Sie sind hier: Startseite / Consulting / NIS2-Richtlinie Digitale Resilienz für Ihr Unternehmen

NIS-2 Compliance:

Ihre Rechts­pflicht
Unser Fachgebiet.

Das NIS-2-Umsetzungsgesetz gilt. Rund 30.000 Unternehmen in Deutschland sind betroffen – viele wissen es noch nicht. Wir begleiten Sie von der Betroffenheitsanalyse bis zur auditfähigen Compliance.

Kostenloses Erstgespräch Bin ich betroffen?

~30.000
Unternehmen in Deutschland neu unter NIS-2-Regulierung – ein Anstieg von bisher ca. 4.500

10 Mio. €
Maximales Bußgeld für besonders wichtige Einrichtungen (oder 2 % des weltweiten Umsatzes)

24 h
Meldefrist für erhebliche Sicherheitsvorfälle beim BSI – ab sofort verbindlich

§ 38
BSIG: Persönliche Haftung der Geschäftsleitung – nicht delegierbar

Was bedeutet NIS-2 für Ihr Unternehmen ?

Die NIS-2-Richtlinie ist seit Dezember 2025 geltendes Recht – ohne Übergangsfristen, ohne Schonfrist. Rund 30.000 Unternehmen in Deutschland sind betroffen. Viele wissen es noch nicht.

Das Gesetz erweitert den Kreis der Betroffenen deutlich: Erstmals fallen auch kleine und mittlere Unternehmen unter verbindliche Cybersicherheitspflichten – sofern sie in einem der 18 regulierten Sektoren tätig sind.

Energie, Gesundheit, Transport, digitale Infrastruktur: Wer hier tätig ist, ist in der Pflicht.

Was das konkret bedeutet:

Risikoanalysen, Meldepflichten, Lieferkettensicherheit – und persönliche Haftung der Geschäftsleitung bei Verstößen. Cybersicherheit ist damit keine IT-Frage mehr. Sie ist Führungsaufgabe.

Die gute Nachricht: Wer die Anforderungen konsequent umsetzt, gewinnt mehr als Compliance. Er gewinnt Stabilität, Vertrauen und einen echten Wettbewerbsvorteil.

Rechtlicher Status

Seit wann gilt was – die Gesetzgebungschronologie

Deutschland hat die EU-Umsetzungsfrist verfehlt, das NIS2UmsuCG ist aber
seit Dezember 2025 verbindlich in Kraft. Hier der Stand auf einen Blick.

  • 6. DEZ 2025

    Calendar Calendar

    Inkrafttreten – ohne Übergangsfrist

    Das BSIG wird vollständig neu gefasst. Alle Pflichten gelten ab sofort und unmittelbar für ca. 30.000 Unternehmen. Keine Schonfrist.

  • 6. MÄR 2026

    Calendar Calendar

    Registrierungsfrist beim BSI

    Besonders wichtige Einrichtungen müssen sich bis zu diesem Datum beim BSI registriert haben (§ 33 Abs. 1 BSIG). Wichtige Einrichtungen: unverzüglich.

  • AB 2026

    Calendar Calendar

    KRITIS-Dachgesetz tritt in Kraft

    Ergänzend zu NIS-2 reguliert das KRITISDachG (verabschiedet 29.01.2026) physische Resilienz kritischer Anlagen. Duale Registrierung beim BSI und BBK bis 17. Juli 2026.

ZurückWeiter

Nicht Registriert?  – Das können die Folgen sein.

Frist verpasst. Was droht ?

Seit dem 6. März 2026 ist die Registrierungsfrist beim BSI abgelaufen. Wer noch nicht registriert ist, begeht eine Ordnungswidrigkeit – und das ist erst der Anfang.

Strafen

Die finanziellen Risiken
Besonders wichtige Einrichtungen riskieren Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es bis zu 7 Mio. € oder 1,4 % des Umsatzes. Allein für die verspätete Registrierung können bis zu 500.000 € fällig werden – noch bevor weitere Verstöße geprüft werden.

Meldepflicht

Die Kettenreaktion
Wer nicht registriert ist, kann im BSI-Portal keine Sicherheitsvorfälle melden. Damit verstößt das Unternehmen automatisch auch gegen die 24-Stunden-Meldepflicht – mit weiteren Bußgeldern als Folge.

Reputationschaden

Die persönliche Dimension
Geschäftsführer und Vorstände haften persönlich. Das BSI kann im Extremfall die Ausübung von Leitungsfunktionen untersagen und Verstöße öffentlich bekanntmachen – mit erheblichem Reputationsschaden.

Warten kostet mehr als Handeln.
Sprechen Sie uns an.

Kostenloses Erstgespräch Right-open-big Right-open-big

§ 28 BSIG – Anwendungsbereich

Betrifft mich NIS-2 überhaupt?

Das Gesetz unterscheidet nach zwei Kriterien: Sektor und Unternehmensgröße. Die Einordnung liegt bei Ihnen – der Staat informiert Sie nicht.

Zwei Fragen entscheiden: Sind Sie in einem der 18 regulierten Sektoren tätig? Und beschäftigen Sie mindestens 50 Mitarbeitende oder erzielen mindestens 10 Mio. € Jahresumsatz? Wenn beides zutrifft, sind Sie betroffen. KRITIS-Betreiber fallen unabhängig von der Größe darunter.

Wichtige Einrichtungen

≥ 50 Mitarbeitende oder ≥ 10 Mio. € Umsatz
anlassbezogene Beaufsichtigung durch das BSI

Besonders wichtige Einrichtungen

> 250 Mitarbeitende oder > 50 Mio. € Umsatz
proaktive Beaufsichtigung durch das BSI

Wesentliche Sektoren

Fällt einer dieser Bereiche aus, spürt es die gesamte Gesellschaft.

Energie · Transport · Bankwesen · Finanzmarktinfrastrukturen · Gesundheit · Trinkwasser · Abwasser · Digitale Infrastruktur · ICT Service Management · Öffentliche Verwaltung · Weltraum

Wichtige Sektoren

Stiller als die wesentlichen Sektoren – aber nicht weniger kritisch.

Post & Kurier · Abfallwirtschaft · Chemie · Lebensmittel · Pharma, Medizin & Fertigung · Digitale Anbieter · Forschung

Bisher war KRITIS vor allem für Konzerne relevant.
Das hat sich geändert. Nun erfasst NIS-2 auch den Mittelstand – und macht Cybersicherheit so zur unternehmerischen Grundvoraussetzung.

Jetzt Betroffenheitsanalyse anfragen.

Kostenloses Erstgespräch Right-open-big Right-open-big

§ 38 BSIG – Pflichten der Geschäftsleitung

Cybersicherheit ist Chefsache:

NIS-2 markiert einen Paradigmenwechsel: Cybersicherheit ist keine IT-Aufgabe mehr – sie ist haftungsbewehrte Führungsverantwortung mit konkreten, persönlichen Pflichten für Geschäftsführer und Vorstände.

NIS-2 Persönliche Haftung

Persönliche Haftung

Geschäftsleitungen haften persönlich für Schäden, die durch mangelhafte Cybersicherheitsmaßnahmen entstehen. Die Haftung ist nicht auf das Unternehmen übertragbar.

Genehmigungspflicht

Umsetzungspflicht

Die Geschäftsleitung muss sicherstellen, dass technische und organisatorische Risikomanagementmaßnahmen nicht nur auf dem Papier existieren, sondern im Alltag gelebt werden

NIS-2 Schulungspflicht

Schulungspflicht

Mitglieder der Leitungsorgane besonders wichtiger Einrichtungen sind verpflichtet, regelmäßig Schulungen zu Cybersicherheitsrisiken zu absolvieren und ihren Mitarbeitern anzubieten.

NIS-2 Überwachungspflicht

Überwachungspflicht

Die Wirksamkeit aller Sicherheitsmaßnahmen muss regelmäßig geprüft werden. Interne Reports, Risikoanalysen und Prüfberichte sind dauerhafter Bestandteil der Governance.

NIS-2 Ressourcenpflicht

Ressourcenpflicht

Ausreichende finanzielle und personelle Ressourcen für die Umsetzung müssen bereitgestellt werden. Die Ablehnung mit Verweis auf Budgetengpässe schützt nicht vor Haftung.

NIS-2 Amtsverbot

Amtsverbot

In schwerwiegenden Fällen kann das BSI ein temporäres Verbot der Ausübung von Leitungsfunktionen anordnen (§ 38 Abs. 3 BSIG).

§ 30 Abs. 2 BSIG – Mindestmaßnahmen

10 gesetzlich vorgeschriebene Mindestmaßnahmen
Verbindlich, gefahrenübergreifend, dauerhaft wirksam.

01 | Risikoanalyse & Informationssicherheitskonzept

Systematische Erfassung, Bewertung und Behandlung von Risiken für alle eingesetzten IT-Systeme, Komponenten und Prozesse. Dokumentiertes ISMS als Grundlage.

02 | Incident Response & Bewältigung von Sicherheitsvorfällen

Definierte Prozesse zur Erkennung, Analyse, Eindämmung und Behebung von Sicherheitsvorfällen. Verbindliche Meldeketten und Eskalationspfade.

03 | Business Continuity Management (BCM)

Backup-Management, Notfallwiederherstellung und Krisenmanagement. Dokumentierte Wiederanlaufpläne für kritische Systeme und Dienste.

04 | Sicherheit der Lieferkette

Bewertung und Management von Sicherheitsrisiken unmittelbarer Anbieter und Dienstleister. Sicherheitsklauseln in Lieferantenverträgen und regelmäßige Audits.

05 | Sicherheit bei Erwerb, Entwicklung und Wartung

Security-by-Design-Prinzipien, Schwachstellenmanagement und Patch-Prozesse für IT-Systeme. Zertifizierungspflicht für bestimmte IKT-Produkte möglich.

06 | Wirksamkeitsbewertung

Konzepte und Verfahren zur Messung der Effektivität aller Risikomanagementmaßnahmen. KPIs, interne Audits, Penetrationstests und regelmäßige Reviews.

07 | Cyberhygiene & Schulungen

Grundlegende Cybersicherheitspraktiken, Mitarbeitersensibilisierung und Schulungsprogramme. Awareness-Maßnahmen für alle Beschäftigten.

08 | Kryptografie & Verschlüsselung

Einsatz angemessener Verschlüsselung zum Schutz der Vertraulichkeit und Integrität von Daten in Transit und at Rest. Schlüsselmanagement und PKI.

09 | Personalsicherheit und Zugriffskontrolle

Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen.

10 | MFA & Kommunikation

Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Mehr als bloße Pflichterfüllung

NIS-2: Von der Pflicht zur Resilienz
Compliance ist der Anfang. Resilienz ist das Ziel.

Bußgelder, Meldepflichten, Haftungsrisiken – das sind die Gründe, warum die meisten Unternehmen sich mit NIS-2 beschäftigen. Verständlich. Aber es greift zu kurz.
Wer die Anforderungen konsequent umsetzt, bekommt mehr als ein sauberes Compliance-Protokoll. Er bekommt ein Unternehmen, das Angriffe früher erkennt, schneller reagiert und stabiler aus Krisen hervorgeht.
Das ist kein Nebeneffekt. Es ist das Ergebnis genau der Maßnahmen, die NIS-2 vorschreibt: Risikoanalysen, Incident-Response-Pläne, Zugriffskontrolle, Schulungen. Jede einzelne davon stärkt eine der vier Dimensionen, auf denen Widerstandsfähigkeit beruht – Erkennen, Verhindern, Reagieren, Erholen.
Unternehmen, die das verstehen, hören auf, NIS-2 als Bürde zu behandeln. Sie nutzen es als das, was es ist: einen strukturierten Fahrplan für nachhaltige Sicherheit – der gleichzeitig Vertrauen bei Kunden, Partnern und Behörden schafft.

Kein Unternehmen kann jeden Angriff verhindern. Aber jedes Unternehmen kann entscheiden, wie gut es darauf vorbereitet ist.”

Cyber-Resilienz durch NIS-2

In sechs Schritten zur auditfähigen NIS-2-Compliance

Wir begleiten Sie von der ersten Betroffenheitseinschätzung bis zur zertifizierten,
dauerhaft nachweisbaren Compliance – pragmatisch, rechtskonform und ohne unnötige Komplexität.

  • Betroffenheitsanalyse

    1

    Wir klären systematisch, ob und in welcher Kategorie Ihr Unternehmen unter das BSIG fällt – inklusive Supply-Chain-Betrachtung. Schriftliche Betroffenheitsdokumentation als Nachweismittel.

  • GAP

    2

    Analyse

    Abgleich Ihres aktuellen IT-Sicherheitsniveaus mit den zehn Mindestanforderungen des § 30 BSIG. Priorisierte Darstellung des Handlungsbedarfs nach Risiko und Aufwand.

  • ISMS

    3

    Konzeption & Maßnahmenplanung

    Aufbau oder Anpassung eines Informationssicherheits-Managementsystems – bevorzugt auf Basis ISO/IEC 27001 für optimale Synergienutzung und externe Zertifizierungsfähigkeit.

  • Umsetzung

    4

    Technisch & Organisatorisch

    Implementierung aller erforderlichen Maßnahmen: technische Controls, Prozesse, Richtlinien, Schulungskonzept für Leitungsorgane und Belegschaft, BCM und Incident-Response-Pläne.

  • Meldeprozesse & Registrierung

    5

    Aufbau eines funktionierenden Meldeprozesses gemäß § 32 BSIG. Begleitung der BSI-Registrierung (§ 33 BSIG) und Einrichtung der erforderlichen 24/7-Erreichbarkeit.

  • Audit

    6

    Nachweis & laufende Betreuung

    Durchführung interner Audits, Begleitung externer Prüfungen und BSI-Nachweiserfordernisse. Laufende Aktualisierung bei Gesetzes- oder Organisationsänderungen. Optionale ISO 27001-Zertifizierungsbegleitung.

ZurückWeiter

Warum DASEQ
Ihr Partner für NIS-2, IT-Sicherheit, Compliance und kritische Infrastrukturen.

20+ Jahre Erfahrung

20+ Jahre Erfahrung in Informationssicherheit

Wir beraten Unternehmen seit über 20 Jahren in Informationssicherheit und Compliance. NIS-2 ist für uns kein neues Thema – sondern die konsequente Weiterentwicklung von dem, was wir täglich tun.

Alles aus einer Hand

Alles aus einer Hand

Von der Betroffenheitsanalyse über die technische Umsetzung bis zum Audit. Wir kennen die Schnittstellen zu DSGVO, DORA und KRITIS – und vermeiden Reibungsverluste durch Schnittstellenwechsel.

Qualifizierte Auditoren

Qualifizierte Auditoren

Unsere Berater sind zertifizierte ISO 27001 Lead Auditors. Eine ISO 27001-Zertifizierung deckt große Teile der NIS-2-Anforderungen ab – das spart Zeit und Budget.

Mittelstand und Großunternehmen

Mittelstand und Großunternehmen

Wir kennen die Ressourcenbeschränkungen kleiner Sicherheitsteams genauso gut wie die Komplexität großer Unternehmensstrukturen. Unsere Lösungen sind pragmatisch – nicht theoretisch.

Vom Pentest bis zum Audit

Vom Pentest bis zum Audit

IT-Security-Expertise und regulatorisches Know-how unter einem Dach. Das Ergebnis: Lösungen, die in der Praxis funktionieren und vor dem BSI standhalten.

Langjährige Partnerschaft

Langfristige Partnerschaft

NIS-2-Compliance ist kein Projekt – es ist ein Prozess. Wir stehen Ihnen dauerhaft zur Seite und übernehmen auf Wunsch laufende CISO- oder ISB-Funktionen.

FAQ: Was uns Geschäftsführer gerade am häufigsten fragen

Zwei Kriterien entscheiden: Ihr Unternehmen ist in einem der 18 regulierten Sektoren tätig – und überschreitet mindestens 50 Mitarbeitende oder 10 Mio. € Jahresumsatz. KRITIS-Betreiber fallen unabhängig von der Größe darunter. Wichtig: Der Staat informiert Sie nicht. Die Prüfpflicht liegt bei Ihnen.
Wir klären das gemeinsam in einem Erstgespräch – schnell und verbindlich.

Ja, seit dem 6. Dezember 2025 – ohne Übergangsfristen. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Wer noch keine Gap-Analyse durchgeführt hat, bewegt sich bereits in einer Compliance-Lücke mit echtem Haftungsrisiko. Je früher Sie handeln, desto besser.

Kurz gesagt: Wenn etwas schiefläuft, haften Sie persönlich – nicht nur das Unternehmen. Das lässt sich weder wegdelegieren noch vollständig versichern. Im Extremfall kann das BSI Ihnen die Leitungsfunktion temporär untersagen. Das ist kein theoretisches Risiko – es ist geltendes Recht.
Lassen Sie uns gemeinsam klären, wie Sie sich absichern.

Ein großer Vorteil – aber kein Freifahrtschein. NIS-2 stellt zusätzliche Anforderungen, etwa zur 24-Stunden-Meldepflicht, BSI-Registrierung und Lieferkettensicherheit, die ISO 27001 nicht automatisch abdeckt. Wie groß die Lücke bei Ihnen ist, klären wir mit einer gezielten Differenzanalyse – meist deutlich schneller als eine Erstimplementierung.

Ja – aber der Aufwand ist skalierbar. Das Gesetz schreibt ein Proportionalitätsprinzip vor: Ausgestaltung und Umfang richten sich nach Ihrer Risikolage und Ihren Ressourcen. Sie müssen kein 24/7-SOC aufbauen. Aber alle zehn Bereiche müssen adressiert sein. Wir zeigen Ihnen den pragmatischsten Weg dorthin.

Formal vielleicht nicht – praktisch zunehmend schon. Ihre Kunden, die unter NIS-2 fallen, sind verpflichtet, Sicherheitsanforderungen in die Lieferkette weiterzugeben. In der Automobil-, Energie- und IT-Branche wird NIS-2-Compliance bereits zum Ausschlusskriterium in Ausschreibungen.
Wer frühzeitig handelt, sichert sich einen Wettbewerbsvorteil.

Ohne bestehendes ISMS: 9–18 Monate für eine vollständige, auditfähige Lösung. Mit ISO 27001-Zertifizierung: oft 3–6 Monate. Da es keine Übergangsfristen gibt, starten wir parallel: Quick Wins sofort, strategische Umsetzung im laufenden Betrieb. Wann können wir anfangen? Sofort – wenn Sie es wollen.

Das hängt von Ihrem Ausgangsniveau, Ihrer Unternehmensgröße und dem gewünschten Umfang ab. Was wir sagen können: Ein Bußgeld von bis zu 10 Mio. € oder persönliche Haftung kosten mehr. Das Erstgespräch ist kostenlos – und gibt Ihnen einen klaren Überblick, was auf Sie zukommt und was es realistisch kostet.

Jetzt handeln – bevor Bußgelder drohen.

Das NIS-2-Umsetzungsgesetz gilt. Die Registrierungsfrist ist bereits abgelaufen. Nutzen Sie ein kostenloses und unverbindliches Erstgespräch, um Ihre Situation einzuschätzen und einen klaren Fahrplan zu entwickeln.

Jetzt Gespräch vereinbaren:
☎  +49 711 585 308 0
✉  info@daseq.de

NIS-2 Beratung Anfragen
Kostenloses Erstgespräch Right-open-big Right-open-big
© Copyright - DASEQ GmbH
KOSTENLOSE NIS-2 ERSTBERATUNG

    IHRE DATEN VERWENDEN WIR AUSSCHLIESSLICH ZUR BEARBEITUNG IHRER ANFRAGE. [DATENSCHUTZERKLÄRUNG] .
    Ribbon
    Don't miss out. Subscribe today.
    ×
    ×