isms2cert Consult · Train · Audit
02
NIS-2-Umsetzung

NIS-2 umsetzen. Strukturiert und effizient.

NIS-2 ist kein Projekt, das Sie einmalig abhaken, sondern ein Zustand, den Sie erreichen und halten. Wir bringen Struktur in die Pflichten – und begleiten die Umsetzung im passenden Tempo.

Bildwelt · Architektur
Platzhalter · Fotomotiv Glas-Stahl-Fassade, klare Achsen – strukturiert und effizient. Crop 16:9 · ruhige Fluchten
01 Betroffenheit

Erst klären, ob und wie NIS-2 für Sie gilt.

NIS-2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen – abhängig von Sektor, Größe und Rolle in der Lieferkette. Am Anfang steht deshalb keine Maßnahme, sondern eine saubere Einordnung. Erst wenn klar ist, was gilt, lohnt sich die Umsetzung.

A

Sektor & Größe

Fällt Ihre Organisation unter einen der geregelten Sektoren – und ab welcher Schwelle?

B

Pflichtenumfang

Welche Anforderungen an Risikomanagement, Meldewege und Nachweise gelten konkret?

C

Lieferkette

Auch als Zulieferer können Anforderungen auf Sie zukommen – mittelbar über Ihre Kunden.

02 Rechtlicher Rahmen

NIS-2 in Deutschland – der Stand.

Stand: 07/2026

Die NIS-2-Richtlinie ist in Deutschland umgesetzt. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft und novelliert vor allem das BSI-Gesetz (BSIG). Die Pflichten gelten damit unmittelbar – eine allgemeine Übergangsfrist gibt es nicht. Betroffen sind rund 29.500 Einrichtungen in 18 Sektoren.

Inkrafttreten

Seit Dezember 2025

Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 (BGBl. 2025 I Nr. 301). Es fasst Betroffenheit, Risikomanagement und Meldewege im BSIG neu.

Registrierung

Meldung beim BSI

Betroffene Einrichtungen registrieren sich beim BSI – in der Regel binnen drei Monaten nach Feststellung der Betroffenheit (§ 33 BSIG). Das BSI-Portal ist dafür seit Anfang 2026 aktiv.

Meldepflichten

Gestaffelte Fristen

Erhebliche Sicherheitsvorfälle sind gestuft zu melden: Erstmeldung binnen 24 Stunden, Bewertung binnen 72 Stunden, Abschlussmeldung binnen eines Monats (§ 32 BSIG).

Das Gesetz unterscheidet besonders wichtige Einrichtungen (ab 250 Beschäftigten oder über 50 Mio. EUR Umsatz) und wichtige Einrichtungen (ab 50 Beschäftigten oder über 10 Mio. EUR Umsatz); für Betreiber kritischer Anlagen gelten eigene Schwellen (§ 28 BSIG). Verstöße können mit Bußgeldern geahndet werden (§ 65 BSIG). Kein Grund zur Eile aus Sorge – Grund für einen geordneten Plan.

03 Geschäftsleitung

Was die Geschäftsleitung betrifft.

NIS-2 macht Informationssicherheit ausdrücklich zur Leitungsaufgabe. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen (§ 38 BSIG). Die Umsetzung lässt sich delegieren, die Verantwortung bleibt oben. Das klingt nach viel – und ist gut zu ordnen.

A

Billigen und überwachen

Die Geschäftsleitung genehmigt die Risikomanagementmaßnahmen und überwacht, dass sie in der Einrichtung auch greifen (§ 38 Abs. 1 BSIG).

B

Wissen aufbauen

Mitglieder der Geschäftsleitung schulen sich regelmäßig, um Risiken und Maßnahmen selbst beurteilen zu können (§ 38 Abs. 3 BSIG).

C

Verantwortung tragen

Die Verantwortung liegt bei der Leitung. Bei Pflichtverletzungen haftet sie gegenüber der Einrichtung; auf Ersatzansprüche kann nicht wirksam verzichtet werden (§ 38 BSIG).

Das ist Führungsarbeit, keine Technikfrage. Wir bringen die Pflichten in eine Form, die Sie überblicken und verantworten können – und übernehmen die Umsetzung, wo es sinnvoll ist.

04 Vom Gesetz zur Praxis

In vier Schritten zur belastbaren Umsetzung.

01

Einordnung

Betroffenheit und geltende Pflichten sauber feststellen.

02

GAP-Analyse

Ist-Zustand gegen die Anforderungen – mit Prioritäten.

03

Maßnahmen

Umsetzung planen und begleiten – im passenden Umfang.

04

Nachweis

Dokumentation und Nachweise, die einer Prüfung standhalten.

In Vorbereitung isms2cert NIS-2-Guide – die Betroffenheit online vorprüfen.
Bald verfügbar
05 Was wir übernehmen

So viel Begleitung wie nötig – nicht mehr.

Betroffenheits- und Pflichtenanalyse mit klarer Empfehlung
Maßnahmenplan mit Prioritäten und realistischem Zeitrahmen
Begleitung bei Richtlinien, Meldeprozessen und Nachweisen
Vorbereitung auf Prüfungen – wo wir beraten, auditieren wir nicht.
Erstgespräch

Klären wir zuerst, was für Sie gilt.

Ein erstes Gespräch schafft Klarheit über Ihre Betroffenheit.

Erstgespräch anfragen