Die Cybervize-Plattform unterstützt die Umsetzung und Nachweisführung zu den 10 Mindestmaßnahmen nach § 30 BSIG: Risiken, Maßnahmen, Nachweise in einem System. Externe CISOs implementieren in 12 Wochen, ab 4.500 €. Festpreise statt Stundenmodell.
Kostenloses Erstgespräch
Das deutsche NIS-2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Was das für betroffene Unternehmen konkret bedeutet, und was bei Verstößen droht.
Das deutsche NIS-2-Umsetzungsgesetz ist mit Verkündung im BGBl (5.12.2025) am Folgetag in Kraft getreten. Keine Übergangsfrist.
Betroffene Einrichtungen mussten sich grundsätzlich innerhalb von drei Monaten registrieren (Stichtag rechnerisch 6.3.2026). Wer noch nicht registriert ist, sollte Betroffenheit und Nachmeldung kurzfristig prüfen.
Frühwarnung innerhalb 24 Stunden, vollständige Meldung innerhalb 72 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls.
Mitarbeiter-Schulungen, Audit-Vorbereitung und Wirksamkeitsprüfung der Maßnahmen sind kontinuierliche Pflichten, keine Einmalaktion.
Die NIS-2-Richtlinie verpflichtet alle wesentlichen und wichtigen Einrichtungen, typischerweise mittelständische Unternehmen ab 50 Mitarbeitern und 10 Mio. € Jahresumsatz, plus alle KRITIS-Betreiber. Hinzu kommen Lieferanten dieser Unternehmen über die Supply-Chain-Klausel. Wer betroffen ist und die zehn Mindestmaßnahmen nach § 30 BSIG nicht umsetzt, riskiert Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, plus persönliche Haftung der Geschäftsführung.
NIS-2 deckt deutlich mehr Branchen ab als die alte NIS-Richtlinie. Anhang I listet Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen), Anhang II die sonstigen kritischen Sektoren (wichtige Einrichtungen). Beide tragen die zehn Mindestmaßnahmen.
NIS-2 unterscheidet zwei Einrichtungs-Klassen. Beide tragen die zehn Mindestmaßnahmen, aber Aufsichtsintensität und Bußgeldhöhe unterscheiden sich.
Proaktive BSI-Prüfungen, Vor-Ort-Audits, anlasslose Stichproben. Das BSI darf jederzeit Nachweise und Dokumente anfordern.
Bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Anlassbezogene Prüfung durch das BSI, in der Regel nach einem Vorfall, einer Beschwerde oder einem konkreten Verdacht. Keine routinemäßigen Vor-Ort-Audits.
Bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Beide Klassen müssen sich beim BSI registrieren, die zehn Mindestmaßnahmen nach § 30 BSIG umsetzen und der 24-/72-Stunden-Meldepflicht nachkommen. Auch die persönliche Geschäftsführungs-Haftung greift für beide Klassen gleichermaßen.
Die NIS-2-Richtlinie verpflichtet betroffene Einrichtungen, Cybersicherheit aktiv in der Lieferkette zu steuern. Das zieht zahlreiche Lieferanten, die selbst nicht direkt unter NIS-2 fallen, indirekt in den Anwendungsbereich.
Praxis-Tipp: Lieferanten von NIS-2-Verpflichteten sollten ISO 27001 oder ein gleichwertiges Niveau anstreben, auch wenn sie selbst formal nicht direkt verpflichtet sind. Das vereinfacht die Nachweisführung gegenüber dem Auftraggeber erheblich.
NIS-2 verlangt einen risikobasierten Ansatz mit zehn konkreten Mindestmaßnahmen, die jede betroffene Organisation umsetzen muss.
Konzept zur Bewertung von Cyber-Risiken und Ableitung verbindlicher Sicherheitsrichtlinien für die gesamte Organisation.
Prozesse zur Erkennung, Eindämmung, Behebung und Meldung von Sicherheitsvorfällen, mit klaren Verantwortlichkeiten und Fristen.
Notfallpläne, Backup-Strategien, Wiederanlauf-Prozeduren: getestet, dokumentiert und übungsfähig.
Bewertung kritischer Lieferanten und Dienstleister, vertragliche Cybersecurity-Anforderungen, fortlaufendes Monitoring.
Secure-by-Design für IT-Beschaffung, sichere Entwicklungsprozesse, Patch- und Vulnerability-Management.
Regelmäßige Überprüfung, ob die umgesetzten Cybersecurity-Maßnahmen ihre Ziele erreichen, mit messbaren Indikatoren.
Verpflichtende Awareness-Schulungen für alle Mitarbeiter, regelmäßig wiederholt und nachweisbar dokumentiert.
Konzepte und Verfahren für Verschlüsselung von Daten in Transit und at Rest, Schlüsselmanagement, Algorithmen-Governance.
Klare Berechtigungskonzepte (Least Privilege), Asset-Inventarisierung und Lebenszyklus-Management.
MFA für alle privilegierten Zugänge und remote-Zugriffe, gesicherte Kommunikation auch im Notfall.
Quelle: § 30 NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das die EU-Richtlinie (EU) 2022/2555 in deutsches Recht überführt.
Drei klar definierte Pakete entlang Ihres NIS-2-Reifegrads. Transparente Festpreise, kein Stundenmodell.
Strukturierte Betroffenheits-Analyse, Lücken-Bewertung, priorisierte Roadmap.
Prüffähige NIS-2-Readiness: ISMS-Aufbau, Prozesse, Dokumentation, dokumentierte Nachweise. Verbindliche Compliance-Aussage bleibt eine rechtliche Bewertung.
Laufende NIS-2-Compliance, BSI-Meldungs-Bereitschaft, jährliche Wirksamkeitsprüfung. Aufwand und Preis individuell kalkuliert.
Endpreise für Gap-Assessment und Implementierung hängen von Unternehmensgröße, Anzahl der Standorte und IT-Komplexität ab. Maintenance & Audit kalkulieren wir individuell nach Audit-Frequenz, Reifegrad und gewünschter Reaktionszeit. Im Erstgespräch klären wir die genaue Scope-Definition kostenfrei.
Vier Phasen über zwölf Wochen. Jede Phase mit klarem Output, Geschäftsführungs-Sign-off und Übergabe in die nächste.
Klärung NIS-2-Status, Scope, Verantwortlichkeiten, kritische Dienste und Prozesse. Output: Stakeholder-Map und Scope-Dokument.
Strukturierte Bewertung der zehn Mindestmaßnahmen mit der Cybervize-Plattform, Reifegrad-Score, Lückenanalyse, Risikobewertung.
Priorisierte Roadmap, Aufwands- und Kosten-Schätzungen, Geschäftsführungs-Sign-off, Implementierungs-Plan mit Verantwortlichkeiten.
Umsetzung der priorisierten Maßnahmen, Dokumentation, Schulungen, Wirksamkeitsmessung, Audit-Vorbereitung.
Mitgliedschaften, Programme und Partnerschaften
Wer ISO 27001 oder TISAX hat, muss NIS-2 nicht von Null aufbauen. Die Cybervize-Plattform mappt Controls automatisch zwischen Frameworks: keine doppelte Implementierung, keine isolierten Compliance-Silos.
ISMS-Modul nach ISO 27001:2022. Assessment-Modul mit OSCAL-Import für IEC 62443, BSI Grundschutz, NIST und eigene Standards. Alle Module teilen Risiken, Assets und Maßnahmen.
Acht der zehn NIS-2-Mindestmaßnahmen sind durch ISO-27001-Annex-A-Controls abgedeckt. Plattform zeigt automatisch, was bereits erfüllt ist und welche NIS-2-spezifischen Lücken bleiben.
Incident-Management adressiert DSGVO-72h-Meldepflicht und NIS-2-24h-Frühwarnung in einem Workflow. Verarbeitungsverzeichnis und Asset-Inventar teilen dieselbe Datengrundlage.
Jede Aktion protokolliert: wer, wann, was, von welcher IP. Auditor-Rollen mit Lesezugriff modulübergreifend. CSV-Export, revisionssichere Snapshots, automatisierte Reports.
Weil die Plattform und die Methodik aus 25 Jahren ISMS-Implementierung im Mittelstand entstanden sind, nicht aus einem SaaS-Whiteboard.
Der Gründer von Cybervize hat bei PwC, Deloitte und KPMG ISMS-Implementierungen über zwei Jahrzehnte begleitet, vom Mittelstand bis zum DAX-Konzern, in Finanzdienstleistungen, Telekommunikation, öffentlichem Sektor und produzierender Industrie. ISO 27001 Lead Auditor seit 2006, BSI IT-Grundschutz Auditor, CISA, BS 25999.
2021 wurde Cybervize mit einer klaren These gegründet: NIS-2-Compliance darf nicht zur Ankreuzübung neben dem Tagesgeschäft werden, wie sie klassische GRC-Tools erzwingen. Stattdessen müssen Compliance-Anforderungen in die laufenden Sicherheits- und IT-Prozesse eingewoben werden, sodass Evidenzen im operativen Betrieb entstehen. Cybervize Consulting GmbH (2021) führt die Beratung, Cybervize Operations GmbH (2023) hat die Plattform entwickelt, gefördert durch das StartupSecure-Programm der Bundesregierung in einer 14-monatigen Forschungspartnerschaft mit dem CISPA-Inkubator des Helmholtz-Zentrums für Informationssicherheit. Wenn unser vCISO Ihre NIS-2-Implementierung führt, arbeitet er mit einem Werkzeug, das von jemandem konzipiert wurde, der die gleichen Mandate selbst durchgeführt hat.
Sektor-spezifische Pflichten, Risiken und Plattform-Bausteine für die häufigsten NIS-2-betroffenen Branchen. Jede Page mit indikativer Einordnung, Mindestmaßnahmen am Sektor-Beispiel und Pfad-Empfehlung.
Anhang II · wichtige Einrichtung
Sektor-Page öffnenAnhang I · wesentliche Einrichtung · KRITIS
Sektor-Page öffnenAnhang I · plus DORA
Sektor-Page öffnenAnhang II · plus TISAX
Sektor-Page öffnenAnhang II · plus Störfall-VO
Sektor-Page öffnenAnhang I · plus MDR · plus §75c SGB V
Sektor-Page öffnenAnhang II · plus IFS · plus FSSC 22000
Sektor-Page öffnenAnhang I · ICT-Service-Management
Sektor-Page öffnenVereinbaren Sie ein kostenloses Erstgespräch. In 30 Minuten klären wir Ihre Betroffenheit, mögliche nächste Schritte und ob das Gap-Assessment für Sie der richtige Einstieg ist.
Erstgespräch vereinbarenViele Unternehmen behandeln NIS2 wie ein Häkchen-Projekt. Doch Compliance ist nicht dasselbe wie Resilienz. Die Cross-Border Cybersecurity Tour #2 in Saarbrücken machte deutlich: Eine funktionierende Sicherheitsoperation schlägt jede Toolsammlung.
70 Prozent der KMU behandeln NIS2 als Pflichtübung. Doch wer die Richtlinie als strategischen Hebel begreift, kann Compliance in operative Exzellenz und echte Betriebsresilienz verwandeln.
Alexander Busse spricht auf der CROSSBORDER CYBERSECURITY TOUR #2 in Saarbrücken über operative Exzellenz durch NIS2. Warum 70 % der KMU die Regulierung falsch einschätzen – und wie sie daraus einen echten Wettbewerbsvorteil machen können.
Kostenfreier Selbst-Check: Wo stehen Sie bei den zehn Pflichtbereichen aus §30 BSIG? 30 Fragen, Sofort-Ampel.
Mehr erfahrenStrategie, Compliance und operative Sicherheit für den Mittelstand.
Mehr erfahrenUmfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Massnahmenplan.
Mehr erfahren