einer oder mehrere der folgenden Punkte auf Ihr Unternehmen zutreffen, sind Sie mit großer Wahrscheinlichkeit von NIS-2 betroffen:

  • Unser Unternehmen gehört zu einem der oben genannten Sektoren (z. B. Energie, Gesundheit, Transport, digitale Infrastruktur, öffentliche Verwaltung).
  • Unser Unternehmen beschäftigt mindestens rund 50 Mitarbeitende oder erzielt mehr als 10 Mio. € Umsatz und Bilanzsumme.
  • Wir sind als IT-Dienstleister, Systemhaus oder Managed Service Provider für die IT-Infrastruktur oder geschäftskritische Anwendungen von Kunden verantwortlich.
  • Wir bieten Cloud- oder SaaS-Lösungen an, in denen unsere Kunden sensible oder geschäftskritische Daten verarbeiten (z. B. HR-, DMS-, CRM- oder Branchenlösungen).
  • Wir sind als Zulieferer fester Bestandteil der Wertschöpfungsketten großer Unternehmen oder Konzerne (z. B. Maschinenbau, Automotive, Medizintechnik, Lebensmittelindustrie).
  • Wir werden in Ausschreibungen, Sicherheitsfragebögen oder Verträgen bereits konkret zu NIS-2, Informationssicherheit oder einem ISMS nach ISO 27001 befragt.
  • Geschäftsführung, Rechtsabteilung oder wichtige Kunden haben bereits nach unserer Einschätzung zur NIS-2-Betroffenheit gefragt.

Quick Check: Betroffenheit schnell geklärt

Sie sind nicht sicher, ob Sie von NIS-2 betroffen sind? Wir können gemeinsam mit Ihnen in einem Quick Check klären, wo Sie stehen. 

Beratungstermin vereinbaren
decorative decorative decorative

Zum Seitenanfang

NIS-2-Anforderungen: Welche Pflichten gelten für Ihr Unternehmen?

Sobald Sie wissen „NIS-2 ist für uns relevant“ lautet die nächste Frage: „Was heißt das im Alltag?“ NIs- stellt sehr konkrete Anforderungen daran,

  • wie Geschäftsführung und Management Informationssicherheit steuern,
  • wie Sie Risiken und Sicherheitsmaßnahmen im Griff haben,
  • und wie Ihr Unternehmen auf Vorfälle reagiert und meldet.

Prüfen Sie Ihren Ist-Zustand in jedem Bereich und sehen Sie, wo Sie bereits gut aufgestellt sind und wo Sie gezielt nachschärfen sollten, um Ihre NIS-2-Compliance Schritt für Schritt zu vervollständigen.

decorativedecorativedecorative

Governance- und Managementpflichten

NIS-2 macht Informationssicherheit ausdrücklich zur Aufgabe der Leitungsorgane. Die Geschäftsführung muss NIS-2-Compliance aktiv steuern, überwachen und nachweisen und trägt dafür eine persönliche Verantwortung bis hin zur persönlichen Haftung.

Kernpflichten der Geschäftsleitung sind zum Beispiel:

  • Verantwortung und Zuständigkeiten festlegen: NIS-2 und Informationssicherheit sind einer verantwortlichen Führungsperson oder einem Gremium zugeordnet; Aufgaben und Entscheidungswege sind dokumentiert.
  • Risikobewusstsein und Kultur prägen: Die Geschäftsleitung macht klar, dass Informationssicherheit Chefsache ist, und erwartet von Führungskräften und Mitarbeitenden, Risiken zu melden und Sicherheitsvorgaben einzuhalten.
  • Ziele, Maßnahmen und Ressourcen freigeben: Es gibt klare Ziele für Informationssicherheit, konkrete Maßnahmenpläne und ausreichende Budgets, Zeit und Personal zur Umsetzung.
  • Schulung und Sensibilisierung sicherstellen: Geschäftsführung und Mitarbeitende in Schlüsselrollen lassen sich zu NIS-2-Pflichten und Cyberrisiken schulen. Gleichzeitig sorgt die Leitung für regelmäßige Awareness-Formate und notwendige Schulungen für alle Mitarbeitenden.
  • Überwachung und Nachweis: Die Geschäftsleitung lässt sich regelmäßig zum Sicherheitsniveau, zu wesentlichen Risiken und Vorfällen berichten, hinterfragt Abweichungen und dokumentiert Entscheidungen und Freigaben.

Für Ihre Praxis bedeutet das: NIS-2 verlangt sichtbare Führung. Werden NIS-2-Anforderungen ignoriert oder Ressourcen dauerhaft verweigert, kann das BSI nicht nur das Unternehmen sanktionieren, sondern auch die Geschäftsführung bei Pflichtverletzungen persönlich haftbar machen.

 

Sicherheitsmaßnahmen und Risikomanagement

NIS-2 verlangt risikobasierte, risikoorientierte technische und organisatorische Maßnahmen. Grundlage für belastbare NIS-2-Compliance ist, dass Ihr Unternehmen seine wesentlichen Risiken kennt, passende Sicherheitsmaßnahmen festlegt und deren Wirksamkeit regelmäßig überprüft.

Typische Bausteine:

  • Strukturiertes Risikomanagement: Verfahren zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken und dokumentierte Risikoübersicht mit regelmäßiger Aktualisierung.
  • Technische Basismaßnahmen: Härtung und Aktualisierung von Systemen, Netzwerksegmentierung, abgesicherte Fernzugänge (z.B. VPN), Multi-Faktor-Authentifizierung, sichere Verschlüsselung und Schutz für Server und Endpoints.
  • Organisatorische Maßnahmen: Informationssicherheitsmanagementsystem (ISMS), Sicherheitsrichtlinien, klare Prozesse (z.B. für Berechtigungsmanagement – IAM), Vier-Augen-Prinzip bei kritischen Aktionen und dokumentierte Freigaben.
  • Überwachung und Erkennung: Monitoring und Protokollierung sicherheitsrelevanter Ereignisse, definierte Schwellenwerte und Abläufe, wie auf Auffälligkeiten reagiert wird.
  • Backup, Notfall- und Wiederanlaufkonzepte: regelmäßige, getestete Backups, definierte Wiederanlaufzeiten (RTO/RPO) und Notfallpläne für zentrale Systeme und Prozesse.
  • Sicherheit in der Lieferkette: Weitergabe von Sicherheitsanforderungen an Ihre Dienstleister, vertraglich geregelte Pflichten, regelmäßige Überprüfung von kritischen Partnern.
  • Mitarbeitersensibilisierung: wiederkehrende Schulungen und Awareness-Formate, klare Meldewege für Vorfälle und ein Umgang mit Fehlern, der Lernen ermöglicht.

Wichtig ist nicht, jede mögliche Maßnahme umzusetzen, sondern ein nachvollziehbares, risikoorientiertes Sicherheitsniveau zu erreichen, das zur Rolle Ihres Unternehmens im NIS-2-Kontext passt.

 

Meldepflichten und Incident-Management

NIS-2 verschärft die Anforderungen an den Umgang mit Sicherheitsvorfällen. Unternehmen müssen meldepflichtige Vorfälle schnell erkennen, intern steuern und innerhalb klarer Fristen an die zuständige Behörde melden.

Wichtige Bausteine eines NIS-2-konformen Incident-Managements:

  • Klare Definition meldepflichtiger Vorfälle: Es ist festgelegt, welche Arten von Sicherheitsvorfällen als „erheblich“ oder „schwerwiegend“ gelten (zum Beispiel Ausfälle kritischer Dienste, erhebliche Datenverluste oder massive Beeinträchtigung der Verfügbarkeit).[SK3]
  • Interne Meldewege und Zuständigkeiten: Mitarbeitende wissen, wie sie Auffälligkeiten melden. Es gibt feste Ansprechpersonen, einen definierten Meldeweg und idealerweise einen Incident-Manager oder ein Incident-Team. Möglicherweise müssen auch Notfallpläne aktiviert werden.
  • Zeitkritische externe Meldungen: Für meldepflichtige Vorfälle bestehen feste Fristen (Frühwarnung, detaillierter Bericht, Abschlussbericht). Ihr Prozess muss sicherstellen, dass Sie diese Fristen einhalten und alle geforderten Informationen liefern können. Prüfen Sie, ob auch Pflichten zur Meldung aus anderen Gesetzen oder Verträgen (z.B. DS-GVO oder SLAs mit Kunden) bestehen.
  • Dokumentierte Abläufe: Vorgehen bei Erkennung, Analyse, Eindämmung und Behebung von Vorfällen ist in Prozessbeschreibungen oder Ablaufplänen beschrieben und wird regelmäßig geübt.[SK4]
  • Kommunikation mit Kunden und Partnern: Es ist geregelt, wann und wie betroffene Kunden, Dienstleister und andere Stakeholder informiert werden. Bei der Behandlung von Sicherheitsvorfällen geht es um Geschwindigkeit, planen Sie die Kommunikation schon vorab.
  • Nachbereitung und Lernen: Nach einem Vorfall werden Ursachen aufgearbeitet, Maßnahmen abgeleitet und umgesetzt. Ergebnisse fließen in Risikomanagement und Sicherheitsmaßnahmen zurück.

Ein wirksames Incident-Management dämmt nicht nur die Auswirkungen von Sicherheitsvorfällen ein und sichert damit die Aufrechterhaltung Ihres Geschäftsbetriebs, sondern ist auch eine wichtige Grundlage, um gegenüber Aufsichtsbehörden Ihre NIS-2-Compliance nachweisen zu können.

Zum Seitenanfang

NIS-2, ISMS und ISO 27001 – wie passt das zusammen?

Vielleicht haben Sie in den letzten Jahren schon viel Arbeit in Ihre Informationssicherheit gesteckt – ein ISMS nach ISO 27001 aufgebaut oder erste Bausteine eingeführt. Dann sind Sie bereits auf einem guten Weg zur NIS-2-Compliance: ISO 27001 liefert Ihnen die Struktur, NIS-2 definiert die Pflichten und legt konkret fest, welches Sicherheitsniveau Sie erreichen und nachweisen müssen. Wenn Sie beide zusammen denken, können Sie Ihr bestehendes Sicherheitsniveau gezielt zur NIS-2-Compliance weiterentwickeln, statt bei NIS-2 wieder bei null zu starten.

decorativedecorativedecorative

NIS-2 als Anforderung für Ihr ISMS

NIS-2 legt nicht im Detail fest, wie Sie Informationssicherheit organisieren sollen – aber sehr klar, welches Ergebnis erwartet wird: ein angemessenes Schutzniveau, risikobasierte Maßnahmen, klare Verantwortlichkeiten und belastbare Prozesse für Sicherheitsvorfälle.

Für Ihr Unternehmen bedeutet das:

  • Sie definieren verbindliche Ziele und Schutzniveaus für kritische Prozesse, Systeme und Daten.
  • Sie leiten daraus systematisch risikobasierte technische und organisatorische Maßnahmen ab, statt nur einzelne Sicherheits-Tools einzuführen.
  • Sie verankern Informationssicherheit als wiederkehrenden Managementprozess, nicht als einmalige Projektaktion[SK1] .
  • Sie stellen sicher, dass Zuständigkeiten, Meldewege und Entscheidungen dokumentiert sind.
  • Sie beziehen Dienstleister und Lieferanten in Ihr Sicherheitskonzept ein und prüfen regelmäßig deren Sicherheitsniveau.

Damit wird NIS-2 zu einer konkreten Anforderung für Ihr ISMS. Wenn Sie Ihr ISMS nach ISO 27001 etabliert haben, muss NIS-2 im Kapitel „Anforderungen interessierter Parteien“ behandelt werden.

 

Welche NIS-2-Anforderungen ein ISMS nach ISO 27001 bereits abdeckt

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bringt Ihr Unternehmen in vielen Kernbereichen der NIS-2-Anforderungen bereits deutlich voran. Viele Elemente, die NIS-2 für eine wirksame NIS-2-Compliance fordert, sind dort strukturiert angelegt.

Typische Überschneidungen zwischen NIS-2 und ISO 27001: 

  • Governance und Verantwortlichkeiten: Rollen, Verantwortlichkeiten und Gremien für Informationssicherheit sind definiert und dokumentiert.
  • Risikomanagement: Es existiert ein geregelter Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken.
  • Richtlinien und Prozesse: Sicherheitsrichtlinien, Arbeitsanweisungen und Prozesse (zum Beispiel Berechtigungsmanagement, Change-Management) sind beschrieben und freigegeben.
  • Technische und organisatorische Maßnahmen: Schutzmaßnahmen für Systeme, Netzwerke und Informationen sind geplant, umgesetzt und werden regelmäßig überprüft.
  • Incident-Management: Es gibt Prozesse zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen, inklusive Dokumentation. Hier erweitert NIS-2 jedoch die Meldepflichten.
  • Business Continuity und Notfallmanagement: Konzepte und Pläne für den Umgang mit Störungen und Ausfällen kritischer Prozesse und Systeme sind vorhanden.
  • Lieferanten- und Dienstleistermanagement: Sicherheitsanforderungen an externe Partner sind definiert und vertraglich verankert.
  • Schulung und Awareness: Regelmäßige Sensibilisierung und Schulung der Mitarbeitenden zur Informationssicherheit ist etabliert. Hier erweitert NIS-2 die Pflicht für Geschäftsleitungen zur Schulung im Bereich Risikomanagement.

Wenn Sie bereits mit einem wirksamen ISMS arbeiten, geht es bei NIS-2 oft nicht darum, alles neu zu erfinden, sondern gezielt die spezifischen NIS-2-Pflichten zu ergänzen und nachweisbar zu machen.

 

NIS-2 in ein bestehendes ISMS integrieren: Praxisbrücke für Unternehmen mit ISMS

Statt NIS-2 „nebenher“ umzusetzen, sollten Sie die Anforderungen in Ihr bestehendes ISMS nach ISO 27001 integrieren. So nutzen Sie vorhandene Strukturen und schaffen eine belastbare Grundlage für Ihre NIS-2-Compliance.

Wichtige Checkpoints für die Verknüpfung von NIS-2 und ISMS:

  • Scope abgleichen: Prüfen Sie, ob Geltungsbereich von NIS-2 (betroffene Einrichtungen, Prozesse, Systeme) und ISMS-Umfang zusammenpassen – und passen Sie den ISMS-Scope bei Bedarf an. Besonders, wenn Sie bei einer ISO 27001 Zertifizierung einen Scope gewählt haben, der nicht ihr gesamtes Unternehmen umfasst, ist ggf. eine Prüfung der Reichweite Ihres ISMS notwendig.
  • NIS-2–ISO-Mapping erstellen: Ordnen Sie die NIS-2-Anforderungen den bestehenden ISO-27001-Kapiteln und Kontrollen zu. Markieren Sie, was bereits abgedeckt ist und wo Lücken bestehen. Nutzen Sie ihr Auditprogramm zur Feststellung und ihr Statement of Applicability (SoA) zur Dokumentation.
  • Regelmäßige Gap-Analyse durchführen: Für jede NIS-2-Pflicht prüfen, welche Prozesse, Richtlinien und Nachweise im ISMS fehlen oder unzureichend sind (zum Beispiel Meldefristen, Berichtswege, Governance-Dokumentation).
  • Rollen, Gremien und Entscheidungen ergänzen: Sicherstellen, dass Leitungsorgane, ISMS-Rollen und NIS-2-Verantwortliche klar beschrieben sind und Entscheidungen formal dokumentiert werden (z.B. als Protokolle in ISMS-Team-Meetings).
  • Dokumentation und Nachweise harmonisieren: Ziele, Berichte, KPIs, Protokolle und Nachweise für das Audit so strukturieren, dass sie sowohl ISO 27001 als auch NIS-2-Anforderungen belegen.
  • Kontinuierliche Verbesserung erweitern: NIS-2-relevante Ergebnisse aus Audits, Vorfällen und Risikoanalysen in den ISMS-Verbesserungsprozess (KVP) aufnehmen.

Mit diesen Schritten verbinden Sie NIS-2 und ISO 27001 zu einem integrierten Managementsystem, statt zwei parallele Welten zu betreiben.

Zum Seitenanfang

Ihr Praxis-Fahrplan: NIS-2 im Unternehmen umsetzen in 7 Schritten

NIS-2 lässt sich nicht in einem Schritt abhaken. Der folgende Fahrplan hilft Ihnen, strukturiert vorzugehen und die Umsetzung in überschaubare Schritte zu zerlegen – vom Betroffenheitscheck bis zur gelebten Praxis.

decorativedecorativedecorative
1

Betroffenheit prüfen

Prüfen Sie für Ihr Unternehmen Sektor, Unternehmensgröße und Rolle in der Lieferkette. Sichten Sie Verträge, Ausschreibungen und Fragebögen auf NIS-2-Bezüge, um Ihre Betroffenheit realistisch einzuordnen.

2

Registrierung beim BSI

Wenn Sie feststellen, dass Ihr Unternehmen direkt von NIS-2 betroffen ist, sind Sie verpflichtet, sich im BSI-Portal zu registrieren. Dazu benötigen Sie ein Unternehmenskonto, das Sie sich einfach im ELSTER Online-Portal erstellen können. Die initiale Registrierungsfrist beim BSI endet am 6. März 2026.

3

Reifegrad ermitteln

Erfassen Sie, welche Strukturen es schon gibt: Richtlinien, Rollen, ISMS, technische und organisatorische Sicherheitsmaßnahmen, Schulungen und Notfallpläne. So sehen Sie, wo Sie heute im NIS-2-Reifegrad stehen.

4

Gap-Analyse

Vergleichen Sie NIS-2-Pflichten mit Ihrem Status quo: Was ist bereits erfüllt, was nur teilweise und was fehlt komplett? Dokumentieren Sie Lücken in ihrer ISMS-Organisation, Technik, Prozessen und Nachweisen.

5

Prioritäten festlegen

Bewerten Sie Risiken, Aufwände und Abhängigkeiten. Priorisieren Sie Lücken, die rechtlich kritisch sind oder hohe Geschäftsrisiken erzeugen. Definieren Sie eine umsetzbare Roadmap mit klaren Etappen und Schritten.

6

Maßnahmen planen

Leiten Sie aus den Prioritäten konkrete Maßnahmenpakete ab: Verantwortliche, Meilensteine, Budget und externe Unterstützung. Halten Sie alles in einem NIS-2-Projektplan oder kombinierten ISMS-Projektplan fest, den das Management freigibt.

7

Maßnahmen umsetzen

Setzen Sie die priorisierten Maßnahmen strukturiert um und bauen Sie parallel tragfähige Strukturen auf, um Ihre NIS-2-Compliance langfristig zu sichern. Begleiten Sie die Umsetzung mit Kommunikation, Schulungen und regelmäßigen Status-Updates an Geschäftsleitung und Stakeholder.

Weitere Informationen zur NIS-2-Projektplanung

Sobald Sie bereit sind, in Ihr NIS-2-Projekt zu starten, bauen Sie sich einen Projektplan, der funktioniert. 

Zum Seitenanfang

Fristen, Zeitplan und Kosten der NIS-2-Umsetzung

Ob Sie ganz am Anfang stehen oder bereits Strukturen wie ein ISMS aufgebaut haben: Für die Planung Ihrer NIS-2-Umsetzung sind realistische Zeiträume und ein grobes Kostenbild entscheidend, damit Sie für Ihre konkrete Situation pragmatische Entscheidungen treffen können.

decorativedecorativedecorative

Gesetzliche Fristen und typische Projektlaufzeiten

NIS-2 ist in Deutschland (NIS2UmsuCG) seit Dezember 2025 gültig – ohne ausdrückliche gesetzliche Übergangsfrist für die Umsetzung. Das bedeutet: Betroffene wichtige und besonders wichtige Einrichtungen müssen NIS-2-Anforderungen ab Inkrafttreten erfüllen und ihre NIS-2-Compliance nachweisen können. Damit ist auch für indirekt betroffene Unternehmen und Einrichtungen die NIS-2-Umsetzung ein Thema für heute und nicht erst für irgendwann.

In der Praxis hängen Zeitplan und Projektlaufzeit stark von Ausgangslage und Reifegrad ab. 

Typische Szenarien:

Szenario 1

ISMS vorhanden, NIS-2-Ergänzung



Unternehmen mit etabliertem ISMS nach ISO 27001 und klaren Rollen. Fokus auf Betroffenheitsanalyse, NIS-2 zu ISO 27001-Mapping, Ergänzung von Governance, Meldepflichten und Nachweisen. 

 

Realistisch: etwa 3-6 Monate (je nach Größe Ihres Unternehmens) bis zu einem belastbaren NIS-2-Stand.
 

Szenario 2

Grundstrukturen vorhanden, aber kein formales ISMS


Es gibt Sicherheitsmaßnahmen, Richtlinien und erste Notfallkonzepte, aber kein durchgängiges Managementsystem. NIS-2-Umsetzung umfasst Reifegradanalyse, Strukturierung der Maßnahmen, Lückenschluss und Dokumentation. 
 

Realistisch: etwa 6-12 Monate (je nach Größe Ihres Unternehmens), abhängig von Ressourcen und Entscheidungswegen. 

Szenario 3

Einstieg fast bei null
 


Informationssicherheit ist bislang eher ad hoc organisiert, Zuständigkeiten und Prozesse sind kaum definiert. NIS-2 erfordert hier Aufbau von Grundlagen (Rollen, Richtlinien, Risikomanagement, Incident-Management) und schrittweisen Ausbau. 

Realistisch: 12-24 Monate, je nach Unternehmensgröße, Komplexität und Verfügbarkeit von internem und externem Know-how. 

Was die Kosten für ein NIS-2-Projekt beeinflusst

Die Kosten für ein NIS-2-Projekt hängen weniger von einer festen Unternehmensgröße ab, sondern von Umfang und Tiefe der Umsetzung. 

Typische Einflussfaktoren:

  • Betroffenheit und Scope (Anzahl Standorte, Systeme, Prozesse, Dienstleister)
  • Ausgangsreifegrad (zum Beispiel vorhandenes ISMS, Richtlinien, technische Maßnahmen)
  • Branchenanforderungen und Prüfintensität (zum Beispiel KRITIS-nah, Konzernumfeld)
  • interne Ressourcen und vorhandenes Know-how, Kapazität und Bedarf an externer Unterstützung
  • gewähltes Zielniveau (Minimum-Compliance oder strategische Stärkung der Informationssicherheit) 

Wie könnte Ihre NIS-2-Projektplanung aussehen?

Wenn Sie ein erstes Gefühl für den Aufwand einer NIS-2-Umsetzung in Ihrem Unternehmen gewinnen möchten, sprechen Sie uns gerne an und vereinbaren ein kurzes Orientierungsgespräch, um Ihre Ausgangslage und typische Projektvarianten zu besprechen – eine ideale Basis für Ihre NIS-2-Projektplanung.

Thomas KraftThomas KraftThomas Kraft

Thomas Kraft
Consultant Informationssicherheit

Zum Seitenanfang

NIS-2-Zusammenfassung: Das Wichtigste auf einen Blick

Zentrale Punkte, die Sie als Geschäftsführung, IT- oder Compliance-Verantwortliche für Ihre NIS-2-Planung im Blick behalten sollten:

  • NIS-2 ist seit dem 6. Dezember 2025 ohne Übergangsfrist wirksam – Betroffenheit und Handlungsbedarf sollten zeitnah geprüft werden.
  • Wichtige und besonders wichtige Einrichtungen sowie viele Dienstleister und Lieferanten entlang der Lieferketten sind direkt oder indirekt von NIS-2 betroffen.
  • NIS-2 stärkt Organisation und Führung (Governance), Risikomanagement und Behandlung von Sicherheitsvorfällen (Incident Management) und verankert eine persönliche Verantwortung der Geschäftsführung bis hin zur persönlichen Haftung.
  • Ein ISMS nach ISO 27001 ist eine starke Basis, die mit gezielten Ergänzungen an die spezifischen NIS-2-Pflichten angepasst werden kann. Unser Tipp: ISO 27001 als Basis nutzen und NIS-2 „einbetten“.
  • Mit einem klaren Fahrplan aus Betroffenheitscheck, Reifegradanalyse, Gap-Analyse und priorisierten Maßnahmen bringen Sie Ihr Unternehmen Schritt für Schritt in Richtung NIS-2-Compliance.
decorativedecorativedecorative

FAQ

Die brennendsten Fragen zur NIS-2-Richtlinie schnell beantwortet

NIS-2 ist eine EU-Richtlinie, die Unternehmen zu besserer Cyber- und Informationssicherheit verpflichtet – mit klaren Pflichten für Führung, Prozesse und Technik.
Prüfen Sie Branche, Größe und Rolle in kritischen Lieferketten. Viele Firmen sind direkt oder über ihre Kunden betroffen und müssen NIS-2-Anforderungen nachweisen. Direkte Betroffenheit gilt bei mehr als 50 Mitarbeitenden oder über 10 Mio. Euro Umsatz.
NIS-2 verlangt strukturiertes Risikomanagement, technische und organisatorische Sicherheitsmaßnahmen, klare Meldeprozesse und regelmäßige Überprüfung der Wirksamkeit.
Die Geschäftsleitung trägt die Gesamtverantwortung, muss NIS-2 verstehen, sich zu Risiken schulen und diese steuern, Ressourcen bereitstellen und nachweisen können, dass geeignete Maßnahmen ergriffen wurden.
Ein ISMS nach ISO 27001 deckt viele NIS-2-Anforderungen bereits ab. Mit einer Gap-Analyse erkennen Sie, welche zusätzlichen Maßnahmen und Nachweise noch fehlen.
Starten Sie mit Betroffenheits-Check, führen Sie eine Gap-Analyse durch, priorisieren Sie Maßnahmen und verankern Sie NIS-2 in bestehende Strukturen und Rollen.
In Deutschland gilt das NIS2UmsuCG seit 6.12.2025 ohne Übergangsfrist. Betroffene Einrichtungen müssen NIS-2-Anforderungen ab jetzt erfüllen. Planen Sie mehrere Monate für Analyse und Umsetzung ein.
Die Kosten hängen von Größe, Ausgangslage und Zielniveau ab. Günstiger ist es, vorhandene Strukturen wie ISMS zu nutzen und NIS-2 als Ergänzung statt als Parallelwelt aufzubauen.

Zum Seitenanfang

Bereit für die nächsten Schritte zur Umsetzung der NIS-2-Richtlinie?

Schauen Sie sich weiter in unserer Ressourcen-Sammlung zur NIS-2-Umsetzung um: Von spezifischen Informationen für Ihren Unternehmenstyp über die detaillierte Darstellung der Zusammenhänge zwischen NIS-2 und ISO 27001 bis zu Hinweisen zur erfolgreichen Projektplanung werden die wichtigsten Fragen beantwortet. 

Für einen aktuellen Überblick zur NIS-2-Implementierung in Deutschland besuchen Sie unser Webinar und stellen dort auch gleich Ihre Fragen an unseren Referenten. 

Sobald Sie bereit sind, mit Ihrer NIS-2-Umsetzung zu starten, schauen Sie gerne auf unseren Leistungsseiten rein, um zu erfahren, wie wir Sie als erfahrener Dienstleister konkret unterstützen können.

 

Zum Weiterlesen

 

NIS-2 im digitalen Sektor: Was auf Serviceprovider, Cloud- und SaaS-Anbieter zukommt

Sie bieten digitale Dienste an – und plötzlich landen im Vertrieb oder Customer Success immer öfter Security‑Fragebögen, RFPs oder Audit‑Anfragen auf dem Tisch? Häufig steckt NIS‑2 dahinter: Kunden müssen Vorgaben erfüllen und geben Anforderungen an ihre Dienstleister weiter. Wir klären, wie Unternehmen im digitalen Sektor NIS-2-ready werden können und welche Nachweise sie ihren Kunden liefern können sollten.

Jetzt weiterlesen
 


 

NIS-2 für IT-Dienstleister, Systemhäuser und MSPs: Was auf die IT-Lieferkette zukommt

NIS‑2 ist momenten das Thema der IT-Branche und als IT-Systemhaus, IT‑Dienstleister oder Managed Service Provider (MSP) stellt sich zuerst eine Frage: Trifft Sie das selbst oder „nur“ über Ihre Kunden? Entscheidend ist Ihre Rolle im Kundenbetrieb: Mit Admin‑Zugriffen, Fernwartung, Changes und Incident‑Reaktion sind Sie Teil der IT-Lieferkette. Die Folge: Kunden erwarten nachvollziehbare Prozesse und belastbare Nachweise zu Ihrer Sicherheitsorganisation/Ihrem ISMS. Ordnen Sie Ihre Betroffenheit klar ein und setzen Sie wichtige Maßnahmen um, schon bevor Ihre Kunden Nachweise zur Einhaltung und Umsetzung von NIS-2 abfragen. 

Jetzt weiterlesen

NIS-2 im produzierenden Mittelstand: Direkte Betroffenheit prüfen – indirekte Pflichten als Zulieferer erfüllen

NIS-2 betrifft den Mittelstand oft schneller, als es auf den ersten Blick wirkt: entweder direkt, weil Sektor und Unternehmensgröße passen, oder indirekt, weil Kunden in der Lieferkette plötzlich Nachweise verlangen. Wenn Sie produzieren, kommt ein weiterer Faktor dazu: OT in der Fertigung und die Frage, wie ausfallsicher und steuerbar Ihre Prozesse wirklich sind. Entscheidend ist jetzt, die Betroffenheit sauber einzuordnen und im ersten Schritt einen praxistauglichen Minimalstandard aufzubauen – damit Sie auditsicher, lieferfähig und handlungsfähig bleiben.

Jetzt weiterlesen

NIS-2 und ISO 27001: Wie ein ISMS Ihnen die Umsetzung erleichtert – ohne doppelte Arbeit

Viele Unternehmen stehen mit NIS-2 vor denselben Fragen: Was müssen wir konkret tun, wie weisen wir das nach – und wie vermeiden wir doppelte Arbeit neben dem Tagesgeschäft? Ein ISMS nach ISO 27001 kann hier zum „Ordnungssystem“ für NIS-2 werden: Rollen und Verantwortlichkeiten werden klar, Risiken und Maßnahmen werden strukturiert gesteuert und Nachweise liegen an einem Ort vor. In diesem Artikel zeigen wir, wie Sie NIS-2-Anforderungen gezielt in ein ISMS integrieren können, statt zwei getrennte Welten zu pflegen.

Jetzt weiterlesen
 

NIS-2-Projektplan: So setzen Unternehmen die Anforderungen strukturiert und pragmatisch um

In Ihrem Unternehmen ist mit Sicherheit bekannt: NIS-2 ist für uns relevant. Wenn Sie Ihre Betroffenheit von der NIS-2-Richtlinie geklärt haben, sind auch Ihre Pflichten und Anforderungen klar. Die nächsten Fragen lauten jetzt: Wo fangen wir an? Wer muss eingebunden werden? Wie lange dauert das? Wer unterstützt uns? Der Weg zu einem überschaubaren NIS-2-Projektplan muss zu unterschiedlichen Ausgangslagen passen (mit/ohne ISMS, Dienstleister vs. produzierender Mittelstand, mit/ohne OT) und für jedes Unternehmen individuell ausgestaltet werden, aber einige Stationen des Weges sind immer gleich.

Jetzt weiterlesen

Webinare

 

NIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und Titel

Keine Panik vor NIS-2: Betroffenheit feststellen, Umsetzung starten!

Für Geschäftsführung & IT-Leitung: In 45 Minuten schaffen Sie eine belastbare Entscheidungsgrundlage: Betroffenheit klären, Risiken priorisieren, Umsetzung starten. Ohne Paragrafendschungel – mit klaren Kriterien, praxiserprobten Vorlagen und einer kompakten 90-Tage-Roadmap.

  • Geschäftsführung: Sie erkennen, ob Handlungsbedarf besteht, welche Pflichten & Risiken relevant sind und welche Schritte jetzt Priorität haben – inklusive Ansatz für Ressourcen & Budget.

  • IT-Leitung: Sie erhalten klare Betroffenheitskriterien, die Top-5 Maßnahmen für den Start, einen 90-Tage-Plan mit Verantwortlichkeiten und Vorlagen, die Sie sofort einsetzen können.

     

Zur Veranstaltungsseite

decorativedecorativedecorative

NIS-2: Updates, Stand und Implementierung

Steigende Anforderungen bei begrenzten Ressourcen fordern viele mittelständische Betriebe heraus. Erfahren Sie in diesem Webinar, wie Sie mit effizienten Lösungen Cybersecurity stärken und Compliance-Anforderungen erfolgreich erfüllen.

  • Überblick NIS-2-Richtlinie: Zielsetzung, Anwendungsbereich und Abgrenzung zur NIS-1
  • Betroffene Sektoren und Unternehmen: Wer ist betroffen? Einordnung als wesentliche vs. wichtige Einrichtung
  • Aktueller Umsetzungsstand in Deutschland: NIS-2-Umsetzungsgesetz (NIS-2UmsuCG), Zeitplan und behördliche Zuständigkeiten
  • Konkrete Anforderungen an Cybersicherheit: Risikomanagement, Incident Response, Business Continuity, Supply Chain Security
  • Meldepflichten und Fristen: Was muss wann an wen gemeldet werden?
  • Sanktionen und persönliche Haftung: Bußgelder, Unternehmenssanktionen und Verantwortung der Geschäftsführung
  • Praktische Implementierung: Roadmap, Quick Wins und Integration in bestehende Management-Systeme

  • Fragen und Diskussion: Raum für Ihre individuellen Anliegen

     

Zur Veranstaltungsseite

Unsere Leistungen: Wie wir Sie bei Ihrer NIS-2-Umsetzung unterstützen können

 

NIS-2-Begleitung

Von der Erstberatung und dem Betroffenheits-Check für Ihr Unternehmen über die Gap-Analyse bis zur individuell skalierten Umsetzung begleiten wir Sie als erfahrener Dienstleister durch Ihr NIS-2-Projekt – pragmatisch, praxisnah und branchenbezogen.
 
 

Zur Leistungsseite

ISO 27001 Begleitung

Wir unterstützen Unternehmen beratend bei der Einführung eines ISMS mit Ziel der ISO 27001 Zertifizierung. Bei bereits bestehendem ISMS führen wir Audits durch. Wir stellen externe Informationssicherheitsbeauftragte und bieten Schulungen von ISMS-Teams und weiteren Mitarbeitenden an.
 

Zur Leistungsseite

Informationssicherheitsaudit (ISMS-Audit)

Von Vorlagen in Form von Richtlinien und Checklisten für Audits über notwendige Schulungen von ISBs bis zu Dienstleisteraudits und interner Audits zur Überwachung einzelner Bereiche oder des gesamten Unternehmens: wir helfen Ihnen, Ihr ISMS nachweisbar wirksam und funktionsfähig zu halten.
 

Zur Leistungsseite

Cybersecurity

Wir bieten umfassende Cybersecurity-Leistungen an – immer auf Ihr Unternehmen und Ihren konkreten Bedarf zugeschnitten. Wir führen IT-Schwachstellenanalysen und Penetrationstests durch und identifizieren und schließen Sicherheitslücken in Ihrer IT-Infrastruktur. Mit praxisnahen und individualisierten Phishing-Kampagnen sensibilisieren wir Ihre Mitarbeitenden nachhaltig für Angriffsrisiken.

Zur Leistungsseite

Unsere Experten für Ihre NIS-2-Umsetzung

Jetzt kostenloses Erstgespräch vereinbaren

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.

Tel: 05221 87292-0

E-Mail: t.kraft@audatis.de

 

Termin vereinbaren

Sascha KnickerSascha KnickerSascha Knicker

Sascha Knicker
Lead Consultant Informationssicherheit

Thomas KraftThomas KraftThomas Kraft

Thomas Kraft
Consultant Informationssicherheit