BSI-konform, Festpreis, NIS2UmsuCG seit 06.12.2025 in Kraft
[ NIS2-Compliance, IHK-zertifiziert, Mittelstand ]

NIS2 für Mittelstand. Endlich umsetzbar.

Die NIS2-Richtlinie betrifft tausende Unternehmen in Deutschland. Wir machen aus 73 Seiten Regulierungs-Text einen umsetzbaren Maßnahmenplan. IHK-zertifiziert, Festpreise, BSI-konform.

Readiness-Audit anfragen Kostenfreier Selbst-Check
IHK-zertifizierter Cybersecurity-Advisor
6 CompTIA-Zertifizierungen
BSI-Grundschutz-konform
[ TL;DR ]

Die 5 wichtigsten NIS2-Fakten in 30 Sekunden.

10 Mio EUR
Max-Bußgeld für wesentliche Einrichtungen nach §65 BSIG
24h
Frühwarn-Meldefrist an BSI nach §32 BSIG
18 Sektoren
sind betroffen, von Energie bis Forschung
50+ MA
Schwellenwerte beginnen typisch bei dieser Größe
persönlich
haftet die Geschäftsleitung nach §38 BSIG
[ 01 / Betroffenheit ]

Wer ist von NIS2 betroffen?

NIS2 kategorisiert in zwei Klassen: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Beide Klassen müssen die Sicherheits-Maßnahmen umsetzen, unterscheiden sich aber in Aufsichts-Modus und Bußgeld-Höhe.

Wesentliche Einrichtungen

Höhere Aufsicht, härtere Sanktionen

Bußgelder nach §65 BSIG bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes. Proaktive Aufsicht durch das BSI. Umfasst Sektoren mit besonders kritischer Bedeutung für Gesellschaft und Wirtschaft.

  • Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarkt-Infrastruktur
  • Gesundheitswesen (Kliniken, Labore, Pharma)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud-Provider, Rechenzentren, Telekom)
  • IKT-Dienstmanagement (Managed Service Provider, MSSP)
  • Verwaltung (öffentliche Hand)
  • Weltraum
Wichtige Einrichtungen

Reaktive Aufsicht, moderate Sanktionen

Bußgelder nach §65 BSIG bis 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes. Reaktive Aufsicht, primär bei Vorfällen oder konkreten Hinweisen. Sektoren mit hoher gesellschaftlicher Bedeutung, aber weniger systemkritisch.

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien-Herstellung
  • Lebensmittel-Industrie
  • Maschinenbau, Elektronik, Fahrzeugbau
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netze)
  • Forschung

Nicht sicher, ob Sie betroffen sind? Unser kostenfreier NIS2-Selbst-Check klärt Ihre Betroffenheit in 5 Minuten.

Zum NIS2-Selbst-Check
[ 02 / Maßnahmen ]

Die 10 Pflicht-Maßnahmen nach Art. 21.

01 Risikoanalyse und Sicherheit der IT

Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik. (§30 Abs. 2 Nr. 1 BSIG)

02 Bewältigung von Sicherheitsvorfällen

Prozesse für Erkennung, Reaktion und Wiederherstellung. (§30 Abs. 2 Nr. 2 BSIG)

03 Aufrechterhaltung des Betriebs

Backup-Management, Wiederherstellung, Krisenmanagement. (§30 Abs. 2 Nr. 3 BSIG)

04 Sicherheit der Lieferkette

Sicherheitsbezogene Aspekte der Beziehungen zu unmittelbaren Anbietern und Dienstleistern. (§30 Abs. 2 Nr. 4 BSIG)

05 Sicherheit bei Erwerb, Entwicklung und Wartung

Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen. (§30 Abs. 2 Nr. 5 BSIG)

06 Wirksamkeits-Bewertung

Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen. (§30 Abs. 2 Nr. 6 BSIG)

07 Schulungen und Sensibilisierung

Grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich IT-Sicherheit. (§30 Abs. 2 Nr. 7 BSIG)

08 Kryptographische Verfahren

Konzepte und Prozesse für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung. (§30 Abs. 2 Nr. 8 BSIG)

09 Personal-Sicherheit, Zugriffskontrolle und Asset-Mgmt

Konzepte für die Sicherheit des Personals, die Zugriffskontrolle und die Verwaltung von Anlagen. (§30 Abs. 2 Nr. 9 BSIG)

10 Multi-Faktor-Authentifizierung

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung. (§30 Abs. 2 Nr. 10 BSIG)

[ 03 / Prozess ]

So gehen wir vor.

01

Erstgespräch

60 Minuten, kostenfrei, vertraulich. Wir verstehen Ihre Situation.

02

Readiness-Audit

5 Tage: Interviews, Doku-Sichtung, Lücken-Analyse, Roadmap.

03

Implementierung

6 bis 12 Monate: Maßnahmen umsetzen, ISMS aufbauen, Schulungen.

04

Vor-Audit

Externe Probe-Audit-Begleitung. Letzte Schwachstellen schließen.

05

Laufende Betreuung

Quartals-Reviews, Vorfall-Hotline, Awareness-Updates.

[ Niedrigste Einstiegsstufe ]

Noch nicht reif für ein 5.990-EUR-Audit? Starten Sie mit dem 47-EUR-Praxisleitfaden.

36 Seiten BSIG in der NIS2-UmsuCG-Fassung, alle 10 Pflicht­maßnahmen einzeln erklärt, ausfüllbare Notfallplan-Templates und Copy-Paste DNS-Snippets für Strato, IONOS und Hetzner. Sofort-Download via Digistore24, Käuferschutz inklusive.

Für 47 EUR ansehen
[ 04 / Pakete ]

NIS2-Pakete und Preise.

Readiness-Audit
ab 5.990 EUR
Einmalig, 5 Tage

Klare Bewertung Ihrer aktuellen NIS2-Reife mit konkretem Maßnahmenplan und priorisierter Roadmap.

  • Betroffenheits-Analyse (wesentlich oder wichtig)
  • Lücken-Analyse gegen Art. 21
  • Risiko-Heatmap
  • Priorisierte Maßnahmen-Roadmap
  • Bericht für Geschäftsleitung
  • 30 Minuten Debrief
Audit buchen
Meistgewählt
Implementierung
ab 35.900 EUR
6 bis 12 Monate, Festpreis

End-to-End-Begleitung zur NIS2-Compliance. Wir bauen Ihr ISMS auf, dokumentieren alles und schulen Ihr Team.

  • Komplettes ISMS nach ISO-27001-Struktur
  • Alle 10 Art-21-Bereiche umgesetzt
  • Vorfall-Management-Prozess
  • Lieferketten-Bewertung
  • Mitarbeiter-Schulungen
  • Geschäftsleitungs-Training
  • Probe-Audit inklusive
Angebot anfordern
Retainer
ab 3.590 EUR / Monat
Laufend, Mindestlaufzeit 12 Monate

Laufende Begleitung nach erfolgreicher Implementierung. Ihr fester Cybersec-Partner.

  • Quartals-Reviews und Audits
  • Notfall-Hotline
  • Awareness-Updates
  • Lieferketten-Monitoring
  • Aktualisierung bei Regulierungs-Änderungen
  • Vorrang bei Krisenfällen
Retainer besprechen
[ Häufige Fragen ]

Was Mandanten typischerweise vorher wissen wollen.

Wer fällt unter NIS2?

Unternehmen ab 50 Mitarbeitern und 10 Mio. Euro Umsatz in 18 Sektoren, plus alle Betreiber kritischer Infrastruktur (KRITIS) unabhängig von der Größe. Plus alle wesentlichen oder wichtigen Einrichtungen, die per Mitgliedstaaten-Entscheidung erfasst werden. In Deutschland regelt das NIS2UmsuCG (in Kraft seit 06.12.2025) die Details.

Was kostet eine NIS2-Implementierung?

Drei Festpreis-Stufen: Readiness-Audit ab 5.990 EUR (5 Tage, mit Heatmap und Roadmap für die Geschäftsleitung), Vollimplementierung ab 35.900 EUR (6 bis 12 Monate, je nach Scope), Retainer ab 3.590 EUR pro Monat (laufende Begleitung). Transparent, ohne Tagessätze und ohne Beratungs-Theater.

Brauche ich ISO 27001 für NIS2?

Nein, ISO 27001 ist nicht Pflicht. Aber: Wenn Sie ISO 27001 zertifiziert sind, erfüllen Sie etwa 80 Prozent der NIS2-Maßnahmen. Sinnvoll als langfristige Strategie, ist aber kein direkter Ersatz für die spezifischen NIS2-Meldepflichten.

Wer haftet bei NIS2-Verstößen?

Die Geschäftsleitung persönlich. §38 Abs. 1 und Abs. 2 BSIG regeln die Pflichten der Geschäftsleitung zur Billigung und Überwachung der Risikomanagement-Maßnahmen. §38 Abs. 3 BSIG verpflichtet die Geschäftsleitung zu regelmäßiger Schulung. Ein festes Intervall (z.B. „alle zwei Jahre") schreibt das Gesetz NICHT vor. Bußgelder bis 10 Mio EUR oder 2 Prozent des weltweiten Umsatzes nach §65 BSIG.

Wie schnell muss ich Vorfälle melden?

Nach §32 BSIG: innerhalb 24 Stunden Frühwarnung an das BSI, innerhalb 72 Stunden detaillierte Vorfallsmeldung, innerhalb eines Monats Abschlussbericht mit Maßnahmen und Lessons Learned.

Gilt NIS2 auch in der Schweiz?

Nein, die Schweiz ist nicht in der EU. Die Schweiz arbeitet aber an einer eigenen Regulierung (IKT-Sicherheits-Gesetz). Schweizer Unternehmen mit EU-Geschäft sind häufig über die Lieferkette mit-betroffen.

[ Sofort-Hilfe ]

NIS2 läuft. Wie weit sind Sie?

60-Minuten-Erstgespräch, kostenfrei und vertraulich. Wir klären in einem Call, wo Sie stehen und was als nächstes zählt.

admin@dc-infosec.de