THINK SAFE. THINK ICS.
NIS2 Beratung & Umsetzung
Wir zeigen Ihnen, ob Sie betroffen sind, wo Sie stehen und was konkret zu tun ist. Betroffenheitscheck, GAP-Analyse, ISMS, Pentesting und Schulungen – alles aus einer Hand für Ihre erfolgreiche NIS2-Umsetzung.
✔ Betroffenheitsprüfung
✔ Gap-Analyse
✔ ISMS & Umsetzung
✔ Technische Maßnahmen
Von der Analyse bis zur Umsetzung – NIS2 aus einer Hand.
Unsere NIS2 Beratung begleitet Unternehmen strukturiert von der ersten Einordnung bis zur Umsetzung der Anforderungen. Sie bekommen bei ICS einen durchgängigen NIS2-Fahrplan mit klaren Zuständigkeiten, messbaren Fortschritten und operativer Unterstützung.
Wie unterstützt ICS bei NIS2?
Kostenloser NIS2-Betroffenheitscheck
Wenn unklar ist, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt, ist die Betroffenheitsprüfung der erste Schritt. Wir prüfen Ihre Einordnung anhand von Branche, Unternehmensgröße und Rolle in der Lieferkette.
Ergebnis: Klare Einschätzung Ihrer Betroffenheit und Einordnung Ihrer Pflichten
NIS2-Reifegradbewertung & Gap Analyse
Die NIS2 Gap-Analyse zeigt, wo Ihr Unternehmen aktuell im Vergleich zu den Anforderungen steht. Wir analysieren bestehende Prozesse, Sicherheitsmaßnahmen und Strukturen und identifizieren konkrete Lücken, auch z. B. gegen ISO 27001, IEC 62443
Ergebnis: Strukturierte Übersicht über Ihren aktuellen Stand und priorisierte Maßnahmen
Begleitung bei ISMS-Einführung & -Betrieb
Für die Umsetzung der NIS2-Anforderungen unterstützen wir Sie beim Aufbau und der Weiterentwicklung eines ISMS sowie bei der Definition klarer Prozesse und Verantwortlichkeiten.
Ergebnis: Strukturierte Organisation Ihrer Informationssicherheit gemäß NIS2
NIS2 Schulung für Fachbereiche & Management
NIS2 fordert auch organisatorische Maßnahmen auf Management- und Mitarbeiterebene. Schulungen stellen sicher, dass Anforderungen verstanden und umgesetzt werden.
Ergebnis: Geschulte Mitarbeitende und klare Verantwortlichkeiten im Unternehmen
Penetration Testing & Schwachstellenanalyse
Neben organisatorischen Anforderungen sind technische Maßnahmen entscheidend. Dazu gehören unter anderem Penetrationstests und Schwachstellenanalysen zur Absicherung Ihrer Systeme.
Ergebnis: Identifizierte Schwachstellen und konkrete Maßnahmen zur Absicherung
Automatisierte Risikoanalyse mit SECIRA
Risiken müssen laufend bewertet, priorisiert und nachvollziehbar gesteuert werden. SECIRA hilft bei der strukturierten Risikoanalyse nach NIS2 und bildet die Grundlage für ein auditfähiges ISMS.
Ergebnis: Transparenter Überblick über Risiken und kontinuierliche Weiterentwicklung Ihrer Sicherheitsmaßnahmen
Ergebnisse der NIS2 Beratung
Im Rahmen der NIS2 Beratung erhalten Sie konkrete Ergebnisse, die direkt für die Umsetzung der NIS2-Anforderungen genutzt werden können:
Klare Einschätzung Ihrer Betroffenheit
Sie erhalten eine fundierte Einordnung, ob und in welchem Umfang Ihr Unternehmen unter die NIS2-Richtlinie fällt.
Strukturierte Gap-Analyse
Wir analysieren Ihren aktuellen Stand im Vergleich zu den NIS2-Anforderungen und identifizieren bestehende Lücken.
Konkrete Maßnahmen zur Umsetzung
Auf Basis der Analyse leiten wir konkrete und priorisierte Maßnahmen ab, die Sie direkt umsetzen können.
Unterstützung bei organisatorischen und technischen Maßnahmen
Wir begleiten Sie bei der Umsetzung, vom Aufbau eines ISMS bis hin zu technischen Sicherheitsmaßnahmen.
Grundlage für Nachweise und Prüfungen
Sie erhalten eine strukturierte Basis, um Anforderungen gegenüber Kunden, Partnern oder Behörden nachvollziehbar darzustellen.
Sind wir von NIS2 betroffen? Was müssen wir tun? Und wie gelingt das ohne endlosen Aufwand?
Viele Unternehmen stehen derzeit vor denselben Herausforderungen: Gilt die NIS2-Richtlinie oder der Cyber Resilience Act für uns? Welche konkreten Pflichten ergeben sich daraus? Und wie lassen sich diese sicher, effizient und praxisnah umsetzen?
Wir liefern Ihnen klare und verständliche Antworten, praxisnah erklärt, direkt umsetzbar und genau auf Ihre Situation zugeschnitten. Mit unserem kostenlosen Betroffenheits-Check und einer individuellen Beratung erhalten Sie genau die Unterstützung, die Sie für Ihre nächsten Schritte brauchen.
Die wichtigsten Fragen zur NIS2-Richtlinie verständlich erklärt
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie (EU 2022/2555) ist ein EU-weites Gesetz zur Stärkung der Cyberresilienz kritischer und wichtiger Einrichtungen. Im Vergleich zur bisherigen NIS1 ist sie deutlich umfassender, für weit mehr Unternehmen relevant, und mit strengeren Auflagen und höheren Bußgeldern verbunden.
In Deutschland wird NIS2 durch das NIS2UmsuCG umgesetzt, mit Inkrafttreten voraussichtlich 2025. Änderungen im Gesetzgebungsverfahren sind übrigens noch möglich.
Bin ich von NIS2 betroffen?
Die Betroffenheit richtet sich nach:
- Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme)
- Branche (gemäß Anhängen I & II der NIS2)
- Kritikalität der Dienstleistung
Typische Schwellenwerte:
|
Einrichtung |
Mitarbeitende |
Umsatz + Bilanzsumme |
|
Besonders wichtig |
≥ 250 |
> 50 Mio. € & > 43 Mio. € |
|
Wichtig |
≥ 50 |
> 10 Mio. € & > 10 Mio. € |
Welche Branchen sind von NIS2 betroffen?
Kritische Versorgungsinfrastruktur
• Energie
• Wasser/Abwasser
• Abfall
• Banken/Versicherungen
• Verkehr
• Kommunen
Gesundheit und öffentliche Verwaltung
• Gesundheitswesen
• Verwaltung
• Justiz
• Hochschulen
Digitale Infrastruktur und IT-Dienstleistungen
• IT-Dienstleister
• Cloud
• Hosting
• Rechenzentren
• Digitalisierung
Industrie und produzierende Wirtschaft
• Maschinenbau
• Lebensmittel
• Chemie
• Pharma
• Raumfahrt
Welche Pflichten gelten nach Inkrafttreten?
Wichtig: Die Pflichten aus der NIS2-Richtlinie greifen nicht erst nach einer offiziellen Prüfung oder behördlichen Einstufung, sondern ab dem Zeitpunkt, an dem ein Unternehmen objektiv als „betroffen“ gilt. Jedes betroffene Unternehmen muss sich aktiv mit Informationssicherheit beschäftigen.
Auch wenn bereits ein ISMS (Informationssicherheits-Managementsystem) vorhanden ist, kann es sein, dass zusätzliche Maßnahmen nötig sind – zum Beispiel, wenn das ISMS nur einen Teilbereich abdeckt. Denn: NIS2 gilt für das gesamte Unternehmen und schreibt verbindliche Sicherheitsmaßnahmen vor.
|
Maßnahme |
Frist |
|
Registrierung beim BSI |
3 Monate |
|
Umsetzung technischer Maßnahmen |
21 Monate |
|
Betriebsbereitschaft (ISMS, SOC, etc.) |
24 Monate |
Was passiert wenn man sich nicht an NIS2 hält?
Die NIS2-Richtlinie sieht deutlich höhere Bußgelder vor als die bisherige NIS-Richtlinie. In Deutschland könnten diese laut Umsetzungsgesetz wie folgt ausfallen:
Bußgelder:
Die NIS2-Richtlinie sieht deutlich höhere Bußgelder vor als die bisherige NIS-Richtlinie. In Deutschland könnten diese laut Umsetzungsgesetz wie folgt ausfallen
Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist), insbesondere für wesentliche Einrichtungen bei groben Verstößen.
Haftung von Geschäftsleitungen:
Die Richtlinie nimmt Führungskräfte explizit in die Pflicht. Bei Nichteinhaltung drohen persönliche Haftungsrisiken, z. B. wegen Organisationsverschulden (§ 130 OWiG).
Verlust von Aufträgen oder Zulassungen:
Unternehmen, die nicht NIS2-konform arbeiten, könnten:
- Ausschreibungen oder Zertifizierungen verlieren
- Kooperationspartner oder Kunden verlieren, die selbst NIS2-pflichtig sind und Konformität einfordern
Was muss bei NIS2 gemacht werden?
- Multi Factor Authentifizierung & Zugriffsmanagement
- Verschlüsselung & Netzsegmentierung
- Schwachstellenmanagement & Patching
- Awareness-Trainings
- ISMS nach ISO 27001
- Lieferkettensicherheit
- Business Continuity / Disaster Recovery
- ggf. Security Operation Center (SOC)
Meldepflichten:
- 24h: Erstmeldung
- 72h: Statusbericht
- 30 Tage: Abschlussbericht mit Ursachenanalyse
Wie müssen die Nachweispflichten und Prüfanforderungen der NIS2 erfüllt werden?
- Managementverantwortung für Cybersicherheit
- Dokumentation & Prüfbarkeit gegenüber Behörden
- Anordnung & Durchführung von Prüfungen durch das BSI
~ 80%
der Unternehmen bzw. Entscheidungsträger berichten von Schwierigkeiten bei der Einhaltung regulatorischer Compliance-Vorgaben.
~ 60%
der Unternehmen geben an, dass ihre manuellen Prozesse nicht mehr ausreichen, um die stätig steigenden Anforderungen zu genügen.
~ 2%
des Jahresumsatzes zahlen Unternehmen bei Verstößen gegen Compliance-Vorgaben, zusätzlich drohen erhebliche Reputationsschäden.
Was ist der Cyber Resilience Act (CRA)?
Der CRA betrifft Hersteller und Anbieter digitaler Produkte. Er fordert, dass Produkte "secure by design" entwickelt, getestet und dokumentiert werden – inkl. Schwachstellenmanagement und Updateprozessen.
Schnittstelle zu NIS2:
Betreiber nach NIS2 und Hersteller nach CRA sind gleichermaßen gefordert, sicherheits- und risikobasiert zu handeln. Dazu gehören unter anderem ein wirksames Sicherheitsmanagement (ISMS), regelmäßig durchgeführte Risikoanalysen, eine nachvollziehbare technische Dokumentation sowie, im Fall von Herstellern, Produktnachweise zur Sicherheit digitaler Komponenten. Ziel ist es, Cyberrisiken systematisch zu identifizieren, geeignete Schutzmaßnahmen umzusetzen und die Einhaltung gesetzlicher Anforderungen nachweisbar zu machen.