Europäische NIS-2-Richtlinie

Betroffenheitsanalyse

Die Behörden teilen Ihnen nicht mit, ob Ihr Unternehmen von NIS-2 betroffen ist. Ihr Unternehmen oder Ihre Institution muss sich selbst anhand der Kriterien beurteilen, die sowohl Branchenelemente als auch Größenüberlegungen beinhalten. Wenn eine Organisation mit einem großen Marktanteil in einem bestimmten Sektor „wichtig“ ist, kann sie aufgrund ihrer Größe sogar als „wesentlich“ eingestuft werden.

Mehr erfahren

Gap Assessment mit Roadmap
 

Zunächst klären wir Betroffenheit und Scope, sichten relevante Unterlagen und planen Interviews sowie Onsite-Begehungen. Wir prüfen nach Ihren Bedürfnissen (organisatorisch und technisch) systematisch gegen NIS-2, orientiert an ISO/IEC 27001 und BSI IT-Grundschutz. Daraus leiten wir konkrete Handlungsfelder ab, strukturieren Lücken in einer Gap-Liste und priorisieren Maßnahmen nach Risiko, Wirkung und Aufwand – inklusive Quick Wins, Verantwortlichkeiten, Zeitplan und Ressourcen. Ergebnis sind eine verständliche Reifegraddarstellung und eine umsetzbare Roadmap. Den Abschluss bilden Management/Board Briefings zu Pflichten, Haftung und Sanktionen mit klaren Next Steps; auf Wunsch begleiten wir die Umsetzung mit PMO und bereiten interne Audits vor.

Vorgehen und Ergebnisse:

• Kickoff: Betroffenheit, Scope, Ziele und Bewertungskriterien
• Dokumentensichtung: Policies, Prozesse, Verträge und SLAs
• Interviews und Onsite-Begehungen: IT/OT, Fachbereiche, Dienstleister
• Bewertungsrahmen: Readiness Check und vollumfängliche Gap-Analyse nach NIS-2 (orientiert an ISO/IEC 27001, BSI IT-Grundschutz)
• Prüfobjekte: Governance, Rollen/Eskalation, ISMS, Risikoanalyse inkl. Business Impact, Incident Management und behördliche Meldewege, Lieferketten/Third-Party-Risiken, Netzwerksicherheit, IAM/PAM, Logging/Monitoring, Vulnerability und Patch Management, Verzahnung mit BCM/KAEP
• Ergebnisse: Reifegrad-Heatmap, Gap-Liste, priorisierte Maßnahmen (Risiko/Wirkung/Aufwand), Quick Wins
• Roadmap: Verantwortlichkeiten, Zeitplan, Ressourcen und grobe Investschätzung
• Management/Board Briefings: Pflichten, Haftung, Sanktionen und klare Next Steps
• Optionale Unterstützung: PMO/Umsetzungsbegleitung, interne Audits und Post-Audit-Maßnahmenmanagement

Gilt die NIS-2-Richtlinie für Ihre Organisation?
Finden Sie es mit unserem Scoping-Tool heraus.

NIS-2 Compliance der EU
 

Die EU-Mitgliedstaaten setzen NIS-2 unterschiedlich streng um – insbesondere in Bezug auf nationale Anforderungen, Bußgelder und Ausnahmeregelungen. Viele Unternehmen mit mehreren EU-Entities stehen daher vor der Frage, wie sie Compliance einheitlich, kosteneffizient und realistisch terminierbar erreichen. Wir unterstützen Sie mit einer umfassenden Betroffenheitsanalyse für all Ihre EU-Entities. Dabei identifizieren wir, welche Entities in welchen Ländern NIS-2-Pflichten erfüllen müssen, führen für jede dieser Entities ein Gap-Assessment durch und entwickeln eine harmonisierte, konsolidierte Roadmap. So erreichen Sie die Einhaltung der Anforderungen mit minimalem Aufwand, optimierten Kosten und in möglichst kurzer Zeit.

NIS-2-Implementierung
 

Sie sind von NIS-2 betroffen und haben ein Gap Assessment durchgeführt – und nun? Die Herausforderung ist, Lücken strukturiert, risikobasiert und effizient zu schließen. Wir setzen genau dort an: Auf Basis Ihrer Roadmap und ENISA-Empfehlungen priorisieren wir Maßnahmen und verankern sie in einem wirksamen ISMS. Dabei orientieren wir uns an ISO/IEC 27001 (inklusive AnnexAKontrollen) und BSI-IT-Grundschutz (zum Beispiel ORP, CON, DER, OPS, NET, SYS) – für belastbare Governance, klare Verantwortlichkeiten und prüfbare Kontrollen. Wir etablieren Richtlinien und Prozesse, professionalisieren Risiko und Lieferkettenmanagement, richten Monitoring/Logging, Incident Response und Meldewege an Behörden ein und stärken Awareness sowie Business Continuity/Disaster Recovery. Ergebnis: NIS-2-Compliance, erhöhte Resilienz und ein messbar höherer Sicherheitsreifegrad – praxisnah und kosteneffizient. 

Dazu gehören unter anderem:

• Governance- und Verantwortlichkeitsstrukturen (RACI, Rollen wie ISB/CISO)
• Policy-Framework und Prozesslandkarte nach ISO/IEC 27001 und BSI IT-Grundschutz
• Technische Maßnahmen: Monitoring, Logging, Schwachstellen- und Patch-Management, Incident Response, Reporting
• Lieferketten- und Dienstleistermanagement inklusive Due Diligence und Vertragsklauseln
• Awareness- und Trainingsprogramm für Mitarbeitende und Management Business Continuity und Disaster Recovery inklusive Übungen und Lessons Learned
• KPI/KRI-gestütztes Reporting an Management, Aufsicht und Behörden

Werkzeuge und Templates:

• NIS-2 ↔ ISO/IEC 27001 ↔ BSI ITG-rundschutz Mapping-Matrix und Kontrollkatalog
• ISMS-Dokumentsatz (Policies, Standards, SOPs, Playbooks) nach ISO/IEC 27001 und BSI 2001/2002
• Risikoanalyse: Methodik und Vorlagen (ISO/IEC 27005, BSI 2003) inkl. Maßnahmen-Backlog und Priorisierung
• Incident und Melde-Playbooks, behördliche Meldetemplates und Kommunikationsleitfäden
• Lieferketten-Assessment-Checklisten (Onboarding, Überwachung, Rezertifizierung)
• KPI/KRI-Dashboard und Audit-Vorbereitungsset

Mehr zum Definieren von Zuständigkeitsbereichen:

NIS-2 verlangt ein verstärktes Risikomanagement und Resilienz. Wir verankern klare Verantwortungen (zum Beispiel Managementpflichten, ISB/CISO, Risikoeigner) und etablieren geeignete Maßnahmen in Bereichen wie Störungs- und Incident Management, Lieferketten-Security, Netzwerksicherheit, Zugriffskontrollen und Verschlüsselung – abgeleitet aus ISO/IEC 27001 Annex A und den BSI-IT-Grundschutz-Bausteinen. So werden Prävention, Detektion und Reaktion ganzheitlich gesteuert und nachweisbar.

Mehr zum Einrichten der Meldepflichten:

Organisationen benötigen Verfahren, die eine frist- und formgerechte Meldung sicherstellen.

Wir richten den mehrstufigen Meldeweg ein:

1. Frühwarnung (erste Einschätzung),
2. Incident-Benachrichtigung (Details und Auswirkungen),
3. Zwischen-/Fortschrittsberichte,  
4. Abschlussbericht. Kriterien für „erhebliche“ Vorfälle und Rollen (IT/OT, ISB/CISO, Datenschutz, Legal, Kommunikation) werden verbindlich festgelegt.

Für Betreiber kritischer Infrastrukturen können zusätzliche Angaben gefordert sein. Wir helfen bei Schwellenwerten, Triage, behördengerechter Dokumentation und der reibungslosen Einbindung von Datenschutz und Rechtsabteilung – ohne die Fristen zu gefährden.

NIS-2-Pflichtschulung für die Geschäftsführung
 

Die Führungskräfte in Ihrem Unternehmen müssen gemäß § 38 BSIG-E mit den Anforderungen der Richtlinie und den Maßnahmen zum Risikomanagement vertraut sein. Sie sind direkt dafür verantwortlich, dass Cyberrisiken erkannt und angegangen werden und dass die Anforderungen erfüllt werden.

Wir bieten Leadership-Trainings in den folgenden Formaten an:

• Intensiv-Workshop (1–2 Tage): Unsere NIS-2-Expert:innen erarbeiten gemeinsam mit Ihren relevanten Stakeholdern die technischen und organisatorischen Anforderungen der Richtlinie im Detail. Zusätzlich entwickeln wir eine erste Evaluierung Ihrer Cyber-Security-Landschaft (inklusive OT-Sicherheit) und geben Ihnen direkt im Anschluss einen klaren Überblick über den Status quo.  
• Kompakt-Training (halber Tag): In diesem Format sensibilisieren wir Ihre C-Level und Entscheider für die Anforderungen, strategischen Implikationen, Pflichten und Risiken der NIS-2-Richtlinie – prägnant und praxisorientiert.  
• Remote-Workshop (verteilte Schulung): Nach einem einstündigen Kick-Off mit den zentralen Informationen zu NIS-2 sowie den daraus entstehenden Pflichten für Ihre Organisation und deren Geschäftsleitung befähigen wir alle relevanten Stakeholder in vier 30-minütigen Remote-Sessions zu Risikomanagementmaßnahmen und deren Bewertung. Für maximalen Lerneffekt bieten wir abschließend zwei halbstündige Q&A-Sessions an.

NIS-2 – externe Informationssicherheitsbeauftragte
 

Als externer Informationssicherheitsbeauftragter begleiten wir Ihr Unternehmen ganzheitlich bei der NIS‑2‑Umsetzung. Wir etablieren klare Governance, definierte Verantwortlichkeiten und schlanke Entscheidungswege. Darauf aufbauend entwickeln, betreiben und verbessern wir ein wirksames ISMS – inklusive Richtlinien, Leitlinien und prüfbaren Kontrollen. Risiken werden strukturiert identifiziert, bewertet und über priorisierte Maßnahmenpläne gesteuert; Lieferketten und OT werden mitbetrachtet. Wir richten robuste Prozesse für Incident‑Handling und behördliche Meldungen ein und befähigen Führungskräfte in ihren Pflichten. Regelmäßiges Reporting, KPI/KRI‑basierte Transparenz und Auditreife sichern die Nachweisfähigkeit gegenüber Management, Aufsicht und Behörden. Das Ergebnis: belastbare Resilienz, Compliance und nachhaltig verankerte Informationssicherheit.

Übergeordnete NIS‑2 Leistungen (externer ISB):

• NIS‑2 Gap‑Assessment und Umsetzungsroadmap
• Governance‑Design, Rollen und Verantwortlichkeiten
• ISMS‑Aufbau, Betrieb und Weiterentwicklung (ISO 27001/NIS‑2)
• Vorbereitung auf Zertifizierungen
• Policy‑Framework, Prozesslandkarte und Dokumentation
• Risiko‑ und Kontrollmanagement inkl. Lieferkettenrisiken
• Security Incident Management und Meldeprozesse an Behörden
• Awareness‑ und Management‑Schulungen zu NIS‑2‑Pflichten
• Priorisierung technischer und organisatorischer Maßnahmen (TOMs)
• KPI/KRI, Compliance‑Reporting und Gremienkommunikation
• Auditvorbereitung und Prüfungsbegleitung
• Krisen‑ und Business‑Continuity‑Management, Übungen
• Stakeholder‑Koordination (IT, OT, Fachbereiche, Dienstleister)

Technische NIS-2-Unterstützung
 

Wir übersetzen NIS-2 in wirksame technische Maßnahmen – strukturiert, priorisiert und nachweisbar. Ausgehend von einer technischen Readiness-Analyse entwickeln wir ein Zielbild der SecurityA-rchitektur und ein umsetzbares Maßnahmen-Backlog. Wir härten Systeme und Endpunkte, segmentieren Netzwerke, prüfen Firewalls und verbessern Identitäten und Berechtigungsmodelle. Für Cloud, Container und AD schaffen wir belastbare Sicherheitsstandards. Gleichzeitig etablieren wir Logging, Monitoring und Use Cases, bereiten SIEM/SOC vor und testen die Wirksamkeit mit EDR/XDRChecks und Angriffssimulationen. Kontinuierliches Vulnerability Management, Patch Management und Penetrationstests schließen Lücken effizient. Incident Detection und behördliche Melde und Eskalationskonzepte werden integriert. Wir liefern technische Evidenzen, ReTesting und Management-Dashboards – bis hin zu koordinierten Managed Technical Security Services.

Technische Leistungsbausteine (Auszug):

• Secure Architecture Review und Security-Architecture-Zielbild
• Netzwerksicherheitsanalyse, Netzwerksegmentierungs-Analyse, Firewall & Regelwerks-Review
• System/Server Hardening Reviews, Secure Configuration Baseline Review, Client/Endpoint Security Assessment
• Active Directory Security Review, Identity & Access Management Review, Privileged Access Management Review
• Cloud Security Assessment (IaaS/SaaS), Container & Kubernetes Security Review, Backup & Recovery Security Review
• Logging & Monitoring Assessment, SIEM und SOC Readiness Checks, Detection Use Case Analyse
• EDR/XDR-Wirksamkeitsprüfung und Incident-Detection-Tests
• Schwachstellenanalysen intern/extern, kontinuierliches Vulnerability Management, Patch Management Review
• Penetrationstests (Infrastruktur, Web, API, Mobile), Red- und Purple-Team-Übungen, Angriffssimulationen entlang von Kill Chains
• OT- und IoT-Security-Assessments
• Incident-Management-Prozessdesign, Melde und Eskalationskonzepte gemäß BSI
• Technisches Maßnahmen-Mapping auf NIS-2, technische Evidenz/Nachweiserstellung, ReTesting & Wirksamkeitsnachweise
• Security Tool Landscape Review, Zero Trust Readiness Check, Threat Modeling Workshops
• Technisches Management Reporting & Dashboards sowie Managed Technical Security Services (koordiniert)