NIS-2 Beratung– rechtskonform, effizient, praxisorientiert

Unsere NIS‑2 Beratung hilft Ihnen dabei, Ihre IT-Sicherheit gesetzeskonform aufzustellen – mit GAP-Analyse, Maßnahmenplan und technischer Umsetzung. Individuell. Verständlich. Zukunftssicher.

Jetzt kostenlose Erstberatung vereinbaren

Was ist NIS-2?

NIS-2 ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Systems Directive 2), die darauf abzielt, die Cybersicherheit und Resilienz kritischer Infrastrukturen und digitaler Dienstleister in der Europäischen Union zu stärken. Die neue EU-Richtlinie NIS-2 läutet eine neue Ära der Cybersicherheit ein. Als IT-Sicherheitsberatung stehen wir an Ihrer Seite, um diese komplexen Anforderungen zu meistern. Unsere langjährige Erfahrung und unser tiefgreifendes Verständnis für IT-Sicherheitsthemen machen uns zum idealen Partner für Ihre digitale Sicherheit. Wir sind Ihr kompetenter Partner für eine Beratung zu NIS-2.

Warum NIS-2 für Sie von entscheidender Bedeutung ist

NIS-2 setzt neue, weitreichende Maßstäbe für die Cybersicherheit in der Europäischen Union.

Der Kreis der betroffenen Unternehmen ist im Vergleich zu NIS deutlich gewachsen. Ohne Umsetzung droht Ihrem Unternehmen:

  • Störung des Geschäftsbetriebs durch Sanktionen
  • Unterbrechung von Lieferketten aufgrund von fehlender Compliance
  • Langfristiger Imageschaden 

 

Wir unterstützen Sie, dass es nicht soweit kommt und helfen Ihnen dabei, Ihr Unternehmen zukunftssicher aufzustellen.

Jetzt kostenlose NIS-2-Erstberatung anfordern

Was müssen NIS-2 betroffene Organisationen und Unternehmen tun?

Als betroffenes Unternehmen müssen Sie eine Reihe von Maßnahmen ergreifen. Wir begleiten Sie bei jedem Schritt:

Maßnahmen zum Risikomanagement
Um Ihre Informationssicherheit und Handlungsfähigkeit im Falle von digitalen Attacken oder Ausfällen zu gewährleisten, fordert NIS-2 die Umsetzung von diversen Cybersecurity-Maßnahmen von Ihnen. Zu den geforderten Maßnahmen gehören unter anderem die Punkte:

    • Management von Vorfällen (Incident Management)
    • Management der Geschäftskontinuität (BCM)
    • Sicherheit der Lieferkette
    • Physische Zugangskontrolle
    • Sensibilisierung und Schulung
    • Personal Sicherheit
    • Kommunikation
    • Kryptographie
    • Vermögensverwaltung (Asset Management)

Persönliche Haftung, Bußgelder und Dokumentationspflicht unter NIS-2

NIS-2 ist in Deutschland nicht nur ein IT-Thema. Das Gesetz macht Cybersicherheit zur Führungsaufgabe und verknüpft Pflichten mit Haftung, Sanktionen und Nachweispflichten.

Persönliche Haftung der Geschäftsleitung

Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen muss die erforderlichen Risikomanagementmaßnahmen umsetzen und deren Umsetzung überwachen.

Zusätzlich ist vorgesehen, dass Managementverantwortliche über ausreichendes Wissen verfügen müssen. NIS-2 verlangt, dass die Leitungsebene regelmäßig Schulungen besucht und dies dokumentiert.

Wenn diese Pflichten verletzt werden und dadurch ein Schaden entsteht, ist die Geschäftsleitung gegenüber der eigenen Einrichtung nach den Regeln des Gesellschaftsrechts oder des BSI-Gesetz – BSIGI haftbar.

Bußgelder und Sanktionen

Bei Verstößen gegen zentrale Pflichten sieht das deutsche BSI-Gesetz Bußgelder vor, die zwischen besonders wichtigen und wichtigen Einrichtungen unterscheiden.

  • Besonders wichtige Einrichtungen: Bußgelder bis zu 10 Millionen Euro .
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro.
  • Für Unternehmen ab 500 Millionen € Gesamtumsatz betragen Bußgelder bis zu 2 Prozent (besonders wichtige) bzw. 1,4 Prozent (wichtige) des weltweiten Gesamtumsatzes.

Diese Sanktionslogik entspricht auch den Mindestvorgaben der NIS-2-Richtlinie.

Dokumentationspflicht

NIS-2 verlangt nicht nur Maßnahmen, sondern auch Nachweisbarkeit. Das BSI-Gesetz schreibt ausdrücklich vor, dass alle Maßnahmen des Risikomanagement zu dokumentieren sind. 
Dank einer sorgfältigen Dokumentation, kann nicht nur die Umsetzung von NIS-2 nachgewiesen werden, sondern sichert die Geschäftsleitung gegen mögliche Schadenersatzforderungen ab.

Sie wissen nicht, ob Sie betroffen sind? Wir beraten sie in einem Erstgespräch unverbindlich und kostenfrei.

Jetzt kostenlose NIS-2-Erstberatung anfordern

Wann tritt NIS-2 in Kraft und bis wann ist eine Anmeldung erforderlich?

Die europäische NIS-2-Direktive ist bereits auf EU-Ebene in Kraft. Die Mitgliedstaaten waren verpflichtet, die Vorgaben bis zum 17. Oktober 2024 in nationales Recht zu überführen.

In Deutschland ist das nationale Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Seit diesem Zeitpunkt gelten die gesetzlichen Anforderungen unmittelbar für betroffene Unternehmen. Der Stichtag war nur für zu diesem Zeitpunkt betroffene Unternehmen relevant. 

Stichtag zur Registrierung beim BSI

Unternehmen, die als wesentliche oder wichtige Einrichtung unter NIS-2 fallen, sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren.

Die Registrierung musste innerhalb von drei Monaten nach Inkrafttreten erfolgen, also spätestens bis zum 6. März 2026.

Die Anmeldung erfolgte über das BSI-Portal. Erfolgte die Registrierung nicht fristgerecht, drohten aufsichtsrechtliche Maßnahmen und Bußgelder.

Termin zur Registrierung verpasst?

Sollte die Registrierung beim BSI nicht fristgerecht erfolgt sein, bedeutet das nicht automatisch unmittelbare Sanktionen. Allerdings kann die Aufsichtsbehörde Maßnahmen ergreifen, um die Registrierung durchzusetzen. Neben möglichen Bußgeldern wegen fehlender Compliance kann auch ein Zwangsgeld von bis zu 100.000 Euro verhängt werden, um die Registrierung zu erzwingen.

Entscheidend ist daher, die Situation schnell zu klären. In vielen Fällen besteht zunächst Unsicherheit darüber, ob ein Unternehmen tatsächlich unter die NIS-2-Regelung fällt oder als wesentliche beziehungsweise wichtige Einrichtung eingestuft wird.

Eine strukturierte Betroffenheitsanalyse schafft hier Klarheit. Sie hilft dabei, die eigene Einstufung nachvollziehbar zu dokumentieren, regulatorische Risiken zu bewerten und die nächsten Schritte gegenüber Behörden und Management sauber vorzubereiten.

Wir können Ihnen bei der Betroffenheitsanalyse helfen und mit Ihnen klären, wie Sie weiter vorgehen sollten.

Was bedeutet das für Geschäftsleitung und IT-Verantwortliche?

Die regulatorischen Inhalte sind verbindlich. Die Registrierung ist nur ein formaler Schritt. Entscheidend ist der Aufbau belastbarer Sicherheitsstrukturen, dokumentierter Risikoprozesse und klarer Governance-Verantwortlichkeiten.

NIS-2 ist keine kurzfristige Compliance-Maßnahme. Es handelt sich um eine strukturelle Anpassung der Informationssicherheitsorganisation mit direkter Managementverantwortung.

Weche Unternehmen sind von NIS-2 betroffen?

Icon Dartscheibe BWS Consulting Group
Jetzt kostenlose NIS-2-Erstberatung anfordern

1. In Abhängigkeit von Anzahl der Mitarbeiter, Umsatz und Jahresbilanzsumme Einrichtungen aus den Sektoren

  • Energie
  • Transport und Verkehr
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Digitale Infrastruktur
  • Weltraum
  • Abfallbewirtschaftung
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

2. Unabhängig von der Größe Betreiber kritischer Anlagen (BSI-Kritisverordnung). Das BSI definiert folgende Sektoren

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfallentsorgung

Unsere IT-Sicherheitsexperten unterstützen Sie bei der Analyse, ob und in welchem Umfang Ihr Unternehmen von NIS-2 betroffen ist. Basierend auf dieser Analyse entwickeln wir eine maßgeschneiderte Strategie, um Sie NIS-2-konform zu machen. Außerdem bietet das BSI hier eine Betroffenheitsanalyse an.

Vorhandene ISMS, nach ISO27001, TISAX®*-Assessment oder IT-Grundschutz können zur Erfüllung von NIS-2 eingebracht werden.

Warum NIS-2 Beratung durch die BWS Group?

  • Verständlich & strukturiert: Wir erklären die Anforderungen klar – auch für Nicht-Techniker
  • Effizient & pragmatisch: Von GAP-Analyse bis Maßnahmenplan – alles aus einer Hand
  • Rechtssicher & aktuell: Immer auf dem neuesten Stand
  • Individuell & partnerschaftlich: Beratung, die zu Ihrer Organisation passt

Soll-Ist-Vergleich (GAP-Analyse)

Wir identifizieren die Lücken zwischen Ihrer aktuellen Sicherheitsstrategie und den Anforderungen der NIS-2.

NIS-2-Mapping

Wir identifizieren exakt, wo Ihr Unternehmen in Bezug auf NIS-2-Anforderungen steht. Wir prüfen die Controls aus bereits vorhandenen ISMS nach ISO 27001:2022, BSI-Grundschutz oder KRITIS. So können Sie bestehende Strukturen nutzen und doppelte Arbeit vermeiden.

Umfassende Risikoanalyse

Unsere detaillierte Risikoanalyse deckt potenzielle Risiken auf und priorisiert notwendige Maßnahmen.

Strategischer Maßnahmenplan

Wir entwickeln einen klaren, zeitlich strukturierten Plan zur Umsetzung aller erforderlichen Maßnahmen.

ISMS-Implementation und Dokumentation

Wir unterstützen Sie bei der Einführung oder Anpassung Ihres Informationssicherheitsmanagementsystems und erstellen alle notwendigen Dokumentationen.

Professionelle Prüfungsvorbereitung und -begleitung

Unsere Experten bereiten Sie optimal auf anstehende Prüfungen vor und stehen Ihnen während des gesamten Prozesses zur Seite.

Kundenstimmen

Mit der BWS Consulting haben wir einen strategisch wichtigen Partner an unserer Seite, der uns mit umfangreicher Expertise in den Bereichen der Cybersecurity und unserer ISO 27001-Zertifizierung unterstützt. Die Zusammenarbeit ermöglicht es uns, die Sicherheit unserer Energieversorgungsnetze auf höchstem Niveau zu gewährleisten. Besonders schätzen wir die maßgeschneiderten Lösungen und die proaktive Unterstützung bei der Umsetzung stetig komplexer werdender Anforderungen.
- mycity/Stadtwerke Uelzen GmbH

Die Zusammenarbeit mit der BWS Consulting Group ist stets vertrauensvoll und zielgerichtet. Unsere Anforderungen werden zuverlässig und mit viel Sorgfalt umgesetzt. Besonders hervorzuheben ist der regelmäßige Austausch, bei dem neue Herausforderungen und mögliche Anpassungen direkt gemeinsam besprochen werden. Wir fühlen uns gut hervorragend betreut und schätzen die professionelle und lösungsorientierte Unterstützung, die die BWS Consulting Group uns bietet.
- Nordzucker AG

Die Zusammenarbeit mit der BWS Group in den letzten Jahren war immer verbunden mit einer offenen Kommunikation und lösungsorientierter Projektarbeit. Wir freuen uns auch in den nächsten Jahren mit aktuellen Herausforderungen im Austausch und in Augenhöhe zusammen zu arbeiten.
- WiBU Wirtschaftsbund Sozialer Einrichtungen eG



Die Zusammenarbeit mit der BWS Consulting Group GmbH gestaltet sich absolut partnerschaftlich und auf Augenhöhe. Besprochene Anforderungen werden fristgerecht und zu unserer vollsten Zufriedenheit umgesetzt. In regelmäßigen Abstimmungsrunden wird der aktuelle Stand besprochen und auf evtl. Anpassungen wird umgehend reagiert. Wir sind sehr zufrieden und schätzen den kompetenten Austausch mit unseren Ansprechpartnern.
- Wandt Spedition Transportberatung GmbH

Die BWS hat uns bei der Entwicklung unserer Lademanagement-Software „CUBOS.Connect“ unterstützt. Eine schnelle Umsetzung, die Einbindung von .Net Framework, Java und Azure wie auch das aktive gestalten von Funktionen der Stackholder wurden zuverlässig betreut und umgesetzt. Wenn es sich um Internettechnologie handelt, würden wir jederzeit wieder auf die BWS setzen.
- CUBOS Service GmbH

oncap hat uns geholfen Besucher pragmatisch, schnell und unkompliziert zu empfangen und auch die Anforderungen aus Informationssicherheit und Datenschutz umzusetzen. Mit Hilfe der BWS konnten wir uns immer erfolgreich auf Informationssicherheits-Audits vorbereiten. Das darüber hinausgehende Angebot von Pen-Tests für die IT kann sich ebenfalls sehen lassen!
- TRIOLOGY GmbH

Ihre Vorteile mit der BWS Group

  • 15 Jahre Erfahrung in Informationssicherheit
  • Informationssicherheit, Datenschutz, Compliance & Pentest-Projekte aus einer Hand
  • Technisches & rechtliches Know-how
  • DSGVO-konform & praxisorientiert
Jetzt kostenlose NIS-2-Erstberatung anfordern

Unser Team und seine Zertifikate

Unsere Berater aus dem Bereich Informationssicherheit bilden sich kontinuierlich weiter. Damit wollen wir für Sie die beste Qualität zu aktuellen Normen und Standards abliefern. Unsere ISMS-Berater und Pentester haben folgenden Schulungen absolviert und folgende Zertifikaten erreicht.

Zertifikate und Schulungen:

  • NIS-2 Experte (NIS-2-Umsetzung: die Anforderungen der EU-Richtlinie in der Praxis erfüllen)
  • Ethical Hacking Foundation
  • eJPT – Junior Penetration Tester 
  • ISO/IEC 27001 Lead Auditor 
  • ISO/IEC 27001 Lead Implementer
  • ITSiBe/ CISO nach ISO/IEC 27001 und BSI IT-Grundschutz 
  • EXIN Information Security Foundation based on ISO/IEC 27001
  • IT-Risk Manager gemäß ISO 31000, ISO 27005 und BSI IT-Grundschutz
  • Business Continuity Manager gemäß ISO 22301, ISO 27031 und BSI IT-Grundschutz
  • Kritische Infrastrukturen gem. ISO/IEC 27001 und 27019
  • BSI BCM-Praktiker
  • KRITIS-Beauftragter – Beauftragter für den Schutz Kritischer Infrastrukturen in Unternehmen und Verwaltungen
  • Foundation Examination TISAX®* Assessment
  • Datenschutzbeauftragter nach DSGVO und BDSG
  • Zusätzliche Prüfverfahrenskompetenz für § 8a (3) BSIG
  • ICS Security Manager gemäß IEC 62443, ISO 27001 und BSI IT-Grundschutz

FAQ zum NIS-2 Umsetzungsgesetz

Hier finden Sie häufige Fragen, die uns oft gestellt werden.

?

Jedes Unternehmen muss eigenständig überprüfen ob es zu dem Kreis der NIS-2 betroffenen Unternehmen gehört. Es erfolgt keine Information durch offizielle Stellen. Maßgeblich sind Branche, Unternehmensgröße und Rolle innerhalb einer kritischen Lieferkette.

Viele Unternehmen gehen fälschlicherweise davon aus, dass nur klassische KRITIS-Betreiber betroffen sind. NIS-2 erweitert den Kreis deutlich.

Eine strukturierte Betroffenheitsanalyse schafft hier Klarheit und dokumentiert Ihre Einstufung gegenüber Behörden.

Die Geschäftsleitung muss Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen. Zusätzlich ist die Geschäftsleitung in der Pflicht regelmäßig an Schulungen teilzunehmen, um dem Risikomanagement nachkommen zu können. 

Cybersicherheit wird damit zur Governance-Aufgabe. Bei unzureichender Aufsicht und Fahrlässigkeit macht NIS-2 die Geschäftsleitung gegenüber dem Unternehmen haftbar. 

Entscheidend ist daher eine klare Rollenverteilung und ein nachvollziehbarer und dokumentierter Maßnahmenplan.

NIS-2 ist eine gesetzliche Verpflichtung. ISO 27001 und TISAX®* sind Zertifizierungs- bzw. Branchenstandards.

Inhaltlich bestehen Überschneidungen, insbesondere beim Risikomanagement, der Dokumentation und den organisatorischen Maßnahmen. NIS-2 ist jedoch kein Zertifizierungsprojekt, sondern ein regulatorischer Rahmen mit Melde- und Aufsichtspflichten.

Bestehende ISMS-Strukturen können sinnvoll integriert werden.

Das deutsche Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten.

Betroffene Unternehmen mussten sich innerhalb von drei Monaten beim BSI registrieren, also spätestens bis zum 6. März 2026.

Alle anderen Pflichten gelten ab sofort und müssen in Form von technischen und organisatorischen Maßnahmen umgesetzt werden.

Bei Verstößen gegen zentrale Pflichten aus NIS-2 drohen nicht nur Bußgelder, sondern auch haftungsrechtliche Konsequenzen für die Geschäftsleitung.

Die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen ist verpflichtet, angemessene Risikomanagementmaßnahmen umzusetzen, deren Wirksamkeit zu überwachen und sich regelmäßig fortzubilden. Diese Schulungen müssen dokumentiert werden. Werden diese Pflichten verletzt und entsteht dadurch ein Schaden, kann eine Haftung nach den Regeln des Gesellschaftsrechts oder des BSI-Gesetzes eintreten.

Das deutsche BSI-Gesetz sieht zudem Bußgelder vor, die zwischen besonders wichtigen und wichtigen Einrichtungen unterscheiden. Besonders wichtige Einrichtungen können mit bis zu 10 Millionen Euro sanktioniert werden, wichtige Einrichtungen mit bis zu 7 Millionen Euro. Für Unternehmen mit einem Gesamtumsatz ab 500 Millionen Euro gelten umsatzbezogene Obergrenzen von bis zu 2 Prozent beziehungsweise 1,4 Prozent des weltweiten Jahresumsatzes.

NIS-2 verlangt außerdem eine vollständige Dokumentation aller Risikomanagementmaßnahmen. Diese Nachweisbarkeit ist nicht nur regulatorisch erforderlich, sondern dient auch der Absicherung der Geschäftsleitung gegenüber möglichen Schadenersatzforderungen.

Unser Vorgehen ist strukturiert und umsetzungsorientiert:

  1. Betroffenheitsanalyse
  2. Gap-Analyse bestehender Sicherheitsstrukturen
  3. Priorisierte Maßnahmenplanung
  4. Technische und organisatorische Umsetzung
  5. Vorbereitung auf mögliche Prüfungen

Wir verbinden regulatorische Anforderungen mit technischer Architektur und operativer Umsetzung.

Ja. Bestehende ISMS, beispielsweise nach  ISO-27001 und TISAX®* oder interne Sicherheitskonzepte können als Grundlage dienen.

Entscheidend ist die Nachweisbarkeit gegenüber der Aufsichtsbehörde und die vollständige Umsetzung der NIS-2-Anforderungen.

In einer GAP-Analyse können wir gemeinsam die Lücken zur NIS-2 Compliance ermitteln.

NIS-2 verpflichtet nicht nur zu einer sauber Dokumentation, sondern auch zur Etablierung von Prozessen. Die Umsetzung dieser Prozesse kann technische Maßnahmen erfordern.

oncap Reception digitales BesuchermanagementJan-Philip Faltin BWS Consulting Group

Sie haben noch Fragen?

Vertrauen Sie auf unsere Expertise – Ihr zuverlässiger Partner für Cybersicherheit und NIS-2.

Mit uns navigieren Sie sicher durch die komplexe Welt der EU-Cybersicherheitsregularien und positionieren Ihr Unternehmen als Vorreiter in Sachen digitale Sicherheit.

Unter folgenden Link finden Sie unsere Datenschutzerklärung und die dazugehörige Information nach Art. 13 DSGVO: https://bws-group.de/datenschutzerklaerung/

*TISAX® ist eine eingetragene Marke der ENX Association. Durch die Erwähnung der Marke TISAX® wird keine Aussage des Markeninhabers über die hier beworbenen Leistungen getroffen.