Wir sind ein MSP mit 80 Mitarbeitenden. Sind wir NIS-2-betroffen?

Wahrscheinlich ja. ICT-Service-Management (MSPs und MSSP) fällt unter Anhang I als wesentliche Einrichtung. Die Größen-Schwellen für wesentliche Einrichtungen liegen typisch bei 250 Mitarbeitenden oder 50 Millionen Euro Umsatz, aber MSPs können durch besondere Sektor-Definitionen früher betroffen sein. Die rechtliche Bewertung bleibt einer Kanzlei vorbehalten. Wir liefern die fachliche Einordnung im Risiko-Check.

Was kommt durch Kunden-Verträge zusätzlich auf uns zu?

NIS-2-betroffene Kunden müssen Sie in ihrer Lieferketten-Risiko-Analyse einbeziehen. Erwarten Sie: Sicherheits-Fragebögen mit ähnlicher Detailtiefe wie NIS-2-Pflichten, Audit-Rechte in Verträgen, Reporting-Pflichten zu Vorfällen, Kündigungs- und Exit-Klauseln bei kritischen Auslagerungen. Wer schnell strukturierte Antworten liefert, gewinnt Aufträge.

Können wir die Cybervize-Plattform für unsere Kunden mit-anbieten?

Ja. Die Cybervize-Plattform ist mandantenfähig konstruiert. Sie können sie als Partner weiterverkaufen (Reseller), mit Cybervize gemeinsam vermarkten (Co-Selling) oder unter eigenem Brand betreiben (Co-Branding). Strikte Datenisolierung pro Mandant, eigene Berechtigungen, eigener Audit-Trail.

Wie behandeln wir Multi-Mandanten-Vorfälle?

Vorfälle, die mehrere Mandanten betreffen, brauchen Sektor-übergreifende Bewertung und parallele Meldepflichten. Ein einziger Cyber-Vorfall in der MSP-Infrastruktur kann gleichzeitig BSI-Meldung als wesentliche Einrichtung, Meldungen an jeden betroffenen NIS-2-Kunden und ggf. Datenschutz-Meldungen auslösen. Strukturierte Incident-Response mit dokumentierten Eskalations-Wegen wird zur Pflicht.

Was kostet die NIS-2-Vorbereitung für einen MSP?

NIS-2-Gap-Assessment als Festpreis ab 4.500 Euro. Prüffähige Readiness in 8 bis 14 Wochen, plus laufende vCISO-Begleitung empfehlenswert. Partner-Modelle für gleichzeitige Kunden-Belieferung haben eigene Pricing-Logik. Die genaue Aufwandsschätzung kommt aus dem Risiko-Check.

NIS-2 für IT-Dienstleister und MSPs

ICT-Service-Management ist Anhang I. Plus Lieferketten-Druck von Kunden.

Anhang I des NIS2UmsuCG erfasst Managed Service Provider und MSSP als wesentliche Einrichtungen. Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz gelten die Pflichten direkt. Zusätzlich kommen NIS-2-Anforderungen aus Kunden-Verträgen, weil Kunden Sie als kritischen Lieferanten einstufen. Die Cybervize-Plattform deckt eigenes ISMS plus mandantenfähige Plattform für Ihre Kunden ab.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2 für IT-Dienstleister konkret bedeutet

Managed Service Provider (MSP), MSSPs und IT-Dienstleister fallen typischerweise unter NIS-2-Anhang I als Anbieter verwalteter Dienste, sobald sie die Größenschwellen überschreiten — und sind über die Supply-Chain-Klausel zusätzlich indirekt mit Pflichten ihrer NIS-2-pflichtigen Kunden konfrontiert. Vier Konsequenzen aus dieser Klassifikation für MSPs und IT-Häuser. Sektor allein reicht nicht: Die genaue Einordnung als Anbieter verwalteter Dienste, MSSP oder Anbieter digitaler Infrastruktur richtet sich nach der konkreten Tätigkeit nach NIS2UmsuCG und Größenwerten. Die rechtliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

Wesentliche Einrichtung mit proaktiver BSI-Aufsicht

Anhang I bedeutet höchste Sanktionsstufe und aktive BSI-Aufsicht. Cyber-Vorfälle in MSP-Infrastruktur können Tausende von Kunden gleichzeitig treffen, daher die strenge Klassifikation.

02 · Scope

Doppel-Pflicht: eigenes ISMS plus Kunden-Nachweise

IT-Dienstleister müssen ihre eigenen Cybersicherheits-Pflichten erfüllen UND gegenüber Kunden nachweisen, dass sie deren NIS-2-Pflichten unterstützen. Kunden-Sicherheits-Fragebögen werden zur Routine.

03 · Scope

Mandantenfähigkeit als Sicherheits-Anforderung

MSPs verwalten mehrere Kunden auf gemeinsamer Infrastruktur. NIS-2 verlangt strikte Datenisolierung, sektor-übergreifende Risiko-Bewertung und konsolidiertes Incident-Reporting.

04 · Scope

Supply-Chain-Position macht Sie zur Lieferanten-Risiko-Quelle

Jeder NIS-2-betroffene Kunde muss Sie als Lieferant in seiner Risiko-Analyse berücksichtigen. Bewertung, Vertragsanforderungen und Audit-Rechte werden Standard. Wer schnell Nachweise liefern kann, gewinnt Aufträge.

Fünf Mindestmaßnahmen am IT-Dienstleister-Beispiel

Fünf NIS-2-Mindestmaßnahmen nach §30, übersetzt in MSP-Praxis.

Risikoanalyse für Multi-Mandanten-Umgebungen

Risiko-Register, das Kunden-Mandanten getrennt aber konsolidiert bewertet. Konzentrationsrisiken bei Cloud-Anbietern, Subdienstleistern und Drittanbieter-Software dokumentiert.

Sicherheit in der eigenen Lieferkette

Sub-Lieferanten-Inventar (z. B. Cloud-Anbieter, Tooling-Hersteller, Spezialisten), Vertragsanforderungen, Konzentrationsrisiko-Heatmap. Kunden verlangen diese Transparenz ohnehin im Sicherheits-Fragebogen.

Multi-Faktor-Authentifizierung für privilegierte Zugriffe

MFA und Just-in-Time-Zugriffe für Admin-Konten in Kunden-Umgebungen. Privileged-Access-Management als Hygienemaßnahme. Bei Mandantenfähigkeit besonders kritisch.

Reaktion auf Sicherheitsvorfälle, mehrkanalig

Incident-Response-Plan mit drei Ebenen: eigene Infrastruktur, einzelne Kunden-Mandanten, sektor-übergreifende Vorfälle mit Domino-Effekt. BSI-Meldung plus Kunden-Information mit dokumentierten Eskalations-Schwellen.

Geschäftsfortführung mit Kunden-SLA-Bezug

BCM-Pläne mit Kunden-SLA als Eingangs-Größe. RTO-Versprechen müssen mit BCM-Test belegt sein. Wiederanlauf-Reihenfolge bei Multi-Mandanten-Vorfall dokumentiert.

Cybervize-Bausteine für IT-Dienstleister

Die Cybervize-Plattform deckt ISMS, BCM, TPRM und Assessment in einer Lösung ab. Für MSPs zusätzlich Mandantenfähigkeit und Co-Branding-Optionen, sodass Sie die Plattform an Kunden weiterreichen können.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize für IT-Dienstleister passt

Branchen-Erfahrung in IT-Dienstleistungen und MSSP-Strukturen aus 25 Jahren ISMS-Praxis bei PwC, Deloitte und KPMG. Die Cybervize-Plattform ist mandantenfähig konstruiert, mit strikter Datenisolierung und Co-Branding-Optionen. Partner-Vertrieb ist eine eigene Verkaufslinie.

Multi-Tenant: strikte Datenisolierung pro Mandant
16 Rollen: RBAC mit feingranularen Berechtigungen
Co-Branding: Ihr Brand, unsere Methodik
Audit-fest: Nachweise gegenüber BSI und Kunden

Häufige Fragen von IT-Dienstleistern

NIS-2 für IT-Dienstleister in 30 Minuten einordnen

Kostenloser Risiko-Check mit indikativer NIS-2-Einordnung, eigener und Kunden-Lieferketten-Anforderungen, Pfad-Empfehlung. Idealerweise dabei: CISO oder Compliance plus Geschäftsführung.