NIS2-Compliance für Industrie und Mittelstand
Das NIS2UmsuCG ist seit 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist ist abgelaufen. Ich helfe Ihnen, den Rückstand aufzuholen — von der Betroffenheitsprüfung bis zur vollständigen § 30 BSIG-Konformität.
NIS2 gilt — und viele Unternehmen sind noch nicht bereit
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Keine Schonfrist, keine gestaffelte Einführung. Technische und organisatorische Maßnahmen nach § 30 BSIG sind seit diesem Datum Pflicht — für rund 29.500 Einrichtungen in Deutschland, darunter erstmals viele Unternehmen des verarbeitenden Gewerbes.
Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Wer nicht registriert ist, ist bereits in Verzug. Wer keine Meldeprozesse hat, riskiert bei einem Sicherheitsvorfall nicht nur den Schaden — sondern zusätzlich ein Bußgeld und die persönliche Haftung der Geschäftsführung.
Viele mittelständische Industrieunternehmen haben zwar technische Schutzmaßnahmen — aber keine durchgehende Dokumentation, keine strukturierten Meldeprozesse, keine formale Risikoanalyse. Genau das prüft das BSI im Ernstfall.
Was ich für Ihre NIS2-Konformität tue
Betroffenheitsprüfung
Bin ich betroffen? Welche Kategorie — Wesentliche oder Wichtige Einrichtung? Welche Pflichten gelten konkret? Strukturierte Prüfung anhand der NIS2UmsuCG-Kriterien.
BSI-Registrierung
Unterstützung bei der Registrierung über das BSI-Portal — ELSTER-Zertifikat, Mein Unternehmenskonto, vollständige Meldedaten. Für Unternehmen, die die März-Frist verpasst haben: unverzügliche Nachregistrierung.
NIS2 Gap-Analyse
Systematischer Abgleich Ihres Sicherheitsstands mit den § 30 BSIG-Anforderungen. Ergebnis: priorisierter Maßnahmenplan mit Budget- und Ressourcenschätzung.
Technische Maßnahmen
Umsetzungsbegleitung für Netzwerksegmentierung, MFA, Patch-Management, Backup, Härtung von Systemen — mit Fokus auf OT-Umgebungen und Produktionsnetze.
Meldeprozesse & Governance
Aufbau des internen Meldeprozesses (24/72-Stunden-Kette ans BSI), Informationssicherheitsrichtlinien, Schulung der Geschäftsführung — dokumentiert und nachweisbar.
Lieferkettensicherheit
Sicherheitsanforderungen in Lieferantenverträgen, Bewertung von Drittanbietern, Kontrolle von Remote-Zugriffen — § 30 BSIG fordert die Einbeziehung der Lieferkette explizit.
Von der Prüfung zur Konformität
Erstgespräch & Betroffenheitsprüfung
Kostenloses 45-minütiges Gespräch. Bin ich betroffen? Was gilt konkret? Erste Einschätzung des Handlungsbedarfs.
Gap-Analyse (3–8 Wochen)
Strukturierter Abgleich mit § 30 BSIG: technische Maßnahmen, organisatorische Governance, Meldeprozesse, Lieferkette. Schriftlicher Bericht mit priorisiertem Maßnahmenplan.
Umsetzungsbegleitung
Technische Maßnahmen, Richtlinien, Prozesse — ich begleite die Umsetzung, koordiniere mit internen IT-Teams und externen Dienstleistern.
Dokumentation & Nachweis
NIS2 verlangt Nachweisbarkeit. Vollständige Dokumentation aller Maßnahmen — prüffähig für das BSI, verwertbar bei Vorfällen und Audits.
Relevante Normen und Regelwerke
NIS2-Richtlinie
Artikel 21 Sicherheitsmaßnahmen · Artikel 23 Meldepflichten · Wesentliche und Wichtige Einrichtungen
Deutsches Umsetzungsgesetz
In Kraft seit 6.12.2025 · § 30 BSIG Sicherheitsmaßnahmen · BSI-Registrierungspflicht
ISMS-Standard
Deckt viele NIS2-Anforderungen ab · Guter Ausgangspunkt · Kein vollständiger Ersatz
Grundschutz-Kompendium
Anerkannte Methode zur NIS2-Umsetzung · Bundesbehörden verpflichtend · KMU-Profil verfügbar
NIS2 — Was Industrieunternehmen wissen wollen
Bin ich als Industrieunternehmen von NIS2 betroffen?
Unternehmen im verarbeitenden Gewerbe — Maschinenbau, Fahrzeugbau, Chemie, Elektronik — können als Wichtige Einrichtungen eingestuft werden. Die Schwellenwerte: mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz. Eine genaue Prüfung anhand des NIS2UmsuCG (in Kraft seit 6. Dezember 2025) ist notwendig. Eine Selbsteinschätzung ohne Prüfung der konkreten Kriterien reicht nicht.
Das NIS2UmsuCG gilt seit Dezember 2025 — was muss ich jetzt sofort tun?
Drei Schritte sofort: 1. BSI-Registrierung nachholen (Frist 6. März 2026 ist abgelaufen — unverzüglich über das BSI-Portal). 2. Prüfen, ob die technischen und organisatorischen Maßnahmen nach § 30 BSIG implementiert sind — diese Pflicht gilt seit 6. Dezember 2025. 3. Meldeprozesse für erhebliche Sicherheitsvorfälle einrichten (24-Stunden-Frist ans BSI).
Wie unterscheidet sich NIS2 von ISO 27001?
ISO 27001 ist ein freiwilliger internationaler Standard für Informationssicherheitsmanagementsysteme — NIS2 ist verbindliches EU-Recht mit Bußgeldern und persönlicher Managementhaftung. ISO 27001 deckt viele NIS2-Anforderungen ab und ist ein starker Ausgangspunkt, ersetzt NIS2 aber nicht. Spezifisch bei NIS2: Meldepflichten, Lieferkettensicherheit und die persönliche Haftung der Geschäftsführung.
Was passiert bei einer NIS2-Gap-Analyse konkret?
Ich analysiere Ihren aktuellen Sicherheitsstand gegen die Anforderungen des § 30 BSIG: Risikomanagementsystem, Netzwerksicherheit, Zugriffsmanagement, Backup, Lieferkette, Meldeprozesse, Schulungsstand der Geschäftsführung. Ergebnis nach drei bis acht Wochen: ein priorisierter Maßnahmenplan mit Budget- und Ressourcenschätzung.
Was kosten NIS2-Bußgelder und wen treffen sie?
Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Entscheidend: NIS2 begründet die persönliche Haftung von Geschäftsführern und Vorständen. Bei schwerwiegenden Verstößen können Behörden die Geschäftsführung vorübergehend von Leitungsaufgaben suspendieren.