NIS2 · Compliance · Mittelstand

Die Frist ist da.
Sind Sie betroffen?

Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025, ohne Übergangsfrist. Betroffenheit entsteht kraft Gesetzes, ohne Behördenbescheid. Wir klären, ob Sie darunter fallen, und bilden die technischen Pflichten mit Werkzeugen ab, die ein KMU auch betreiben kann.

N2 NIS2 READINESS

Die Lage

Kein Bescheid kommt. Sie müssen selbst prüfen.

NIS2 funktioniert anders als gewohnte Auflagen. Es gibt keine Behörde, die Ihnen mitteilt, dass Sie betroffen sind. Die Pflicht zur Registrierung und zum Risikomanagement greift automatisch, sobald Größe und Sektor passen. Wer wartet, bis sich jemand meldet, ist schon zu spät.

  • In Kraft seit

    6.12.2025

    Das NIS2UmsuCG gilt ohne Übergangsfrist. Wer betroffen ist, muss die Pflichten bereits erfüllen.

  • Betroffen

    ~29.500

    Unternehmen in Deutschland fallen unter das Gesetz — deutlich mehr, als die meisten Geschäftsführungen annehmen.

  • Bußgeld

    €10 Mio

    oder 2 % des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen. Die Geschäftsführung haftet persönlich.

Betroffenheits-Check

Drei Fragen, die zuerst zu klären sind.

Trifft eine dieser Aussagen auf Sie zu, ist eine genauere Prüfung fällig. Die Einstufung als besonders wichtige oder wichtige Einrichtung entscheidet dann über die Höhe der Pflichten — und der Bußgelder.

  • 01

    Größe

    Mindestens 50 Mitarbeitende oder mehr als 10 Mio € Jahresumsatz bzw. Bilanzsumme.

  • 02

    Sektor

    Tätig in einem der erfassten Sektoren — von Energie, Verkehr, Gesundheit und Wasser (Anhang I) bis Maschinenbau, Chemie, Lebensmittel, Abfall und digitale Dienste (Anhang II).

  • 03

    Lieferkette

    Sie beliefern Industrie, Energieversorger oder die öffentliche Hand? Dann werden Ihnen NIS2-konforme Anforderungen oft vertraglich vorgegeben — auch ohne eigene Anwendungspflicht.

Die zehn Pflichtkategorien

Was das Gesetz verlangt — und womit wir es abbilden.

NIS2 schreibt zehn Kategorien für das Cyber-Risikomanagement vor. Konkrete Produkte nennt das Gesetz nicht; es verweist auf Standards wie ISO/IEC 27001. Wir setzen drei aufeinander abgestimmte Werkzeuge ein — Acronis Cyber Protect, Enginsight und Lywand. Den technischen Hintergrund erklärt unser Leitfaden zu ISO 27001 und NIS2 im Detail.

  • 01 Risikoanalyse & Sicherheitskonzepte Bestandsaufnahme, Inventarisierung und Schwachstellen-Baseline über Enginsight und Lywand.
  • 02 Bewältigung von Sicherheitsvorfällen Angriffserkennung (IDS/IPS, SIEM) über Enginsight, EDR und Rollback über Acronis, optional 24/7-SOC via Acronis MDR.
  • 03 Business Continuity & Backup-Management Acronis Cyber Protect: Image-Backup nach 3-2-1-Regel mit getesteten Restores. Das Kernstück jeder Wiederanlauf-Fähigkeit.
  • 04 Sicherheit der Lieferkette Least-Privilege-Zugänge, Schnittstellen-Monitoring und DLP gegen unkontrollierte Datenabflüsse zu Dienstleistern.
  • 05 Sicherheit in Beschaffung, Entwicklung & Wartung Patch-Management für Windows (Acronis) und Linux (Enginsight/Uyuni), kontinuierliches Schwachstellen-Scanning.
  • 06 Bewertung der Wirksamkeit Automatisierte Pentests und fortlaufendes Scanning als Wirksamkeitsnachweis, mit Trend-Reports über die Zeit.
  • 07 Cyberhygiene & Schulungen Security-Awareness-Trainings und Phishing-Simulationen über Acronis-Integrationen, ins selbe Reporting eingebunden.
  • 08 Kryptografie & Verschlüsselung Verschlüsselte Backups, geprüfte TLS-Konfiguration, Überwachung verschlüsselter Verbindungen.
  • 09 Personalsicherheit & Zugriffskontrolle Zugriffsüberwachung, File Integrity Monitoring und Asset-Schutz über die Endpoint-Agents.
  • 10 MFA & gesicherte Kommunikation Mehr-Faktor-Authentifizierung, segmentierte Netze und abgesicherte Kommunikationswege als Teil des Betriebs.

Ehrlich gesagt

Werkzeuge erledigen den technischen Teil. Nicht alles.

Ein großer Teil der zehn Kategorien lässt sich technisch abbilden. Der Rest bleibt Kopfarbeit, und das sagen wir vorab. Diese Pflichten verantwortet die Geschäftsführung, kein Tool nimmt sie ab. Wir bereiten die Datenbasis dafür auf.

  • Informationssicherheits-Politik und ISMS-Dokumentation
  • Konzept, Frequenz und Nachhalten der Schulungen
  • Die formale Vorfallmeldung an das CSIRT (24h / 72h / 1 Monat)
  • Personalprozesse, NDAs und Off-Boarding-Routinen

So gehen wir vor

Vom Check zur belegbaren Umsetzung.

  1. 01

    Betroffenheits-Check

    Wir klären gemeinsam mit Geschäftsführung und IT, ob und als welche Kategorie Sie unter NIS2 fallen — und wo über die Lieferkette Anforderungen entstehen.

  2. 02

    Gap-Analyse

    Bestandsaufnahme gegen die zehn Pflichtkategorien. Was ist abgedeckt, wo klafft die größte Lücke, was ist organisatorisch zu leisten.

  3. 03

    Maßnahmenplan

    Priorisierte Roadmap mit konkreten Schritten, Werkzeug-Empfehlung und Aufwandsschätzung. Sichtbarkeit und Backup zuerst.

  4. 04

    Umsetzung & Betrieb

    Rollout der technischen Maßnahmen, laufende Betreuung und Reports, die im Audit und gegenüber Versicherern vorgelegt werden können.

Nächster Schritt

Klären Sie zuerst, wo Sie stehen.

Das NIS2-Readiness-Assessment ist ein nüchterner Festpreis-Einstieg: Betroffenheit prüfen, Lücken gegen die zehn Kategorien aufnehmen, Maßnahmenplan auf den Tisch. Erst danach reden wir über Umsetzung.

NIS2-Readiness-Assessment Festpreis · Betroffenheit + Gap-Analyse Der technische Leitfaden ISO 27001 & NIS2 im Detail Backup & Security Acronis Cyber Protect
Dieser Hinweis existiert nur, weil alle anderen einen haben. Keine Cookies an Bord.