NIS2-Richtlinie: Geltungsbereich, Pflichten, Fristen

Q: Wer ist von NIS2 betroffen?

Die deutsche NIS2-Umsetzung unterscheidet zwischen besonders wichtigen Einrichtungen (Anlage 1, beispielsweise Energieversorger, Banken, Krankenhäuser, Trinkwasserversorger, Anbieter digitaler Infrastruktur wie DNS, Cloud, Rechenzentren und TK-Netze) und wichtigen Einrichtungen (Anlagen 1 und 2, beispielsweise Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe, Online-Marktplätze, Suchmaschinen, Forschung). Maßgeblich sind Sektor und Unternehmensgröße: grundsätzlich sind Organisationen aus Anlage 1 besonders wichtig, wenn sie mindestens 250 Mitarbeitende beschäftigen oder mehr als 50 Mio. € Jahresumsatz und mehr als 43 Mio. € Bilanzsumme aufweisen. Organisationen aus den einschlägigen Einrichtungsarten gelten grundsätzlich als wichtig, wenn sie mindestens 50 Mitarbeitende beschäftigen oder mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme aufweisen. Einzelne Anbieter (etwa qualifizierte Vertrauensdienste, DNS- und TLD-Registry-Betreiber) fallen unabhängig von der Größe in den Geltungsbereich. Zusätzlich gelten Betreiber kritischer Anlagen (also Anlagen in den Sektoren der Anlagen 1 oder 2, die die Schwellenwerte der BSI-KritisV überschreiten) automatisch als besonders wichtige Einrichtungen, unabhängig von Mitarbeiterzahl und Umsatz . So kann z. B. ein Unternehmen aus der Abfallbewirtschaftung (Anlage 2) über diesen Weg in die bwE-Kategorie fallen, obwohl die reine Größenbetrachtung das nicht hergäbe. Die offizielle Betroffenheitsprüfung des BSI gibt eine rechtlich nicht bindende erste Orientierung.

Q: Welche Fristen gelten unter NIS2?

Die EU-Frist zur Umsetzung in nationales Recht lief am 17. Oktober 2024 ab. In Deutschland ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten . Betroffene Einrichtungen müssen sich ab Januar 2026 im neuen BSI-Portal registrieren. Für die laufenden Meldepflichten gelten gestaffelte Fristen: eine Frühwarnung an das BSI binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls, eine Vorfallmeldung mit erster Bewertung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Bei andauernden Vorfällen kommt eine Zwischenmeldung hinzu.

Q: Welche Sanktionen sieht NIS2 bei Verstößen vor?

Für besonders wichtige Einrichtungen sieht die Richtlinie Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (jeweils der höhere Wert) vor. Für wichtige Einrichtungen liegen die Bußgelder bei bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes . Daneben verankert NIS2 eine ausdrückliche Verantwortung der Geschäftsleitung für die Einhaltung der Cybersicherheitsanforderungen, die bei Sorgfaltspflichtverletzungen zu persönlicher Haftung führen kann. Die konkrete Höhe richtet sich nach Schwere, Dauer und Vorwerfbarkeit des Verstoßes, dem entstandenen Schaden und dem Kooperationsverhalten der Einrichtung. Die genaue Ausgestaltung der Bußgeldrahmen in Deutschland erfolgt durch das NIS-2-Umsetzungsgesetz.

Was ist die Netzwerk- und Informationssicherheitsrichtlinie (NIS2)?

Die NIS2-Richtlinie stellt eine bedeutende Weiterentwicklung des Cybersicherheits-Frameworks der Europäischen Union dar und baut auf der bestehenden Netzwerk- und Informationssicherheitsrichtlinie (NIS) auf. Die EU-Richtlinie war bis zum 17. Oktober 2024 durch alle Mitgliedstaaten in nationales Recht umzusetzen. In Deutschland ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten. NIS2 führt strengere Cybersicherheitsverpflichtungen ein und erweitert den Geltungsbereich auf eine breitere Palette von Sektoren und Unternehmen. Diese erweiterte Richtlinie zielt darauf ab, einen einheitlichen Sicherheitsstandard in allen Mitgliedstaaten zu etablieren und die Cyber-Resilienz kritischer Infrastrukturen und digitaler Dienste gegen zunehmend komplexe Cyberbedrohungen zu stärken.

NIS2 in Deutschland: Das NIS-2-Umsetzungsgesetz

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 gelten für betroffene Unternehmen in Deutschland neue Pflichten:

Registrierungspflicht: Betroffene Einrichtungen müssen sich im BSI-Portal ( portal.bsi.bund.de ) registrieren. Die Authentifizierung erfolgt über das digitale Servicekonto „Mein Unternehmenskonto" (MUK) ( mein-unternehmenskonto.de ), aus dem das für die Anmeldung benötigte ELSTER-Organisationszertifikat erzeugt wird ( BSI-Anleitung zur Registrierung ).
Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb festgelegter Fristen an das BSI gemeldet werden.
Verantwortung der Geschäftsleitung: Die Geschäftsleitung trägt ausdrücklich Verantwortung für die Einhaltung der Cybersicherheitsanforderungen und kann bei Verstößen persönlich haftbar gemacht werden.
Risikomanagement: Unternehmen müssen umfassende Risikomanagementmaßnahmen implementieren und dokumentieren.

Eine Betroffenheitsprüfung kann über die offizielle NIS-2-Betroffenheitsprüfung des BSI durchgeführt werden.

Der Geltungsbereich von NIS2 umfasst ein breites Spektrum von Organisationen aus verschiedenen Sektoren, die basierend auf ihrer Kritikalität und Größe als “besonders wichtige” oder “wichtige” Einrichtungen kategorisiert werden. Zu den besonders wichtigen Einrichtungen gehören Organisationen aus Bereichen wie Energie, Transport, Banken, Gesundheitswesen und digitale Infrastruktur, während wichtige Einrichtungen Bereiche wie Postdienste, Abfallwirtschaft, Lebensmittelproduktion und Forschung abdecken. Dieser erweiterte Geltungsbereich spiegelt die wachsende Vernetzung unserer digitalen Wirtschaft und die Notwendigkeit umfassender Cybersicherheitsmaßnahmen in allen kritischen Sektoren wider.

Bei SCHUTZWERK verstehen wir die Komplexität der Implementierung von NIS2-Anforderungen und deren Auswirkungen auf die Sicherheitslage Ihrer Organisation. Unser Team von Sicherheitsexperten bietet umfassende Unterstützung bei der initialen Sicherheitsbewertung sowie bei Einrichtung und Aufrechterhaltung der Richtlinienkonformität mit den erweiterten Sicherheitsmaßnahmen, Risikomanagement-Anforderungen und Meldepflichten von NIS2. Wir helfen Unternehmen nicht nur bei der Einhaltung von Vorschriften, sondern auch beim Aufbau robuster Cybersicherheitsfähigkeiten, die ihre Betriebsabläufe und Interessengruppen schützen.

Ziel

Unterstützung bei der Implementierung und Aufrechterhaltung der NIS2-Konformität durch spezialisierte Sicherheitsüberprüfungen

Fragestellung

Wie können wir die Anforderungen der NIS2-Richtlinie effektiv erfüllen?

Scope

IT Systeme und Prozesse von Organisationen im Geltungsbereich der NIS2-Anforderungen

Umfassendes NIS2-Framework

Die NIS2-Richtlinie etabliert ein umfassendes Framework für Cybersicherheit, das sich auf mehrere Schlüsselbereiche konzentriert, die Organisationen adressieren müssen, um Richtlinienkonformität zu gewährleisten und ihr Sicherheitsniveau zu verbessern. Dieses Framework stellt einen bedeutenden Fortschritt in der EU-Cybersicherheitsregulierung dar und verpflichtet Organisationen zur Implementierung robuster Sicherheitsmaßnahmen und zur aktiven Überwachung ihres Cybersicherheitsstatus.

Risikomanagement und Sicherheitsmaßnahmen

Organisationen müssen umfassende Risikomanagement-Praktiken implementieren, die alle Aspekte der Netzwerk- und Informationssystemsicherheit abdecken. Dies umfasst regelmäßige Risikobewertungen, die Implementierung angemessener Sicherheitskontrollen und die kontinuierliche Überwachung von Sicherheitsmaßnahmen. Wir helfen Organisationen bei der Entwicklung und Aufrechterhaltung effektiver Risikomanagementprozesse , die mit den NIS2-Anforderungen übereinstimmen und gleichzeitig die operative Effizienz unterstützen.

Supply Chain Security

NIS2 legt besonderen Wert auf die Sicherheit der Lieferkette und adressiert dadurch die Risiken, die durch die zahlreichen Abhängigkeiten und Beziehungen mit Lieferanten moderner digitaler Systeme und Infrastruktur entstehen. Wir unterstützen Organisationen bei der Entwicklung robuster Supply-Chain-Sicherheits-Frameworks, einschließlich Methoden zur Lieferantenbewertung, Sicherheitsanforderungen für Zulieferer und laufende Überwachungsprozesse. Unsere Expertise hilft sicherzustellen, dass Ihre Lieferkette die NIS2-Anforderungen erfüllt und gleichzeitig die operative Effektivität aufrechterhält.

Incident Reporting und Response

Die Richtlinie schreibt strenge Anforderungen an die Meldung von Vorfällen und robuste Incident-Response-Fähigkeiten vor. Wir helfen Organisationen bei der Einrichtung effizienter Incident-Management-Prozesse , einschließlich Vorfallklassifizierungssystemen, Meldeverfahren und Response-Protokollen. Unsere Expertise stellt sicher, dass Ihre Incident-Handling-Fähigkeiten sowohl die regulatorischen Anforderungen als auch die operativen Bedürfnisse erfüllen.

Governance und Risikoüberwachung

NIS2 verlangt von Organisationen die Einrichtung klarer Governance-Strukturen und die aktive Überwachung von Cybersicherheitsrisiken. Wir unterstützen die Entwicklung effektiver Governance-Frameworks, einschließlich Richtlinien, Verfahren und Berichtsmechanismen, die ein angemessenes Management von Cybersicherheitsrisiken und Compliance-Verpflichtungen gewährleisten.

Sicherheitstests und -bewertung

Regelmäßige Sicherheitstests sind unter NIS2 essentiell, um die Wirksamkeit implementierter Sicherheitsmaßnahmen zu überprüfen. Unser Testing-Framework umfasst verschiedene Bewertungstypen, von Schwachstellenanalysen bis hin zu fortgeschrittenen Penetrationstests , die Organisationen dabei helfen, ihre Sicherheitskontrollen zu validieren und Verbesserungsbereiche zu identifizieren.

Geltungsbereich: Besonders wichtige und wichtige Einrichtungen

Die deutsche NIS2-Umsetzung unterscheidet zwischen zwei Kategorien betroffener Organisationen. Ob eine Einrichtung als “besonders wichtig” oder “wichtig” gilt, ergibt sich aus Sektor und Unternehmensgröße:

Kategorie	Beispiel-Sektoren / Anlagen	Grundsätzliche Schwellenwerte / Voraussetzungen
Besonders wichtige Einrichtungen (Anlage 1)	Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen und Finanzmarktinfrastruktur, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur (DNS, Cloud, Rechenzentren, TK-Netze), Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung, Raumfahrt	Großunternehmen (grundsätzlich ab 250 Mitarbeitenden oder >50 Mio. € Jahresumsatz und >43 Mio. € Bilanzsumme)
Wichtige Einrichtungen (Anlagen 1 und 2, soweit nicht besonders wichtig oder Betreiber kritischer Anlagen)	Post- und Kurierdienste, Abfallbewirtschaftung, Chemie (Herstellung und Vertrieb), Lebensmittelproduktion und -vertrieb, verarbeitendes Gewerbe (Medizinprodukte, Computer und Elektronik, Maschinen- und Fahrzeugbau, sonstige), digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung	Mittlere Unternehmen (grundsätzlich ab 50 Mitarbeitenden oder >10 Mio. € Jahresumsatz und >10 Mio. € Bilanzsumme)
Betreiber kritischer Anlagen (aus Sektoren der Anlagen 1 oder 2)	Anlagen, die kritische Versorgungsleistungen erbringen (typischerweise z. B. Energie- und Wasserversorgung, Krankenhäuser, TK-Netze, Lebensmittelversorgung, Abfallentsorgung, jeweils ab Erreichen der KRITIS-Schwellenwerte)	Unabhängig von Mitarbeiterzahl und Umsatz. Schwellenwerte ergeben sich aus der BSI-KritisV (Versorgungsleistungen ab sektorspezifischen Größenordnungen). Betreiber kritischer Anlagen gelten automatisch als besonders wichtige Einrichtungen und unterliegen zusätzlich KRITIS-spezifischen Anforderungen (z. B. regelmäßige Nachweispflichten)

Die Sektorenlisten beschreiben die Anhänge 1 und 2 der NIS2-Richtlinie. Die deutsche Umsetzung (BSIG nach NIS2UmsuCG, insbesondere § 28 BSIG) kennt drei Einstufungspfade, die sich aus Sektor, Unternehmensgröße und KRITIS-Status ergeben:

Über die Unternehmensgröße: Großunternehmen aus Anlage-1-Sektoren (z. B. Energie, Verkehr, digitale Infrastruktur, Raumfahrt) gelten grundsätzlich als besonders wichtig; mittlere Unternehmen aus Anlage-1- oder Anlage-2-Sektoren grundsätzlich als wichtig.
Über den KRITIS-Status: Wer mit einer Anlage die Schwellenwerte der BSI-KritisV überschreitet, gilt als Betreiber einer kritischen Anlage, und damit automatisch als besonders wichtige Einrichtung, unabhängig von Mitarbeiterzahl, Umsatz oder Bilanzsumme. Dieser Pfad greift auch in bestimmten Anlage-2-Sektoren: z. B. kann ein Unternehmen aus der Abfallbewirtschaftung allein über die Größenkriterien nicht als besonders wichtig eingestuft werden. Wohl aber, wenn es die KritisV-Schwellen überschreitet und damit als Betreiber einer kritischen Anlage gilt. Betreiber kritischer Anlagen erfüllen zusätzlich zu den bwE-Pflichten KRITIS-spezifische Anforderungen.
Über Sonderregeln: Einzelne Einrichtungsarten (z. B. qualifizierte Vertrauensdienste, DNS- und TLD-Registry-Betreiber) fallen unabhängig von der Größe in den Geltungsbereich.

Eine offizielle NIS-2-Betroffenheitsprüfung des BSI liefert eine rechtlich nicht bindende erste Orientierung zur Betroffenheit.

Rechtliches Gutachten zur NIS2-Betroffenheit durch Fachanwalt

Wenn Sie über die nicht bindende BSI-Selbstprüfung hinaus eine belastbare Einschätzung benötigen, etwa für die Vorlage gegenüber Geschäftsleitung, Aufsichtsrat oder Aufsichtsbehörde, bieten wir auf Wunsch ein rechtliches Gutachten zur NIS2-Betroffenheit durch einen auf IT- und Cyber-Regulierung spezialisierten Fachanwalt an.

Hintergrund: In Deutschland ist Rechtsberatung nach dem Rechtsdienstleistungsgesetz (RDG) zugelassenen Rechtsanwältinnen und Rechtsanwälten vorbehalten. Eine fundierte Betroffenheitsprüfung erfordert in der Praxis aber sowohl technische Sachverhaltsanalyse als auch rechtliche Würdigung. Typischerweise führt das zu einem aufwendigen Hin und Her zwischen Ihrem technischen Berater und einem extern beauftragten Anwalt, mit dem Risiko, dass Sachinformationen unterwegs an Schärfe verlieren.

Unser Modell: Wir arbeiten mit einer auf Regulierungs- und IT-Recht spezialisierten Kanzlei zusammen, deren Fachanwalt direkt als Teil unseres Projektteams agieren kann und auf Wunsch über SCHUTZWERK abgerechnet wird. Sie müssen keinen weiteren Lieferanten anlegen oder onboarden. Die anwaltliche Beratung selbst erfolgt RDG-konform auf Basis einer Mandatsvereinbarung direkt zwischen Ihnen und der Kanzlei, sodass das Gutachten klar dokumentiert und in Ihr SCHUTZWERK-Projekt eingebettet ist. Ergebnis: eine konsolidierte technisch-rechtliche Einschätzung zur NIS2-Betroffenheit aus einer Hand, ohne Flüsterpost zwischen Beratern.

Häufige Fragen zur NIS2-Richtlinie

Wer ist von NIS2 betroffen?

Die deutsche NIS2-Umsetzung unterscheidet zwischen besonders wichtigen Einrichtungen (Anlage 1, beispielsweise Energieversorger, Banken, Krankenhäuser, Trinkwasserversorger, Anbieter digitaler Infrastruktur wie DNS, Cloud, Rechenzentren und TK-Netze) und wichtigen Einrichtungen (Anlagen 1 und 2, beispielsweise Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe, Online-Marktplätze, Suchmaschinen, Forschung). Maßgeblich sind Sektor und Unternehmensgröße: grundsätzlich sind Organisationen aus Anlage 1 besonders wichtig, wenn sie mindestens 250 Mitarbeitende beschäftigen oder mehr als 50 Mio. € Jahresumsatz und mehr als 43 Mio. € Bilanzsumme aufweisen. Organisationen aus den einschlägigen Einrichtungsarten gelten grundsätzlich als wichtig, wenn sie mindestens 50 Mitarbeitende beschäftigen oder mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme aufweisen. Einzelne Anbieter (etwa qualifizierte Vertrauensdienste, DNS- und TLD-Registry-Betreiber) fallen unabhängig von der Größe in den Geltungsbereich. Zusätzlich gelten Betreiber kritischer Anlagen (also Anlagen in den Sektoren der Anlagen 1 oder 2, die die Schwellenwerte der BSI-KritisV überschreiten) automatisch als besonders wichtige Einrichtungen, unabhängig von Mitarbeiterzahl und Umsatz. So kann z. B. ein Unternehmen aus der Abfallbewirtschaftung (Anlage 2) über diesen Weg in die bwE-Kategorie fallen, obwohl die reine Größenbetrachtung das nicht hergäbe. Die offizielle Betroffenheitsprüfung des BSI gibt eine rechtlich nicht bindende erste Orientierung.

Welche Fristen gelten unter NIS2?

Die EU-Frist zur Umsetzung in nationales Recht lief am 17. Oktober 2024 ab. In Deutschland ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten. Betroffene Einrichtungen müssen sich ab Januar 2026 im neuen BSI-Portal registrieren. Für die laufenden Meldepflichten gelten gestaffelte Fristen: eine Frühwarnung an das BSI binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls, eine Vorfallmeldung mit erster Bewertung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Bei andauernden Vorfällen kommt eine Zwischenmeldung hinzu.

Welche Maßnahmen sind unter NIS2 vorgesehen?

NIS2 Artikel 21 nennt zehn Mindestmaßnahmen für das Risikomanagement: Konzepte für Risikoanalyse und Sicherheitsmaßnahmen für IT-Systeme, Bewältigung von Sicherheitsvorfällen (Incident Handling), Aufrechterhaltung des Betriebs einschließlich Backup-Management und Krisenmanagement, Sicherheit der Lieferkette, Sicherheit bei Beschaffung, Entwicklung und Wartung von IT-Systemen, Konzepte zur Bewertung der Wirksamkeit der Cybersicherheitsmaßnahmen, grundlegende Cyberhygiene und Schulungen, Kryptografie und Verschlüsselung, Personalsicherheit, Zugriffskontrolle und Asset-Management sowie der Einsatz von Multi-Faktor-Authentifizierung und gesicherter Sprach-, Video- und Textkommunikation. Die konkrete Ausgestaltung hängt von Größe, Sektor und Risikoexposition der Einrichtung ab. Eine Reifegradanalyse der Informationssicherheit ist ein typischer Ausgangspunkt, um Lücken zu diesen Anforderungen zu identifizieren.

Welche Sanktionen sieht NIS2 bei Verstößen vor?

Für besonders wichtige Einrichtungen sieht die Richtlinie Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (jeweils der höhere Wert) vor. Für wichtige Einrichtungen liegen die Bußgelder bei bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Daneben verankert NIS2 eine ausdrückliche Verantwortung der Geschäftsleitung für die Einhaltung der Cybersicherheitsanforderungen, die bei Sorgfaltspflichtverletzungen zu persönlicher Haftung führen kann. Die konkrete Höhe richtet sich nach Schwere, Dauer und Vorwerfbarkeit des Verstoßes, dem entstandenen Schaden und dem Kooperationsverhalten der Einrichtung. Die genaue Ausgestaltung der Bußgeldrahmen in Deutschland erfolgt durch das NIS-2-Umsetzungsgesetz.

Was unterscheidet NIS2 von der ursprünglichen NIS-Richtlinie?

NIS2 (Richtlinie (EU) 2022/2555) baut auf der ursprünglichen NIS-Richtlinie (2016/1148) auf und erweitert sie in mehreren Punkten substanziell: der Geltungsbereich wächst von sieben auf 18 Sektoren, aufgeteilt in besonders wichtige und wichtige Einrichtungen (in der EU-Richtlinie: “essential” und “important entities”). Die Adressatenlogik wechselt von “Betreibern wesentlicher Dienste” (NIS-1-Term) zu einer sektor- und größenbasierten Einteilung, die deutlich mehr Unternehmen erfasst. Die Mindestmaßnahmen (Artikel 21) sind konkreter und detaillierter, Meldefristen sind erstmals EU-weit einheitlich (24 h Frühwarnung, 72 h Vorfallmeldung, 1 Monat Abschlussbericht), und Sanktionen sind deutlich höher; die Geschäftsleitung kann persönlich haftbar gemacht werden. Die ursprüngliche NIS-1-Richtlinie (Richtlinie (EU) 2016/1148) wird damit vollständig abgelöst.

Von der Betroffenheit zur Umsetzung: NIS2-Begleitung durch SCHUTZWERK

Sowohl die NIS2-Richtlinie als auch das BSI empfehlen, die geforderten Cybersicherheits- und Risikomanagementmaßnahmen an anerkannten Standards auszurichten, in der Praxis typischerweise an IT-Grundschutz (BSI-Standards 200-1 bis 200-3) oder an der ISO/IEC-27000-Familie mit ISO/IEC 27001 als zentralem Rahmen für Informationssicherheits-Managementsysteme. SCHUTZWERK begleitet NIS2-betroffene Einrichtungen entlang dieser Standards mit zertifizierten ISO 27001 Lead Auditoren und langjähriger Erfahrung in Grundschutz- und ISMS-Projekten.

Ein typisches NIS2-Gesamtpaket umfasst vier aufeinander aufbauende Bausteine, die wir gemeinsam, oder einzeln, anbieten:

Betroffenheitsprüfung: kombinierte technisch-rechtliche Einschätzung der NIS2-Betroffenheit, auf Wunsch ergänzt um ein anwaltliches Gutachten durch unseren Fachanwaltspartner (siehe Abschnitt oben).
Standortbestimmung: bei größeren Einrichtungen eine breite Reifegradanalyse der Informationssicherheit über alle relevanten Sicherheitsbereiche; bei mittleren Einrichtungen mit Zertifizierungsziel ein ISO/IEC 27001 Audit durch unsere Lead Auditoren.
Technische Prüfung: gezielte Schwachstellenanalysen und Penetrationstests zur Validierung der eingeführten Sicherheitsmaßnahmen, zugeschnitten auf die jeweils betroffenen Systeme und Anwendungen.
Nachsorge und Umsetzungsbegleitung: Aufbau und Betrieb des Informationssicherheits-Managementsystem s (ISMS) inklusive laufender Beratung zu den Risikomanagement- und Meldepflichten aus der NIS2-Umsetzung.

Welche Bausteine in welcher Tiefe sinnvoll sind, hängt von Reifegrad, vorhandenen Strukturen und Zertifizierungsstrategie Ihres Hauses ab.

Unsere Dienstleistungen

Sicherheitsbewertungen

Unsere umfassenden Sicherheitsbewertungen helfen bei der Identifizierung von Lücken in Ihrer aktuellen Sicherheitsposition gegenüber NIS2-Anforderungen. Wir liefern detaillierte Einblicke und praktische Verbesserungsempfehlungen.

Risikomanagement

Wir unterstützen Sie bei der Entwicklung und Implementierung eines robusten Risikomanagementprozesses, der den NIS2-Anforderungen entspricht.

Schwachstellenanalysen

Durch eine breite Analyse von exponierten IT-Systemen identifizieren wir Schwachstellen, die als Einstiegspunkt für weiterführende Angriffe dienen können.

Penetrationstests

Unsere spezialisierten Penetrationstests helfen bei der Bewertung der Sicherheit Ihrer kritischen Systeme und identifizieren potenzielle Schwachstellen.

Incident Response

Wir helfen Ihnen bei der Entwicklung und Implementierung effektiver Incident-Response-Prozesse, die den NIS2-Anforderungen entsprechen.

Implementierungsansatz

Unser Ansatz zur NIS2-Implementierung verbindet technische Expertise mit praktischer Erfahrung in der Cybersicherheitsregulierung. Wir arbeiten eng mit Ihrem Team zusammen, um:

Ihre aktuelle Sicherheitslage gegen NIS2-Anforderungen zu bewerten
Eine maßgeschneiderte Implementierungs-Roadmap zu entwickeln
Die Implementierung erforderlicher Sicherheitsmaßnahmen zu unterstützen
Fortlaufende Beratung und Unterstützung bei der Aufrechterhaltung der Compliance zu bieten

Der erste Schritt: Reifegradanalyse

Für Unternehmen, die neu von NIS2 betroffen sind, empfehlen wir als ersten Schritt eine Reifegradanalyse der Informationssicherheit . Diese bietet einen umfassenden 360-Grad-Überblick über den aktuellen Stand Ihrer Cybersicherheit in allen relevanten Bereichen:

Steuerung und Organisation
Technik und Betrieb
Business Continuity Management und Notfallplanung
Physische Sicherheit
Vertragsbeziehungen
Weitere spezifische Bereiche nach Bedarf

Die Analyse hilft Ihnen, Ihre aktuelle Position gegenüber den NIS2-Anforderungen zu verstehen und zeigt auf, wo Investitionen und Verbesserungen am dringendsten benötigt werden. Das Ergebnis wird in übersichtlichen Spinnennetzdiagrammen visualisiert und mit konkreten Handlungsempfehlungen ergänzt.

Vorteile der Zusammenarbeit mit SCHUTZWERK

Bei der Partnerschaft mit SCHUTZWERK für die NIS2-Compliance profitieren Sie von:

Tiefgreifendem Verständnis sowohl der technischen Sicherheitsanforderungen als auch regulatorischer Frameworks
Praktischer Erfahrung bei der Implementierung von Cybersicherheitsmaßnahmen in verschiedenen Sektoren
Umfassenden Test- und Bewertungsfähigkeiten
Kontinuierlicher Unterstützung und Beratung während Ihrer Compliance-Reise
Unabhängiger und objektiver Sicherheitsexpertise

Unser Ziel ist es, Ihnen nicht nur bei der Erreichung der NIS2-Compliance zu helfen, sondern auch dauerhafte Cybersicherheitsfähigkeiten aufzubauen, die Ihre Organisation schützen und Ihre Geschäftsziele unterstützen. Für uns bedeutet effektive Cybersicherheit nicht nur die Erfüllung regulatorischer Anforderungen, sondern den Aufbau echter Resilienz gegen sich immer weiter entwickelnde Bedrohungen.

NIS2