Beratung zu NIS-2
NIS-2, das Gesetz für Cybersicherheit – wir beraten auf dem Weg zur Konformität.
Beratung zu NIS-2 mit Nextwork
100% Erfolgsquote
Seit 2016 führen wir 2 bis 3 Informationssicherheits-Projekte im Monat durch. Unsere Erfolgsquote: 100%
Ganzheitliche Optimierung
Nextwork unterstützt Unternehmen dabei, Cybersicherheit in allen Bereichen der Organisation zu etablieren.
Umfassende, aktuelle Beratung
Wir sind immer auf dem neuesten Stand und beraten dich zu sämtlichen Belangen rund um Informationssicherheit.
Zertifizierung
Nextwork hat selbst eine Zertifizierung für Informationssicherheit.
Was ist NIS-2?
Die Häufigkeit von Cyberattacken auf kritische Infrastruktur hat in den letzten Jahren enorm zugenommen. Die EU möchte dem mit der „Network and Information Security Directive 2“ (NIS-2) entgegenwirken. In Deutschland ist das NIS-2-Umsetzungs- und Cybersicherheitstärkungsgesetz (NIS-2UmsuCG) seit 6. Dezember 2025 in Kraft. Betroffene Unternehmen und Organisationen haben jetzt Handlungsbedarf.
Für wen ist NIS-2 verpflichtend?
Im Vergleich zur vorherigen Richtlinie NIS-1, sind mehr Unternehmen und auch mehr Branchen betroffen.
In Deutschland handelt es sich um schätzungsweise bis zu 40.000 Unternehmen, darunter neu auch etwa Onlinemarktplätze, Lebensmittelversorger oder Insurance-Startups. Folgende Tabelle zeigt die Schwellenwerte für Deutschland nach dem NIS-2UmsuCG (NIS-2UmsuCG):
| Unternehmensgröße | Mitarbeitendenzahl | Umsatz | Bilanzsumme |
| Mittel | 50 bis 249 | ≤ 50 Mio. € | oder ≤ 43 Mio. € |
| Groß | ≥ 250 | > 50 Mio. € | und > 43 Mio. € |
Erläuterung der Tabelle:
Die Einstufung erfolgt gemäß der EU-KMU-Definition. Maßgeblich ist entweder die Mitarbeitendenzahl oder – wenn diese Schwelle nicht erreicht wird – die Einstufung anhand der finanziellen Kriterien. Für mittlere Unternehmen ist dabei entweder der Umsatz oder die Bilanzsumme ausschlaggebend. Als Großunternehmen gilt ein Unternehmen, wenn es mindestens 250 Mitarbeitende beschäftigt oder – bei geringerer Mitarbeitendenzahl – sowohl die Umsatz- als auch die Bilanzsummenschwelle überschreitet.
Mehr Informationen, ob dein Unternehmen oder deine Branche betroffen sind, erfährst du in unserem Glossarbeitrag zu NIS-2.
NIS-2 - Die Anforderungen
Die Anforderungen, die NIS-2 an betroffene Unternehmen stellt, sind deutlich verschärft. Die wichtigsten haben wir hier in Kürze für dich vorbereitet. Eine ausführlichere Fassung findest du ebenfalls in unserem Compliance Glossary unter NIS-2.
Einordnung:
Unternehmen und Organisationen müssen sich zukünftig selbst in Anlagen und Sektoren einordnen. Jede Unterteilung unterliegt anderen Anforderungen.
Informationssicherheit:
Die Anforderungen, die NIS-2 an Informationssicherheit stellt, betreffen nicht nur das Unternehmen selbst, sondern die gesamte Lieferkette inklusive Dienstleistenden und Zuliefernden.
Risikoanalyse:
Organisationen müssen im Rahmen einer Risikoanalyse sämtliche Unternehmensrisiken systematisch analysieren und Schwachstellen aufspüren und eliminieren.
Meldepflicht:
Erhebliche sicherheitsrelevante Vorfälle müssen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Außerdem muss eine Kontaktstelle für Notfälle und Kontaktaufnahme durch das BSI eingerichtet werden.
Verschärfung der Sanktionen:
Je nach Unternehmensgröße und Einordnung können die Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes, bzw. 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes betragen. Dazu kann die Führungsebene der jeweiligen Organisation persönlich haftbar gemacht werden, sollten die Maßnahmen nicht umgesetzt werden können.
Beratung zu NIS-2 - der Ablauf
Schritt 1: Gap-Analyse
Der Start eines Beratungsprozesses für Organisationen, die NIS-2 konform werden wollen, ist eine Gap-Analyse. Mit dieser Analyse überprüfen wir aktuelle Prozesse zu Cybersecurity, Informationssicherheit und den Stand des ISMS.
Dafür werfen wir einen Blick in die Prozesse aller Abteilungen, aber auch auf die Lieferkette. Auf Basis dieser Ergebnisse werden die Maßnahmen für die weiteren Schritte festgelegt.
Schritt 2: Maßnahmenplan
Alle Maßnahmen werden gesammelt und anschließend in einem Maßnahmenplan nach Dringlichkeit und Aufwand klassifiziert.
Schritt 3: ISMS Implementierung
Im nächsten Schritt implementieren wir gemeinsam das ISMS. Dafür müssen häufig Veränderungen auf diesen drei Ebenen vorgenommen werden:
- Organisatorisch: Prozesse und Organisationsstrukturen müssen eventuell angepasst werden, um Informationssicherheit in allen Bereichen des Unternehmens durchzusetzen.
- Baulich: In einigen Fällen sind bauliche Veränderungen notwendig, beispielsweise wenn es um den Zugang zu Serverräumen geht, die nur von befugten Personen betreten werden sollen.
- Technisch: Auch die Software kann Lücken in Sachen Informationssicherheit und NIS-2 aufweisen, deshalb muss auch hier in einigen Fällen an einer gesetzeskonformen Lösung gearbeitet werden.
Schritt 4: Prüfung durch unabhängigen Prüfdienstleister
NIS-2 ist zwar keine Zertifizierung, aber betroffene Organisationen unterliegen dennoch einer Nachweispflicht. Zertifizierungen wie ISO 27001, TISAX® oder der BSI Grundschutz decken viele organisatorische und technische Anforderungen der NIS-2-Richtlinie ab. Sie gelten jedoch nicht automatisch als Nachweis der NIS-2-Konformität, da NIS-2 zusätzliche rechtliche und organisatorische Pflichten enthält.
„Die NIS-2-Richtlinie modernisiert den bestehenden Rechtsrahmen, um den Anforderungen durch die Digitalisierung und der sich ständig wandelnden Bedrohung durch Cyberkriminalität gerecht zu werden. Mit unserer Expertise in Informationssicherheit, Cybersecurity und IT-Sicherheit sowie unserer umfassenden Erfahrung in Informationssicherheits-Zertifizierungen unterstützen wir euch dabei, die NIS-2- Anforderungen zu erfüllen und eurer Nachweispflicht nachzukommen.“
Philipp Brändl
Co-CEO, Nextwork
FAQ
Was ist ein ISMS?
ISMS ist die Abkürzung für Informationssicherheitsmanagementsystem. Es handelt sich allerdings nicht nur um eine Software, sondern um ein komplexes Konstrukt aus Prozessen, Strukturen und Verfahren. Ziel ist, Informationssicherheit zu definieren und kontinuierlich zu verbessern. Mehr Informationen findest du in unserem Artikel zum ISMS.
Was kostet die Beratung zu NIS-2?
Die Kosten einer Beratung zu NIS-2 variieren je nach Unternehmensgröße, Komplexität und Stand des bisherigen ISMS. Die Beratungsleistung mit Nextwork startet bei 50 Tagen.
Was ist der Unterschied zu TISAX?
TISAX ist ebenfalls ein Standard für Informationssicherheit, allerdings spezifisch für die Automobilindustrie. Beim Trusted Information Security Assessment Exchange geht es neben der Verarbeitung von vertraulichen Informationen auch um Datenschutz und Prototypenschutz. TISAX ist noch kein weltweit anerkannter Standard, es gibt auch weitere Unterschiede was Prüfdienstleister und Rezertifizierung angeht. Alle Gemeinsamkeiten und Unterschiede von TISAX und ISO 27001 findest du hier.