audatis MANAGER SHOP
Kontakt
Jetzt kostenlos testen
Hilfe und Support

NIS-2-Projektplan: So setzen Unternehmen die Anforderungen strukturiert und pragmatisch um

In Ihrem Unternehmen ist mit Sicherheit bekannt: NIS-2 ist für uns relevant. Wenn Sie Ihre Betroffenheit von der NIS-2-Richtlinie geklärt haben, sind auch Ihre Pflichten und Anforderungen klar. Die nächsten Fragen lauten jetzt: Wo fangen wir an? Wer muss eingebunden werden? Wie lange dauert das? Wer unterstützt uns? Der Weg zu einem überschaubaren NIS-2-Projektplan muss zu unterschiedlichen Ausgangslagen passen (mit/ohne ISMS, Dienstleister vs. produzierender Mittelstand, mit/ohne OT) und für jedes Unternehmen individuell ausgestaltet werden, aber einige Stationen des Weges sind immer gleich.

decorative decorative decorative

Zwischen Pflicht und Machbarkeit – wie groß sollte Ihr NIS-2-Projekt sein?

NIS-2 bringt für direkt betroffene Unternehmen klare Pflichten und Fristen und für indirekt betroffene Unternehmen regelmäßig explizite Kundenanfragen zu Cybersicherheitsthemen. Gleichzeitig sind Zeit, Budget und Fachkräfte häufig begrenzt und strikt auf Ihr Kerngeschäft zugeschnitten, so dass Ressourcen für ein NIS-2-Projekt nicht oder kaum vorhanden sind. Der Projektumfang (Scope) kann daher nicht einfach aus der Richtlinie oder den eingehenden Kundenanfragen „abgelesen“ werden – er muss zu Ihrer Betroffenheit, Ihrem Risiko und Ihren Ressourcen passen.

Drei Blickwinkel, die Sie zusammen denken sollten:

  • Rechtliche Betroffenheit: Sind wir direkt NIS-2-pflichtig oder vor allem über Kunden/Lieferkette betroffen – und welche Aufsichts- oder Meldepflichten ergeben sich konkret?
  • Geschäftskritikalität und Risiko: Welche Prozesse, Standorte und Systeme (inkl. OT) wären bei Ausfall oder Angriff wirklich geschäftsentscheidend – für uns und unsere Kunden?
  • Markt- und Kundenanforderungen: Welche Nachweise, Fristen und Sicherheitsniveaus erwarten unsere wichtigsten Kunden, Verbände oder Konzernpartner?

 

Entwicklung Ihres Projektscopes

Nutzen Sie die folgenden vier Fragen als kompakten Rahmen, um den Umfang Ihres NIS-2-Projekts realistisch einzugrenzen und bewusst über Pflicht, Kür und Grenzen zu entscheiden.

 

Was ist unser „Muss“?

Sammeln Sie zuerst Anforderungen, die rechtlich nicht verhandelbar oder für zentrale Kundenbeziehungen entscheidend sind.

 

Was ist unser „Soll“?

Ergänzen Sie Maßnahmen, die Sicherheit und Stabilität spürbar erhöhen, ohne das Projekt zu überlasten.

 

Was ist unser „Kann“?

Halten Sie Themen fest, die Sie gerade als Nice to have betrachten oder bewusst in eine zweite Ausbaustufe schieben können, ohne heute unverantwortliche Lücken zu lassen.

 

Was ist unser „Auf keinen Fall“?

Erfassen Sie Punkte, die Risiken für den Projekterfolg selbst darstellen oder den Projektscope in eine Dimension verschieben, die eine übermäßige Belastung für das Unternehmen darstellt oder nicht hinnehmbare Störungen im Betriebsablauf verursachen könnte.

 
  

 

Wo Priorisierung und Kompromisse möglich sind

An diesen drei Stellschrauben können Sie den Umfang Ihres NIS-2-Projekts steuern, ohne Ihre Pflichten aus den Augen zu verlieren.

  • Scope: Beginnen Sie mit den kritischsten Standorten, Services und Systemen statt mit „alles auf einmal“. So reduzieren Sie Risiko und Kundendruck schnell, ohne das Projekt zu überladen.
  • Reihenfolge: Setzen Sie zuerst Maßnahmen um, die Sicherheit, Verfügbarkeit und Nachweisfähigkeit deutlich erhöhen. Themen mit Komfort- oder Optimierungscharakter können bewusst nachgelagert werden.
  • Dokumentationstiefe: Für den Einstieg reicht oft „gut genug“ – wichtig ist, dass Entscheidungen nachvollziehbar, ehrlich und ausbaufähig dokumentiert sind, statt auf perfekte Formulierungen zu warten.

So entsteht ein NIS-2-Projektplan, der Ihre Pflichten ernst nimmt, aber zu Ihrer Realität passt – und Schritt für Schritt erweitert werden kann.

 

decorativedecorativedecorative

Zum Seitenanfang

Drei typische Ausgangslagen – und was das für Ihren NIS-2-Projektplan bedeutet

Nicht jedes Unternehmen startet an derselben Stelle. Für einen realistischen NIS-2-Projektplan ist es wichtig, den eigenen Reifegrad ehrlich einzuordnen – dann werden Umfang, Dauer und Rollen deutlich leichter planbar.

Die folgenden drei Szenarien bieten eine einfache Orientierung.


Szenario 1:
 „Wir starten fast bei null“

In Ihrem Unternehmen gibt es kaum dokumentierte Sicherheitsstrukturen und kein formales ISMS. NIS-2 ist als Thema im Unternehmen neu, es existieren einzelne technische oder organisatorische Maßnahmen, die aber nur isoliert auf Teilbereiche ausgerichtet sind.

Was das bedeutet:

  • Typische Ausgangslage: Verantwortlichkeiten sind unscharf, Risiken und Maßnahmen sind nicht systematisch erfasst, Nachweise liegen verstreut oder gar nicht vor.
  • Projektziel: Zunächst ein tragfähiges Mindestniveau schaffen – mit klaren Rollen, einem ersten Überblick über Risiken und kritische Systeme sowie einem einfachen, aber funktionierenden Grundgerüst an Prozessen.
  • Auswirkung auf den Projektplan: Der Fokus liegt auf Grundlagenarbeit (Betroffenheit, Reifegrad, Steuerungsstrukturen (Governance), Basisprozesse). Der Plan sollte mehr Zeit für Bestandsaufnahme, Abstimmung und Sensibilisierung vorsehen und mit einem schlanken Scope starten.

     

Szenario 2: 
„Es gibt schon vieles, aber nicht als System“

In Ihrem Unternehmen existieren bereits zahlreiche Maßnahmen: Richtlinien, technische Schutzmaßnahmen, vielleicht erste Notfall- und Incident-Prozesse. Verantwortlichkeiten und Abläufe sind jedoch historisch gewachsen und nicht als ISMS strukturiert.

Was das bedeutet:

  • Typische Ausgangslage: Vieles wird „irgendwie“ gemacht, aber es fehlt der Gesamtüberblick. Doppelarbeit, Lücken und uneinheitliche Vorgehensweisen sind wahrscheinlich.
  • Projektziel: Ordnung schaffen, Lücken schließen und Nachweise bündeln – also aus vielen Einzelaktivitäten ein konsistentes System machen, das NIS-2-Anforderungen nachvollziehbar trägt.
  • Auswirkung auf den Projektplan: Der Plan kann auf vorhandenen Bausteinen aufsetzen und stärker auf Konsolidierung, Gap-Analyse und Priorisierung setzen. Die Laufzeit ist oft kürzer als in Szenario A, sofern die vorhandenen Maßnahmen gut dokumentiert und zugänglich sind.

Szenario 3: 
„ISMS/ISO 27001 ist vorhanden oder geplant“

In Ihrem Unternehmen existieren bereits ISMS-Strukturen nach ISO 27001 – eventuell sogar mit Zertifizierung – oder ein ISMS-Projekt ist gestartet. NIS-2 soll auf diesem System aufsetzen, nicht parallel dazu laufen.
 

Was das bedeutet:

  • Typische Ausgangslage: Rollen, Risiken, Maßnahmen und Nachweise sind grundsätzlich vorhanden. Es fehlen vor allem NIS-2-spezifische Ergänzungen (z. B. Meldewege, Lieferkettenanforderungen, Erfüllung rechtlicher Pflichten).
  • Projektziel: NIS-2 gezielt in Scope, Prozesse und Nachweise integrieren, vorhandene Stärken des ISMS konsequent nutzen und noch bestehende Lücken schließen.
  • Auswirkung auf den Projektplan: Der Schwerpunkt liegt auf Mapping und Nachschärfen: Betroffenheit prüfen, NIS-2-Anforderungen auf das bestehende ISMS mappen, Lücken priorisieren und Nachweise bündeln. Die Projektlaufzeit ist häufig moderat, wenn ISMS-Prozesse bereits gelebt werden.
     

Zum Seitenanfang

Der Projektfahrplan: NIS-2-Projektphasen im Überblick

Unabhängig von Ihrem Reifegrad und dem konkreten Maßnahmenumfang Ihres NIS-2-Projekts gibt es typische Projektphasen, die Sie in der Praxis der Reihe nach umsetzen können. 

decorativedecorativedecorative

Sechs Phasen, die fast jedes NIS-2-Projekt durchläuft

Die folgenden sechs Phasen eignen sich gut als Grundlage für Ihren NIS-2-Projektplan. Für jede Phase ist kurz skizziert, was zu tun ist und welchen Mehrwert Ihr Unternehmen am Ende erreicht.

1

Vorbereitung und Scoping

Was ist zu tun? Betroffenheit klären, Ziele definieren, groben Projektumfang und Beteiligte festlegen (inkl. IT, Fachbereiche, ggf. OT, Datenschutz, Informationssicherheit).


Was erreichen Sie: Sie wissen, warum Sie das NIS-2-Projekt machen, wer beteiligt ist und was im ersten Schritt im Fokus steht – statt mit einem unklaren Scope zu starten.

2

Reifegrad- und Betroffenheitsanalyse

Was ist zu tun? Ist-Stand der Informationssicherheit erfassen: bestehende Maßnahmen, Rollen, Richtlinien und Nachweise sammeln; direkte und indirekte NIS-2-Betroffenheit konkretisieren.


Was erreichen Sie: Sie bekommen ein realistisches Bild, wo Sie heute stehen, wo Risiken und Lücken liegen und welche Anforderungen aus NIS-2 und aus Kundenbeziehungen tatsächlich auf Sie zukommen.

3

NIS-2-Gap-Analyse

Was ist zu tun? Anforderungen aus NIS-2 (z. B. Governance, Risikomanagement, Incident-Management, Lieferkette, Nachweise) systematisch mit Ihrem Status quo vergleichen und Lücken dokumentieren.


Was erreichen Sie: Aus einem abstrakten Gesetzestext wird eine konkrete Liste von Handlungsfeldern, sortiert nach Themen – die Grundlage für einen fokussierten NIS-2-Projektplan.

4

Priorisierung und Projektplanung

Was ist zu tun? Risiken, Aufwand und Abhängigkeiten bewerten; Maßnahmen clustern, priorisieren und in einen realistischen Zeit- und Maßnahmenplan überführen. Verantwortlichkeiten und Meilensteine festlegen.


Was erreichen Sie: Sie haben einen klaren NIS-2-Projektplan, der zu Ihren Ressourcen passt – statt einer Wunschliste ohne Reihenfolge und Verantwortliche.

5

Umsetzung und Verankerung

Was ist zu tun? Geplante Maßnahmenpakete umsetzen: Richtlinien und Prozesse schärfen, technische Maßnahmen einführen oder anpassen, Schulungen durchführen, Reporting- und Entscheidungswege etablieren.


Was erreichen Sie: Aus Plan wird gelebte Praxis – NIS-2-Anforderungen sind nicht nur beschrieben, sondern im Alltag verankert und nachweisbar.

6

Übergang in den laufenden Betrieb

Was ist zu tun? Vom Projektmodus in den Regelbetrieb wechseln: Jahresplan, regelmäßige Reviews, interne Audits, Lessons Learned und Updates bei Änderungen (z. B. neue Kundenanforderungen, neue Systeme).


Was erreichen Sie: NIS-2 wird Teil Ihres normalen Sicherheits- und Compliance-Managements. Sie können gegenüber Kunden, Aufsicht und Auditoren zeigen, dass Informationssicherheit dauerhaft gesteuert wird – nicht nur einmalig im Projekt.

Wie könnte Ihre NIS-2-Projektplanung aussehen?

Wenn Sie ein erstes Gefühl für den Aufwand einer NIS-2-Umsetzung in Ihrem Unternehmen gewinnen möchten, sprechen Sie uns gerne an und vereinbaren ein kurzes Orientierungsgespräch, um Ihre Ausgangslage und typische Projektvarianten zu besprechen – eine ideale Basis für Ihre NIS-2-Projektplanung.

Thomas KraftThomas KraftThomas Kraft

Thomas Kraft
Consultant Informationssicherheit

Zum Seitenanfang

Rollen, Verantwortlichkeiten und Zusammenarbeit im NIS-2-Projekt

Ein NIS-2-Projekt ist kein reines IT-Thema. Damit es im Unternehmen nicht „nebenbei“ versandet, braucht es klar benannte Rollen, einen tragfähigen Kernkreis und ein abgestimmtes Zusammenspiel zwischen Fachbereichen, IT, OT, Informationssicherheit, Datenschutz und Geschäftsleitung. 

Klären Sie zum Projektstart, wer zum NIS-2-Kernteam gehören soll, welche Verantwortung diese Personen tragen und wie die Zusammenarbeit im Projektalltag funktioniert.

decorativedecorativedecorative

Wer sollte mindestens im Kernteam sitzen?

 

Geschäftsführung/Managementvertretung

Trägt die Gesamtverantwortung, stellt Priorität und Ressourcen sicher und trifft Grundsatzentscheidungen (Scope, Zielniveau, Freigabe von Richtlinien und Maßnahmen).

Projektleitung NIS-2/ISMS

Steuert das Projekt operativ, koordiniert Termine und Ergebnisse, hält den Projektplan aktuell und ist erste Anlaufstelle für Fragen aus den Fachbereichen.

IT-Verantwortliche und OT-Verantwortliche (falls relevant)

Bringen Wissen zu Systemlandschaft, Schnittstellen, technischen Risiken und Umsetzbarkeit von Maßnahmen ein. Bei OT sind insbesondere Produktions- und Instandhaltungsverantwortliche einzubinden.

Informationssicherheitsbeauftragte/r oder ISMS-Verantwortliche/r (falls vorhanden)

Sorgt für die fachliche Einordnung der Anforderungen, stellt den Bezug zu bestehenden Sicherheitsstrukturen und ggf. zum ISMS nach ISO 27001 her und achtet auf Konsistenz der Prozesse.

Fachbereichsvertretungen aus kritischen Prozessen

Kennen die Abläufe in den betroffenen Geschäftsbereichen (z. B. Produktion, Logistik, Kundenservice) und bringen Praxiswissen zu Risiken, Auswirkungen und machbaren Maßnahmen ein.

Datenschutzbeauftragte/r (intern oder extern)

Wird eingebunden, wenn personenbezogene Daten in kritischen Prozessen eine Rolle spielen oder sich Anforderungen aus NIS-2 mit Datenschutzanforderungen überschneiden.

 

 

Wie die Zusammenarbeit im NIS-2-Projekt gut gelingt

  • Klare Verantwortlichkeiten: Für jede Phase des Projekts ist definiert, wer führt, wer mitwirkt und wer entscheidet – Dokumentation z. B. in einer einfachen RACI-Matrix.
  • Regeltermine mit Fokus: Statt vieler ad-hoc-Runden gibt es wenige, gut vorbereitete Regeltermine (z. B. Lenkungskreis und Arbeitstreffen), in denen Entscheidungen getroffen und Aufgaben verteilt werden.
  • Transparente Kommunikation: Ergebnisse, Entscheidungen und nächste Schritte werden so festgehalten, dass auch nicht direkt Beteiligte nachvollziehen können, wo das NIS-2-Projekt steht.
  • Anbindung an bestehende Gremien: Wo möglich, werden vorhandene Strukturen (z. B. ISMS-Board, IT-Steuerkreis, Datenschutzgremium) genutzt, um Doppelstrukturen zu vermeiden.

Eine saubere Rollenklärung und ein stabiles Kernteam sind die Basis dafür, dass Ihr NIS-2-Projekt nicht an Zuständigkeitsfragen scheitert – und dass externe Unterstützung gezielt andocken kann.

 

Zum Seitenanfang

Brauchen wir einen Dienstleister für unser NIS-2-Projekt?

Nicht jedes Unternehmen muss sein NIS-2-Projekt mit externer Unterstützung umsetzen – aber für viele ist es der Unterschied zwischen „wir fangen an und bleiben stecken“ und „wir kommen strukturiert zum Ziel“. Wichtig ist eine ehrliche Einschätzung: Haben wir intern Zeit, Erfahrung und Ressourcen, um NIS-2 neben dem Tagesgeschäft zu steuern?

decorativedecorativedecorative

Wann ein Dienstleister besonders hilfreich ist

  • Sie haben deutlichen Zeitdruck durch Fristen, Kundenanforderungen oder Audits.
  • Es gibt viele Maßnahmen, aber niemand mit Erfahrung, daraus einen machbaren Projektplan zu bauen.
  • Sie wollen NIS-2 direkt mit einem ISMS oder einer ISO-27001-Zertifizierung verknüpfen.
  • Sie brauchen Moderation zwischen Fachbereichen, IT, OT und Geschäftsleitung.

 

Wann ein internes Projekt realistischerweise ausreicht

  • Sie haben bereits ISMS- oder Audit-Erfahrung im Haus und Zeit dafür eingeplant.
  • Es gibt klare interne Zuständigkeiten und ein Kernteam, das das Projekt tragen möchte.
  • Die Anforderungen sind überschaubar (z. B. vor allem indirekte Betroffenheit über Kunden) und es existiert bereits eine gute Sicherheitsgrundlage.

 

Woran Sie einen geeigneten Dienstleister erkennen

  • Er versteht sowohl NIS-2 als auch ISMS/ISO 27001 und kann beides verbinden.
  • Er fragt nach Ihrer konkreten Situation (Branche, OT-Anteil, Kundenanforderungen), statt sofort Standardpakete zu verkaufen.
  • Er legt mit Ihnen einen realistischen Projektplan fest – inklusive Phasen, Rollen und Entscheidungspunkten. 

 

Zum Seitenanfang

Realistische Zeit- und Aufwandseinschätzung für Ihr NIS-2-Projekt

Eine ehrliche Zeit- und Aufwandseinschätzung ist für den Erfolg Ihres NIS-2-Projekts entscheidend – sie schützt vor Überforderung im Tagesgeschäft und vor falschen Erwartungen gegenüber Geschäftsführung oder Kunden. Statt nur „Monate“ zu schätzen, lohnt es sich, die Einflussfaktoren zu verstehen.

decorativedecorativedecorative

Typische Projektlaufzeiten nach Reifegrad

Die folgenden Bandbreiten ersetzen keine individuelle Planung, geben aber eine Orientierung, wie lange es bis zu einem belastbaren NIS-2-Stand dauern kann:

 

Szenario 1

ISMS vorhanden, NIS-2-Ergänzung



Unternehmen mit etabliertem ISMS nach ISO 27001 und klaren Rollen. Fokus auf Betroffenheitsanalyse, NIS-2 zu ISO 27001-Mapping, Ergänzung von Governance, Meldepflichten und Nachweisen. 

 

Realistisch: etwa 3-6 Monate (je nach Größe Ihres Unternehmens) bis zu einem belastbaren NIS-2-Stand.
 

Szenario 2

Grundstrukturen vorhanden, aber kein formales ISMS


Es gibt Sicherheitsmaßnahmen, Richtlinien und erste Notfallkonzepte, aber kein durchgängiges Managementsystem. NIS-2-Umsetzung umfasst Reifegradanalyse, Strukturierung der Maßnahmen, Lückenschluss und Dokumentation. 
 

Realistisch: etwa 6-12 Monate (je nach Größe Ihres Unternehmens), abhängig von Ressourcen und Entscheidungswegen. 

Szenario 3

Einstieg fast bei null
 


Informationssicherheit ist bislang eher ad hoc organisiert, Zuständigkeiten und Prozesse sind kaum definiert. NIS-2 erfordert hier Aufbau von Grundlagen (Rollen, Richtlinien, Risikomanagement, Incident-Management) und schrittweisen Ausbau. 

Realistisch: 12-24 Monate, je nach Unternehmensgröße, Komplexität und Verfügbarkeit von internem und externem Know-how. 

Diese Bandbreiten sollten Sie mit weiteren Einflussfaktoren zusammen betrachten, dann wird schnell klar, warum ähnliche Unternehmen zu unterschiedlichen Projektlaufzeiten kommen.

Weitere wichtige Einflussgrößen für Dauer und Aufwand:

  • Scope und Komplexität: Anzahl Standorte, betroffene Services, OT-Anteil, Anzahl kritischer Dienstleister und Systeme erhöhen Planungs- und Umsetzungsaufwand.
  • Ressourcen und Verfügbarkeit: Wie viel Zeit können Schlüsselpersonen (IT, OT, Fachbereiche, Informationssicherheit) realistisch in das Projekt einbringen?
  • Entscheidungswege: Klare und schnelle Entscheidungen verkürzen Abstimmungsschleifen und Wartezeiten spürbar.
  • Zielbild: Arbeiten Sie auf ein Minimum-Niveau zur Risikoreduktion hin – oder auf ein strategisches Zielbild mit ISMS-Zertifizierung und hohem Reifegrad?

 

Was die Projektlaufzeit verkürzt – und was sie verlängert

Typische „Verkürzer“:

  • Klares Mandat der Geschäftsleitung: Priorität ist ausgesprochen, Konflikte mit anderen Projekten werden früh geklärt.
  • Definierter Scope: Es ist festgelegt, welche Organisationsteile, Standorte und Systeme im ersten Schritt im Fokus stehen.
  • Vorhandenes ISMS / gute Dokumentation: Risiken, Rollen und wesentliche Prozesse sind bereits erfasst, Nachweise sind auffindbar.
  • Zentrales Kernteam: Ein kleines, stabiles Team trägt das Projekt und trifft abgestimmte Entscheidungen.
  • Pragmatische Priorisierung: Fokus auf Maßnahmen mit hohem Risiko- und Kundeneffekt, statt alles gleichzeitig angehen zu wollen.

 

Typische „Verlängerer“:

  • Scope noch in Klärung: Umfang und Zuständigkeiten werden erst schrittweise präzisiert, was zusätzliche Abstimmungsrunden und Rückkopplungen erforderlich macht.
  • Begrenzte Verfügbarkeit im Alltag: Schlüsselpersonen sind stark im operativen Geschäft eingebunden, daher stehen nur begrenzte Zeitfenster für Projektarbeit zur Verfügung.
  • Gleichzeitige wichtige Vorhaben: Weitere IT- oder Organisationsprojekte laufen parallel und beanspruchen die gleichen Fach- und Entscheidungsträger.
  • Mehrstufige Entscheidungswege: Entscheidungen müssen nacheinander in mehreren Gremien abgestimmt werden, wodurch zusätzliche Zeit bis zur Freigabe eingeplant werden muss.
  • Hoher Anspruch an Dokumentationsqualität: Es wird bereits zum Projektstart eine perfekte Ausarbeitung aller Unterlagen erwartet, was schnelle und pragmatische Umsetzungserfolge verzögert.

Praktischer Tipp: Planen Sie Ihr NIS-2-Projekt in Etappen (z.  B. 3–6-Monats-Blöcke) mit klaren Zwischenzielen. So bleiben Sie steuerungsfähig und können nach jeder Etappe Aufwand, Nutzen und nächste Schritte neu bewerten.

 

Zum Seitenanfang

Quick-Checkliste: Sind wir bereit für ein NIS-2-Projekt?

Ganz kurz zusammengefasst: Ihrem Start ins NIS-2-Projekt steht nichts mehr im Wege, wenn Sie diese 6 Punkte abhaken können.

  • Wir wissen grob, ob wir direkt oder indirekt von NIS-2 betroffen sind.
  • Geschäftsführung und zentrale Stakeholder sind informiert und grundsätzlich einverstanden, ein NIS-2-Projekt zu starten.
  • Es gibt mindestens eine verantwortliche Person, die das Projekt intern steuert.
  • Wir haben einen ersten Überblick über unsere kritischen Prozesse, Systeme und Dienstleister (inkl. OT, falls relevant).
  • Wir können vorhandene Richtlinien, Prozesse und Nachweise zusammentragen.
  • Wir haben eine Vorstellung davon, wie viel wir selbst leisten können und wo externe Unterstützung sinnvoll wäre.
decorativedecorativedecorative

FAQ

Beginnen Sie mit einem Scoping-Workshop: Betroffenheit klären, Ziele festlegen und priorisieren, Kernteam benennen und eine grobe Roadmap mit ersten Schritten definieren.
Geschäftsführung bzw. Management, eine Projektleitung für NIS-2/ISMS, IT- und OT-Verantwortliche, der/die Verantwortliche für Informationssicherheit, Vertreter aus den wichtigsten betroffenen Fachbereichen sowie ggf. der/die Datenschutzbeauftragte.
Je nach Reifegrad und Scope meist zwischen 3 und 24 Monaten. Entscheidend sind vorhandene Strukturen (z. B. ISMS), Ressourcen, Komplexität und wie klar der Projektrahmen definiert ist.
Fachliches Wissen über Ihre Prozesse, Systeme und Risiken liegt bei Ihnen. Externe Unterstützung ist vor allem bei Strukturierung, Gap-Analyse und Projektsteuerung hilfreich.
Nein. Oft ist es sinnvoll, mit den kritischsten Standorten, Services und Systemen zu starten und das Projekt schrittweise zu erweitern – abgestuft nach Kritikalität und abgestimmt auf die vorhandenen Ressourcen.
Wenn Zeitdruck, fehlende Erfahrung oder begrenzte Kapazitäten bestehen oder NIS-2 mit einem ISMS bzw. einer ISO-27001-Zertifizierung verbunden werden soll.
Nutzen Sie Ihr ISMS als Basis: NIS-2-Anforderungen mappen, Lücken identifizieren, Maßnahmen priorisieren und Nachweise bündeln. So vermeiden Sie doppelte Strukturen.
Die Kosten hängen stark von Reifegrad, Scope und Unterstützungsbedarf ab. Klar definierte Ziele und ein realistischer Projektplan helfen, Aufwand und Budget gut steuerbar zu halten.

Zum Seitenanfang

Bereit für die nächsten Schritte zur Umsetzung der NIS-2-Richtlinie?

Schauen Sie sich weiter in unserer Ressourcen-Sammlung zur NIS-2-Umsetzung um: Von spezifischen Informationen für Ihren Unternehmenstyp über die detaillierte Darstellung der Zusammenhänge zwischen NIS-2 und ISO 27001 bis zu Hinweisen zur erfolgreichen Projektplanung werden die wichtigsten Fragen beantwortet. 

Für einen aktuellen Überblick zur NIS-2-Implementierung in Deutschland besuchen Sie unser Webinar und stellen dort auch gleich Ihre Fragen an unseren Referenten. 

Sobald Sie bereit sind, mit Ihrer NIS-2-Umsetzung zu starten, schauen Sie gerne auf unseren Leistungsseiten rein, um zu erfahren, wie wir Sie als erfahrener Dienstleister konkret unterstützen können.

 

Zum Weiterlesen

 

Hauptseite
NIS-2-Richtlinie: Ihre Pflichten verstehen – Ihren Praxis-Fahrplan entwickeln

Sie hören überall von NIS-2, aber Sie wissen nicht, ob Ihr Unternehmen wirklich betroffen ist? Und was genau von Ihnen verlangt wird und wie Sie die Umsetzung der NIS-2-Richtlinie neben dem Tagesgeschäft schaffen sollen, ist noch unklar? Dann finden Sie hier einen verständlichen Überblick, lernen die wichtigsten NIS-2-Anforderungen kennen und erhalten einen konkreten Praxis-Fahrplan. So können Sie einschätzen, wo Sie heute stehen, welche Schritte jetzt Priorität haben und wie Sie NIS-2 nutzen, um Sicherheit und Compliance in Ihrem Unternehmen gezielt voranzubringen. 

Jetzt weiterlesen 

NIS-2 im digitalen Sektor: Was auf Serviceprovider, Cloud- und SaaS-Anbieter zukommt

Sie bieten digitale Dienste an – und plötzlich landen im Vertrieb oder Customer Success immer öfter Security‑Fragebögen, RFPs oder Audit‑Anfragen auf dem Tisch? Häufig steckt NIS‑2 dahinter: Kunden müssen Vorgaben erfüllen und geben Anforderungen an ihre Dienstleister weiter. Wir klären, wie Unternehmen im digitalen Sektor NIS-2-ready werden können und welche Nachweise sie ihren Kunden liefern können sollten.

Jetzt weiterlesen 


 

NIS-2 für IT-Dienstleister, Systemhäuser und MSPs: Was auf die IT-Lieferkette zukommt

NIS‑2 ist momenten das Thema der IT-Branche und als IT-Systemhaus, IT‑Dienstleister oder Managed Service Provider (MSP) stellt sich zuerst eine Frage: Trifft Sie das selbst oder „nur“ über Ihre Kunden? Entscheidend ist Ihre Rolle im Kundenbetrieb: Mit Admin‑Zugriffen, Fernwartung, Changes und Incident‑Reaktion sind Sie Teil der IT-Lieferkette. Die Folge: Kunden erwarten nachvollziehbare Prozesse und belastbare Nachweise zu Ihrer Sicherheitsorganisation/Ihrem ISMS. Ordnen Sie Ihre Betroffenheit klar ein und setzen Sie wichtige Maßnahmen um, schon bevor Ihre Kunden Nachweise zur Einhaltung und Umsetzung von NIS-2 abfragen. 

Jetzt weiterlesen

NIS-2 im produzierenden Mittelstand: Direkte Betroffenheit prüfen – indirekte Pflichten als Zulieferer erfüllen

NIS-2 betrifft den Mittelstand oft schneller, als es auf den ersten Blick wirkt: entweder direkt, weil Sektor und Unternehmensgröße passen, oder indirekt, weil Kunden in der Lieferkette plötzlich Nachweise verlangen. Wenn Sie produzieren, kommt ein weiterer Faktor dazu: OT in der Fertigung und die Frage, wie ausfallsicher und steuerbar Ihre Prozesse wirklich sind. Entscheidend ist jetzt, die Betroffenheit sauber einzuordnen und im ersten Schritt einen praxistauglichen Minimalstandard aufzubauen – damit Sie auditsicher, lieferfähig und handlungsfähig bleiben.

Jetzt weiterlesen
 

NIS-2 und ISO 27001: Wie ein ISMS Ihnen die Umsetzung erleichtert – ohne doppelte Arbeit

Viele Unternehmen stehen mit NIS-2 vor denselben Fragen: Was müssen wir konkret tun, wie weisen wir das nach – und wie vermeiden wir doppelte Arbeit neben dem Tagesgeschäft? Ein ISMS nach ISO 27001 kann hier zum „Ordnungssystem“ für NIS-2 werden: Rollen und Verantwortlichkeiten werden klar, Risiken und Maßnahmen werden strukturiert gesteuert und Nachweise liegen an einem Ort vor. In diesem Artikel zeigen wir, wie Sie NIS-2-Anforderungen gezielt in ein ISMS integrieren können, statt zwei getrennte Welten zu pflegen.

Jetzt weiterlesen 

Webinare

 

NIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und Titel

Keine Panik vor NIS-2: Betroffenheit feststellen, Umsetzung starten!

Für Geschäftsführung & IT-Leitung: In 45 Minuten schaffen Sie eine belastbare Entscheidungsgrundlage: Betroffenheit klären, Risiken priorisieren, Umsetzung starten. Ohne Paragrafendschungel – mit klaren Kriterien, praxiserprobten Vorlagen und einer kompakten 90-Tage-Roadmap.

  • Geschäftsführung: Sie erkennen, ob Handlungsbedarf besteht, welche Pflichten & Risiken relevant sind und welche Schritte jetzt Priorität haben – inklusive Ansatz für Ressourcen & Budget.

  • IT-Leitung: Sie erhalten klare Betroffenheitskriterien, die Top-5 Maßnahmen für den Start, einen 90-Tage-Plan mit Verantwortlichkeiten und Vorlagen, die Sie sofort einsetzen können.

     

Zur Veranstaltungsseite

decorativedecorativedecorative

NIS-2: Updates, Stand und Implementierung

Steigende Anforderungen bei begrenzten Ressourcen fordern viele mittelständische Betriebe heraus. Erfahren Sie in diesem Webinar, wie Sie mit effizienten Lösungen Cybersecurity stärken und Compliance-Anforderungen erfolgreich erfüllen.

  • Überblick NIS-2-Richtlinie: Zielsetzung, Anwendungsbereich und Abgrenzung zur NIS-1
  • Betroffene Sektoren und Unternehmen: Wer ist betroffen? Einordnung als wesentliche vs. wichtige Einrichtung
  • Aktueller Umsetzungsstand in Deutschland: NIS-2-Umsetzungsgesetz (NIS-2UmsuCG), Zeitplan und behördliche Zuständigkeiten
  • Konkrete Anforderungen an Cybersicherheit: Risikomanagement, Incident Response, Business Continuity, Supply Chain Security
  • Meldepflichten und Fristen: Was muss wann an wen gemeldet werden?
  • Sanktionen und persönliche Haftung: Bußgelder, Unternehmenssanktionen und Verantwortung der Geschäftsführung
  • Praktische Implementierung: Roadmap, Quick Wins und Integration in bestehende Management-Systeme

  • Fragen und Diskussion: Raum für Ihre individuellen Anliegen

     

Zur Veranstaltungsseite

Unsere Leistungen: Wie wir Sie bei Ihrer NIS-2-Umsetzung unterstützen können

 

NIS-2-Begleitung

Von der Erstberatung und dem Betroffenheits-Check für Ihr Unternehmen über die Gap-Analyse bis zur individuell skalierten Umsetzung begleiten wir Sie als erfahrener Dienstleister durch Ihr NIS-2-Projekt – pragmatisch, praxisnah und branchenbezogen.
 
 

Zur Leistungsseite

ISO 27001 Begleitung

Wir unterstützen Unternehmen beratend bei der Einführung eines ISMS mit Ziel der ISO 27001 Zertifizierung. Bei bereits bestehendem ISMS führen wir Audits durch. Wir stellen externe Informationssicherheitsbeauftragte und bieten Schulungen von ISMS-Teams und weiteren Mitarbeitenden an.
 

Zur Leistungsseite

Informationssicherheitsaudit (ISMS-Audit)

Von Vorlagen in Form von Richtlinien und Checklisten für Audits über notwendige Schulungen von ISBs bis zu Dienstleisteraudits und interner Audits zur Überwachung einzelner Bereiche oder des gesamten Unternehmens: wir helfen Ihnen, Ihr ISMS nachweisbar wirksam und funktionsfähig zu halten.
 

Zur Leistungsseite

Cybersecurity

Wir bieten umfassende Cybersecurity-Leistungen an – immer auf Ihr Unternehmen und Ihren konkreten Bedarf zugeschnitten. Wir führen IT-Schwachstellenanalysen und Penetrationstests durch und identifizieren und schließen Sicherheitslücken in Ihrer IT-Infrastruktur. Mit praxisnahen und individualisierten Phishing-Kampagnen sensibilisieren wir Ihre Mitarbeitenden nachhaltig für Angriffsrisiken.

Zur Leistungsseite

Unsere Experten für Ihre NIS-2-Umsetzung

Jetzt kostenloses Erstgespräch vereinbaren

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.

Tel: 05221 87292-0

E-Mail: t.kraft@audatis.de

 

Termin vereinbaren

Sascha KnickerSascha KnickerSascha Knicker

Sascha Knicker
Lead Consultant Informationssicherheit

Thomas KraftThomas KraftThomas Kraft

Thomas Kraft
Consultant Informationssicherheit