NIS-2 umsetzen. Strukturiert und effizient.
NIS-2 ist kein Projekt, das Sie einmalig abhaken, sondern ein Zustand, den Sie erreichen und halten. Wir bringen Struktur in die Pflichten – und begleiten die Umsetzung im passenden Tempo.
Erst klären, ob und wie NIS-2 für Sie gilt.
NIS-2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen – abhängig von Sektor, Größe und Rolle in der Lieferkette. Am Anfang steht deshalb keine Maßnahme, sondern eine saubere Einordnung. Erst wenn klar ist, was gilt, lohnt sich die Umsetzung.
Sektor & Größe
Fällt Ihre Organisation unter einen der geregelten Sektoren – und ab welcher Schwelle?
Pflichtenumfang
Welche Anforderungen an Risikomanagement, Meldewege und Nachweise gelten konkret?
Lieferkette
Auch als Zulieferer können Anforderungen auf Sie zukommen – mittelbar über Ihre Kunden.
NIS-2 in Deutschland – der Stand.
Stand: 07/2026Die NIS-2-Richtlinie ist in Deutschland umgesetzt. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft und novelliert vor allem das BSI-Gesetz (BSIG). Die Pflichten gelten damit unmittelbar – eine allgemeine Übergangsfrist gibt es nicht. Betroffen sind rund 29.500 Einrichtungen in 18 Sektoren.
Seit Dezember 2025
Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 (BGBl. 2025 I Nr. 301). Es fasst Betroffenheit, Risikomanagement und Meldewege im BSIG neu.
Meldung beim BSI
Betroffene Einrichtungen registrieren sich beim BSI – in der Regel binnen drei Monaten nach Feststellung der Betroffenheit (§ 33 BSIG). Das BSI-Portal ist dafür seit Anfang 2026 aktiv.
Gestaffelte Fristen
Erhebliche Sicherheitsvorfälle sind gestuft zu melden: Erstmeldung binnen 24 Stunden, Bewertung binnen 72 Stunden, Abschlussmeldung binnen eines Monats (§ 32 BSIG).
Das Gesetz unterscheidet besonders wichtige Einrichtungen (ab 250 Beschäftigten oder über 50 Mio. EUR Umsatz) und wichtige Einrichtungen (ab 50 Beschäftigten oder über 10 Mio. EUR Umsatz); für Betreiber kritischer Anlagen gelten eigene Schwellen (§ 28 BSIG). Verstöße können mit Bußgeldern geahndet werden (§ 65 BSIG). Kein Grund zur Eile aus Sorge – Grund für einen geordneten Plan.
Was die Geschäftsleitung betrifft.
NIS-2 macht Informationssicherheit ausdrücklich zur Leitungsaufgabe. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen (§ 38 BSIG). Die Umsetzung lässt sich delegieren, die Verantwortung bleibt oben. Das klingt nach viel – und ist gut zu ordnen.
Billigen und überwachen
Die Geschäftsleitung genehmigt die Risikomanagementmaßnahmen und überwacht, dass sie in der Einrichtung auch greifen (§ 38 Abs. 1 BSIG).
Wissen aufbauen
Mitglieder der Geschäftsleitung schulen sich regelmäßig, um Risiken und Maßnahmen selbst beurteilen zu können (§ 38 Abs. 3 BSIG).
Verantwortung tragen
Die Verantwortung liegt bei der Leitung. Bei Pflichtverletzungen haftet sie gegenüber der Einrichtung; auf Ersatzansprüche kann nicht wirksam verzichtet werden (§ 38 BSIG).
Das ist Führungsarbeit, keine Technikfrage. Wir bringen die Pflichten in eine Form, die Sie überblicken und verantworten können – und übernehmen die Umsetzung, wo es sinnvoll ist.
In vier Schritten zur belastbaren Umsetzung.
So viel Begleitung wie nötig – nicht mehr.
Klären wir zuerst, was für Sie gilt.
Ein erstes Gespräch schafft Klarheit über Ihre Betroffenheit.
Erstgespräch anfragen →