NIS2-Compliance für Industrie und Mittelstand
Das NIS2UmsuCG ist seit 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist ist abgelaufen. Ich helfe Ihnen, den Rückstand aufzuholen — von der Betroffenheitsprüfung bis zur vollständigen § 30 BSIG-Konformität.
Rechtsstand 6. April 2026: Das NIS2UmsuCG gilt seit 6. Dezember 2025. Die allgemeine BSI-Registrierungsfrist endete am 6. März 2026. Wer betroffen ist und noch nicht sauber registriert oder dokumentiert ist, arbeitet bereits gegen den laufenden Pflichtenstand.
NIS2 gilt — und viele Unternehmen sind noch nicht bereit
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Keine Schonfrist, keine gestaffelte Einführung. Technische und organisatorische Maßnahmen nach § 30 BSIG sind seit diesem Datum Pflicht — für rund 29.500 Einrichtungen in Deutschland, darunter erstmals viele Unternehmen des verarbeitenden Gewerbes.
Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Wer nicht registriert ist, ist bereits in Verzug. Wer keine Meldeprozesse hat, riskiert bei einem Sicherheitsvorfall nicht nur den Schaden, sondern zusätzlich Bußgelder und persönliche Haftungsfragen für die Geschäftsführung.
In der Praxis sehe ich oft dasselbe Muster: technische Einzelmaßnahmen sind vorhanden, aber die Linie dazwischen fehlt. Keine saubere Risikoanalyse, keine konsistente Dokumentation, keine klare Meldekette, keine belastbare Einbindung von Lieferanten und OT. Genau dort setzt meine Beratung an.
Was ich für Ihre NIS2-Konformität tue
Betroffenheitsprüfung
Bin ich betroffen? Welche Kategorie — Wesentliche oder Wichtige Einrichtung? Welche Pflichten gelten konkret? Strukturierte Prüfung anhand der NIS2UmsuCG-Kriterien.
BSI-Registrierung
Unterstützung bei der Registrierung über das BSI-Portal — ELSTER-Zertifikat, Mein Unternehmenskonto, vollständige Meldedaten. Für Unternehmen, die die März-Frist verpasst haben: unverzügliche Nachregistrierung.
NIS2 Gap-Analyse
Systematischer Abgleich Ihres Sicherheitsstands mit den § 30 BSIG-Anforderungen. Ergebnis: priorisierter Maßnahmenplan mit Budget- und Ressourcenschätzung.
Technische Maßnahmen
Umsetzungsbegleitung für Netzwerksegmentierung, MFA, Patch-Management, Backup, Härtung von Systemen — mit Fokus auf OT-Umgebungen und Produktionsnetze.
Meldeprozesse & Governance
Aufbau des internen Meldeprozesses (24/72-Stunden-Kette ans BSI), Informationssicherheitsrichtlinien, Schulung der Geschäftsführung — dokumentiert und nachweisbar.
Lieferkettensicherheit
Sicherheitsanforderungen in Lieferantenverträgen, Bewertung von Drittanbietern, Kontrolle von Remote-Zugriffen — § 30 BSIG fordert die Einbeziehung der Lieferkette explizit.
Woran NIS2 in der Umsetzung meistens scheitert
Betroffenheit wird zu grob eingeschätzt
Unternehmen verlassen sich auf Bauchgefühl oder Branchenbegriffe. Entscheidend sind aber konkrete Schwellenwerte, Tätigkeiten und Rollen in der Lieferkette.
Maßnahmen existieren, aber niemand kann sie nachweisen
Backups, MFA oder Segmentierung helfen nur begrenzt, wenn Zuständigkeiten, Prüfungen und Dokumentation im Ernstfall nicht belastbar sind.
Meldeprozesse sind auf dem Papier offen
Viele Teams wissen nicht, wer bei einem erheblichen Vorfall welche Entscheidung trifft, wer ans BSI meldet und welche Informationen innerhalb der Frist bereitstehen müssen.
Lieferkette und OT bleiben außen vor
Gerade im verarbeitenden Gewerbe liegen Risiken in Dienstleisterzugängen, Wartungsverbindungen und Produktionsnetzen. Wer nur Büro-IT betrachtet, verfehlt den eigentlichen Scope.
Deshalb verzahne ich NIS2 nicht isoliert, sondern mit dem, was ohnehin zusammenhängt: ISMS-Strukturen nach ISO 27001 für Governance und Nachweise, plus OT Security für vernetzte Produktionsumgebungen.
Von der Prüfung zur Konformität
Erstgespräch & Betroffenheitsprüfung
Kostenloses 45-minütiges Gespräch. Bin ich betroffen? Was gilt konkret? Erste Einschätzung des Handlungsbedarfs.
Gap-Analyse (3–8 Wochen)
Strukturierter Abgleich mit § 30 BSIG: technische Maßnahmen, organisatorische Governance, Meldeprozesse, Lieferkette. Schriftlicher Bericht mit priorisiertem Maßnahmenplan.
Umsetzungsbegleitung
Technische Maßnahmen, Richtlinien, Prozesse — ich begleite die Umsetzung, koordiniere mit internen IT-Teams und externen Dienstleistern.
Dokumentation & Nachweis
NIS2 verlangt Nachweisbarkeit. Vollständige Dokumentation aller Maßnahmen — prüffähig für das BSI, verwertbar bei Vorfällen und Audits.
Relevante Normen und Regelwerke
NIS2-Richtlinie
Artikel 21 Sicherheitsmaßnahmen · Artikel 23 Meldepflichten · Wesentliche und Wichtige Einrichtungen
Deutsches Umsetzungsgesetz
In Kraft seit 6.12.2025 · § 30 BSIG Sicherheitsmaßnahmen · BSI-Registrierungspflicht
ISMS-Standard
Deckt viele NIS2-Anforderungen ab · Guter Ausgangspunkt · Kein vollständiger Ersatz
Grundschutz-Kompendium
Anerkannte Methode zur NIS2-Umsetzung · Bundesbehörden verpflichtend · KMU-Profil verfügbar
NIS2 — Was Industrieunternehmen wissen wollen
Bin ich als Industrieunternehmen von NIS2 betroffen?
Unternehmen im verarbeitenden Gewerbe — Maschinenbau, Fahrzeugbau, Chemie, Elektronik — können als Wichtige Einrichtungen eingestuft werden. Die Schwellenwerte: mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz. Eine genaue Prüfung anhand des NIS2UmsuCG (in Kraft seit 6. Dezember 2025) ist notwendig. Eine Selbsteinschätzung ohne Prüfung der konkreten Kriterien reicht nicht.
Das NIS2UmsuCG gilt seit Dezember 2025 — was muss ich jetzt sofort tun?
Wenn Ihr Unternehmen betroffen ist, dann drei Schritte sofort: 1. BSI-Registrierung nachholen, falls noch offen. 2. Prüfen, ob die technischen und organisatorischen Maßnahmen nach § 30 BSIG implementiert und dokumentiert sind. 3. Meldeprozesse für erhebliche Sicherheitsvorfälle einrichten oder nachschärfen, damit die Fristen ans BSI eingehalten werden.
Wie unterscheidet sich NIS2 von ISO 27001?
ISO 27001 ist ein freiwilliger internationaler Standard für Informationssicherheitsmanagementsysteme — NIS2 ist verbindliches EU-Recht mit Bußgeldern und persönlicher Managementhaftung. ISO 27001 deckt viele NIS2-Anforderungen ab und ist ein starker Ausgangspunkt, ersetzt NIS2 aber nicht. Spezifisch bei NIS2: Meldepflichten, Lieferkettensicherheit und die persönliche Haftung der Geschäftsführung.
Was passiert bei einer NIS2-Gap-Analyse konkret?
Ich analysiere Ihren aktuellen Sicherheitsstand gegen die Anforderungen des § 30 BSIG: Risikomanagementsystem, Netzwerksicherheit, Zugriffsmanagement, Backup, Lieferkette, Meldeprozesse, Schulungsstand der Geschäftsführung. Ergebnis nach drei bis acht Wochen: ein priorisierter Maßnahmenplan mit Budget- und Ressourcenschätzung.
Was kosten NIS2-Bußgelder und wen treffen sie?
Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Entscheidend: NIS2 begründet die persönliche Haftung von Geschäftsführern und Vorständen. Bei schwerwiegenden Verstößen können Behörden die Geschäftsführung vorübergehend von Leitungsaufgaben suspendieren.