NIS-2-Compliance für den Mittelstand

NIS-2-Beratung

Von der Betroffenheits-Analyse bis zur vollständigen Compliance — strukturiert, plattformgestützt, in 12 Wochen. Festpreise statt Stundenmodell.

Kostenloses Erstgespräch

Sind Sie von NIS-2 betroffen?

Die NIS-2-Richtlinie verpflichtet alle wesentlichen und wichtigen Einrichtungen — typischerweise mittelständische Unternehmen ab 50 Mitarbeitern und 10 Mio. € Jahresumsatz, plus alle KRITIS-Betreiber. Hinzu kommen Lieferanten dieser Unternehmen über die Supply-Chain-Klausel. Wer betroffen ist und die zehn Mindestmaßnahmen nach § 30 BSIG nicht umsetzt, riskiert Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — plus persönliche Haftung der Geschäftsführung.

Mehr als 50 Mitarbeiter UND mehr als 10 Mio. € Jahresumsatz
KRITIS-Betreiber in einem der 18 NIS-2-Sektoren (Energie, Gesundheit, Finanzen, Transport, Wasser, digitale Infrastruktur u.a.)
Supplier wesentlicher oder wichtiger Einrichtungen (Supply-Chain-Klausel Artikel 21 Abs. 2 lit. d)

Betroffenheit prüfen lassen

Die 10 Mindestmaßnahmen nach § 30 BSIG

NIS-2 verlangt einen risikobasierten Ansatz mit zehn konkreten Mindestmaßnahmen, die jede betroffene Organisation umsetzen muss.

1. Risikoanalyse & Sicherheitsrichtlinien

Konzept zur Bewertung von Cyber-Risiken und Ableitung verbindlicher Sicherheitsrichtlinien für die gesamte Organisation.

2. Incident-Handling

Prozesse zur Erkennung, Eindämmung, Behebung und Meldung von Sicherheitsvorfällen, mit klaren Verantwortlichkeiten und Fristen.

3. Business Continuity & Krisenmanagement

Notfallpläne, Backup-Strategien, Wiederanlauf-Prozeduren — getestet, dokumentiert und übungsfähig.

4. Supply-Chain-Sicherheit

Bewertung kritischer Lieferanten und Dienstleister, vertragliche Cybersecurity-Anforderungen, fortlaufendes Monitoring.

5. Sicherheit in Beschaffung, Entwicklung und Wartung

Secure-by-Design für IT-Beschaffung, sichere Entwicklungsprozesse, Patch- und Vulnerability-Management.

6. Wirksamkeitsbewertung der Maßnahmen

Regelmäßige Überprüfung, ob die umgesetzten Cybersecurity-Maßnahmen ihre Ziele erreichen — mit messbaren Indikatoren.

7. Cyber-Hygiene & Schulungen

Verpflichtende Awareness-Schulungen für alle Mitarbeiter, regelmäßig wiederholt und nachweisbar dokumentiert.

8. Kryptografie & Verschlüsselung

Konzepte und Verfahren für Verschlüsselung von Daten in Transit und at Rest, Schlüsselmanagement, Algorithmen-Governance.

9. Personalsicherheit, Zugriffskontrolle & Asset-Management

Klare Berechtigungskonzepte (Least Privilege), Asset-Inventarisierung und Lebenszyklus-Management.

10. Multi-Faktor-Authentifizierung & gesicherte Kommunikation

MFA für alle privilegierten Zugänge und remote-Zugriffe, gesicherte Kommunikation auch im Notfall.

Quelle: § 30 NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das die EU-Richtlinie (EU) 2022/2555 in deutsches Recht überführt.

NIS-2-Beratungs-Pakete

Drei klar definierte Pakete entlang Ihres NIS-2-Reifegrads. Transparente Festpreise, kein Stundenmodell.

Gap-Assessment

4 Wochen

ab 4.500 €

Strukturierte Betroffenheits-Analyse, Lücken-Bewertung, priorisierte Roadmap.

Initial-Workshop mit Geschäftsführung und Cyber-Verantwortlichen
Bewertung der zehn Mindestmaßnahmen nach § 30 BSIG
Gap-Report mit Reifegrad-Score je Maßnahme
Priorisierte Maßnahmen-Roadmap (Quick-Wins und strategisch)
Geschäftsführungs-Briefing mit Haftungs-Implikationen

Gap-Assessment buchen

Implementierung

12 Wochen

ab 18.000 €

Vollständige NIS-2-Compliance: ISMS-Aufbau, Prozesse, Dokumentation, Nachweis.

Inklusive Gap-Assessment
ISMS-Aufbau mit der Cybervize-Plattform
Sicherheitsrichtlinien, Incident-Response-Plan, BCM-Plan
Supply-Chain-Risiko-Inventar mit kritischen Drittparteien
Mitarbeiter-Schulung (E-Learning und Workshops)
Wirksamkeitsmessung und Audit-Vorbereitung

Implementierung anfragen

Maintenance & Audit

ab 12 Monate

ab 1.800 €/Monat

Laufende NIS-2-Compliance, BSI-Meldungs-Bereitschaft, jährliche Wirksamkeitsprüfung.

Monatliches NIS-2-Reporting an die Geschäftsführung
Incident-Response-Bereitschaft 24/5
Jährliche Wirksamkeitsprüfung
BSI-Meldewege geübt und dokumentiert
Update-Begleitung bei Regulierungsänderungen

Maintenance starten

Endpreise abhängig von Unternehmensgröße, Anzahl der Standorte und IT-Komplexität. Im Erstgespräch klären wir die genaue Scope-Definition kostenfrei.

So läuft die NIS-2-Beratung ab

Vier Phasen über zwölf Wochen. Jede Phase mit klarem Output, Geschäftsführungs-Sign-off und Übergabe in die nächste.

Phase 1

Woche 1-2

Betroffenheits-Analyse & Initial-Workshop

Klärung NIS-2-Status, Scope, Verantwortlichkeiten, kritische Dienste und Prozesse. Output: Stakeholder-Map und Scope-Dokument.

Phase 2

Woche 3-6

Gap-Assessment

Strukturierte Bewertung der zehn Mindestmaßnahmen mit der Cybervize-Plattform, Reifegrad-Score, Lückenanalyse, Risikobewertung.

Phase 3

Woche 7-8

Maßnahmen-Roadmap & Steering

Priorisierte Roadmap, Aufwands- und Kosten-Schätzungen, Geschäftsführungs-Sign-off, Implementierungs-Plan mit Verantwortlichkeiten.

Phase 4

Woche 9-12+

Implementierung & Nachweis

Umsetzung der priorisierten Maßnahmen, Dokumentation, Schulungen, Wirksamkeitsmessung, Audit-Vorbereitung.

Anerkannt durch

Häufige Fragen zur NIS-2-Beratung

Was kostet eine NIS-2-Beratung für ein mittelständisches Unternehmen?

Cybervize bietet drei transparente Pakete: Gap-Assessment ab 4.500 € (4 Wochen), volle Implementierung ab 18.000 € (12 Wochen, inklusive Gap-Assessment), und Maintenance ab 1.800 €/Monat. Endpreise hängen von Unternehmensgröße, Anzahl der Standorte und IT-Komplexität ab. Für ein typisches Mittelstandsunternehmen mit 200 Mitarbeitern und einem Standort liegt die Implementierung im Bereich 20.000-30.000 € einmalig plus Maintenance.

Bin ich von NIS-2 betroffen?

Sie sind betroffen, wenn Sie zu einer der drei Gruppen gehören: (1) wesentliche oder wichtige Einrichtung mit mehr als 50 Mitarbeitern UND mehr als 10 Mio. € Jahresumsatz; (2) KRITIS-Betreiber in einem der 18 NIS-2-Sektoren (Energie, Gesundheit, Finanzen, Transport u.a.); (3) Lieferant einer wesentlichen oder wichtigen Einrichtung über die Supply-Chain-Klausel des Artikels 21. Wir prüfen Ihre konkrete Betroffenheit kostenlos im Erstgespräch.

Wer haftet, wenn die NIS-2-Anforderungen nicht erfüllt werden?

Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (für wesentliche Einrichtungen) bzw. bis 7 Mio. € oder 1,4 % (für wichtige Einrichtungen). Hinzu kommt persönliche Haftung der Geschäftsführung — § 38 NIS2UmsuCG sieht vor, dass Geschäftsleitungsorgane die Umsetzung billigen und überwachen müssen. Die individuelle Haftung greift bei Verletzung dieser Sorgfaltspflicht.

Wie unterscheidet sich NIS-2 von der DSGVO?

DSGVO fokussiert auf Schutz personenbezogener Daten. NIS-2 fokussiert auf Cybersecurity der gesamten Organisation — also alle Daten, Systeme, Prozesse und Dienste, nicht nur personenbezogene Daten. Beide Regelwerke überlappen bei Themen wie Incident-Reporting und Verschlüsselung, sind aber komplementär. NIS-2 verlangt zusätzlich ein vollständiges ISMS, Supply-Chain-Risikomanagement und Geschäftsführungs-Verantwortung.

Ist das deutsche NIS-2-Umsetzungsgesetz schon in Kraft?

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde im November 2025 vom Bundestag beschlossen und trat am 17. Dezember 2025 in Kraft. Betroffene Unternehmen müssen sich beim BSI registrieren und die zehn Mindestmaßnahmen umsetzen. Eine Übergangsfrist bestand bis Anfang 2026; aktuell prüft das BSI bereits aktiv Compliance.

Wie schnell lässt sich NIS-2-Compliance erreichen?

Mit dem Cybervize-Implementierungs-Paket erreichen Sie Audit-Bereitschaft in 12 Wochen ab Vertragsschluss. Die Geschwindigkeit hängt von drei Faktoren ab: bestehende ISMS-Reife, Verfügbarkeit von Mitarbeitern für Workshops, und Anzahl der zu integrierenden Lieferanten in der Supply-Chain-Bewertung. In Komplexfällen mit mehreren Standorten oder Sondertopologien können 16-20 Wochen realistisch sein.

Welche Rolle spielt die Cybervize-Plattform in der NIS-2-Beratung?

Die Cybervize-Plattform ist das technische Rückgrat unserer NIS-2-Beratung. Das Assessment-Modul digitalisiert die Bewertung der zehn Mindestmaßnahmen mit strukturierten Fragebögen und automatisierten Auswertungen. Das ISMS-Modul verwaltet Sicherheitsrichtlinien und Maßnahmen. Das TPRM-Modul automatisiert die Supply-Chain-Bewertung. Das BCM-Modul deckt Business Continuity ab. Sie behalten die Daten — auch nach Vertragsende.

Bieten Sie auch nur eine Schulung an, ohne komplette Beratung?

Ja, für die NIS-2-Schulung der Geschäftsleitung haben wir ein separates Angebot. Die halbtägige Vor-Ort-Schulung in Düsseldorf/NRW ist auf der Seite 'NIS-2 und DORA Executive Training' beschrieben und ist als eigenständiger Baustein oder als Teil des Implementierungs-Pakets buchbar.

Bereit, NIS-2 zu lösen?

Vereinbaren Sie ein kostenloses Erstgespräch. In 30 Minuten klären wir Ihre Betroffenheit, mögliche nächste Schritte und ob das Gap-Assessment für Sie der richtige Einstieg ist.

Erstgespräch vereinbaren

NIS-2-Beratung

Sind Sie von NIS-2 betroffen?

Die 10 Mindestmaßnahmen nach § 30 BSIG