Skip to content
Close
Meeting buchen
Kontakt
Meeting buchen
Kontakt
Digital image of womans eye. Security concept

NIS-2-Richtlinie umsetzen

Wir unterstützen Organisationen dabei, die Anforderungen der NIS-2 Richtlinie technisch und organisatorisch umzusetzen.

 

JETZT TERMIN buchen
Zum Kontaktformular

Was bedeutet die NIS-2-Richtlinie

Die fortschreitende Digitalisierung, zunehmende Abhängigkeiten von digitalen Infrastrukturen und eine veränderte Bedrohungslage führen dazu, dass Informationssicherheit für viele Organisationen nicht mehr nur ein technische Fragestellung ist. Mit der europäischen NIS‑2‑Richtlinie und ihrem deutschen Umsetzungsgesetz werden diese Entwicklungen in verbindliche gesetzlich Pflichten überführt.

Sie haben spezifische Fragen?
Direkt Zum FAQ
NIS-2 Richtlinie

Jetzt Beratung zur NIS-2 Umsetzung anfragen

re:think unterstützt Organisationen dabei, die Anforderungen aus NIS‑2 strukturiert, ressourcenschonend und praxistauglich umzusetzen – integriert in Ihre bereits bestehenden Sicherheits‑ und Managementstrukturen.
NIS-2 Umsetzungsgesetz

Wer ist von NIS-2 betroffen?

Die Zahl der unmittelbar betroffenen Einrichtungen wächst durch das NIS‑2‑Umsetzungsgesetz von bisher rund 4.500 auf schätzungsweise 30.000 Organisationen, die fortan unter anderem verpflichtet sind, angemessene Maßnahmen zur Absicherung ihrer informationsverarbeitenden Systeme zu etablieren, Risiken systematisch zu steuern und Sicherheitsvorfälle strukturiert zu melden. Dabei rücken insbesondere Governance, Managementverantwortung und dokumentierte Nachweisfähigkeit in den Fokus.

Von der NIS-2-Richtlinie sind mittlere und große Unternehmen (ab 50 Mitarbeitern, >10 Mio. € Umsatz oder Bilanzsumme) in der EU betroffen, die in 18 definierten kritischen Sektoren (z.B. Energie, Verkehr, Gesundheit, IT) tätig sind. Auch Lieferanten dieser Branchen und bestimmte öffentliche Einrichtungen fallen darunter, wobei Unternehmen selbstständig prüfen müssen, ob sie unter die Regelung fallen. 

TOUCH
Energie
Energie
  • EVU & Verteilernetzbetreiber
  • Betreiber von Lade-punkten
  • Mineralölunternehmen
TOUCH
Transport & Verkehr
Transport & Verkehr
  • Luftfahrtunternehmen
  • Flughafenleitungsorgane
  • Eisenbahninfrastruktur-unternehmen
  • Binnenschifffahrt
TOUCH
Bank & Finanzmarkt
Bank & Finanzmarkt
  • Kreditinstitute
  • Betreiber von Handelsplätzen
TOUCH
Gesundheitswesen
Gesundheitswesen
  • Krankenhäuser
  • Hersteller von pharmazeutischen & kritischen Erzeugnissen
TOUCH
Wasser
Wasser
  • Trinkwasserversorger
  • Abwasserentsorger
TOUCH
IKT-DL-Verwaltung
IKT-DL-Verwaltung
  • Managed Service Provider (MSP)
  • Managed Security Service Provider
TOUCH
Öffentliche Verwaltung
Öffentliche Verwaltung
  • Zentralregierung
  • Regionale Gebietskörperschaften
TOUCH
Weltraum
Weltraum
  • Betreiber von Bodeninfrastrukturen
TOUCH
Post & Kurier
Post & Kurier
  • Kurier-, Express-, Paketdienste
TOUCH
Abfall-bewirtschaftung
Abfall-bewirtschaftung
  • Abfallbewirtschaftungs-unternehmen (nicht gefährliche Abfälle)
TOUCH
Chemie
Chemie
  • Herstellung von Stoffen
  • Verteilung von Stoffen
TOUCH
Lebensmittel
Lebensmittel
  • Großhandel mit Lebensmitteln
  • Industrielle Herstellung
  • Verarbeitung
TOUCH
Verarbeitendes Gewerbe
Verarbeitendes Gewerbe
  • Herstellung von Medizinprodukten, Datenverarbeitungs-geräten & Maschinenbau
TOUCH
Digitale Anbieter
Digitale Anbieter
  • Online-Marktplätze
  • Online-Suchmaschinen
  • Soziale Netzwerke
TOUCH
Forschung
Forschung
  • Forschungseinrichtungen (außer Bildung)
TOUCH
Digitale infrastrukur
Digitale infrastrukur
  • IXP-Betreiber & DNS-Diensteanbieter 
  • TLD-Namensregister & Cloud-Computing
business documents on office table with smart phone and laptop computer and graph financial with social network diagram and three colleagues discussing data in the background

NIS-2 Kickoff Workshop

NIS2 erfordert ein strukturiertes und frühzeitiges Vorgehen. Der ideale Einstieg in die NIS-2-Thematik ist unser „NIS-2 Kickoff Workshop“: Ein strukturiertes Komplettpaket, das Ihnen effizient, risikofrei und praxisnah eine belastbare erste Standortbestimmung ermöglicht.

NIS-2 Kickoff Workshop

Einheitliches und Vollständiges Informationsniveau
Erster Compliance-Check durch grobe Reifegradbewertung
Übergreifende Aufwandsschätzung
Roadmap als weitere Entscheidungsgrundlage

Unser Leistungsumfang inkludiert:

  • Einheitliches und Vollständiges Informationsniveau 
  • Erster Compliance-Check durch grobe Reifegradbewertung 
  • Übergreifende Aufwandsschätzung 
  • Roadmap als weitere Entscheidungsgrundlage
  • Informationsaufbau durch umfassende Vorstellung von NIS-2
  • Einordung der Anforderungen & grobe Reifegrad-bewertung auf Basis der NIS-2-Fokusthemen 
  • Ableitung erster technischer & organisatorischer Maßnahmen 
  • Unterstützung bei Registrierungspflichten 
  • Ausarbeitung Roadmap für NIS-2-Umsetzungs-Projekt 
  • Dokumentation & Ergebnispräsentation 
NIS-2 Umsetzungsgesetz

Zentrale NIS-2 Anforderungen an Unternehmen

Das Umsetzungsgesetz adressiert mehrere zentrale Handlungsfelder, die gemeinsam ein ganzheitliches Sicherheitsniveau sicherstellen sollen. Die Anforderungen gehen dabei über klassische IT‑Sicherheitsmaßnahmen hinaus und betreffen Organisation, Prozesse und Führung.

Risikomanagement und Sicherheitsorganisation
Organisationen müssen Risiken für ihre informationsverarbeitenden Systeme systematisch identifizieren, bewerten und behandeln. Sicherheitsmaßnahmen sind am individuellen Risikoprofil auszurichten und regelmäßig zu überprüfen. Die Verantwortung hierfür liegt ausdrücklich bei der Unternehmensleitung.
Melde‑ und Reaktionsfähigkeit bei Sicherheitsvorfällen
Sicherheitsvorfälle müssen erkannt, bewertet und innerhalb klar definierter Fristen an das BSI gemeldet werden. Dafür sind belastbare Incident‑Response‑Prozesse, klare Eskalationswege und interne Zuständigkeiten erforderlich.
Sicherheit in der Lieferkette
Auch Abhängigkeiten von Dienstleistern, IT‑Providern und  Zulieferern sind zu berücksichtigen.  Organisationen müssen sicherstellen, dass externe Leistungen kein unkontrolliertes Risiko für die eigene Sicherheitslage darstellen.
Governance, Rollen und Nachweise
NIS‑2 verlangt klar definierte Verantwortlichkeiten, dokumentierte Entscheidungsprozesse und eine belastbare Nachweisführung. Sicherheitsmaßnahmen müssen nicht  nur umgesetzt, sondern auch dauerhaft gesteuert und überprüft werden können.
Close up of business office desk with pen board coffee in front of empty white brick textured wall background.

Unsere Leistungen rund um NIS-2

Wir untersützen Organisationen mit klar strukturierten Services entlang des gesamten NIS-2-Lebenszyklus, die sich einzeln oder als integriertes Vorgehensmodell kombinieren lassen, auf praktischen Erfahrungswerten, Best-Practice Ansätzen und standardisierten Vorlagen basieren und Organisationen entlang des gesamten Umsetzungsprozesses begleiten – von der Betroffenheitsanalyse über die IST-Standaufnahme und Gap-Analyse bis hin zur Konzeption und Einführung wirksamer technischer und organisatorischer Maßnahmen, wobei bestehende Sicherheits- und Governance-Strukturen gezielt weiterentwickelt werden.

Unterstützung Betroffenheitsanalyse

Unser Leistungsumfang inkludiert:

Wir prüfen gemeinsam, ob und in welchem Umfang Ihre Organisation unter den Anwendungsbereich von NIS2 fällt. Dabei betrachten wir Geschäftsmodell, Leistungen, Abhängigkeiten und organisatorische Strukturen. Ergebnis ist eine belastbare Einordnung inklusive Handlungsempfehlungen.

IST‑Standaufnahme & Gap‑Analyse

Unser Leistungsumfang inkludiert:

Auf Basis der gesetzlichen Anforderungen analysieren wir bestehende Sicherheits und GovernanceStrukturen. Bestehende Maßnahmen werden bewertet, Lücken identifiziert und priorisiert. Das Ergebnis ist eine konkrete Roadmap zur NIS2konformen Weiterentwicklung.

Maßnahmenkonzeption & Umsetzung

Unser Leistungsumfang inkludiert:

Wir unterstützen bei der Definition und Einführung technischer und organisatorischer Maßnahmen. Ressourcensparend & Nachhaltig -von Richtlinien und Prozessen bis hin zur Integration in bestehende ISMS oder BCMStrukturen.

Schulung & Sensibilisierung

Unser Leistungsumfang inkludiert:

Wir schulen & sensibilisieren Geschäftsführung, Management und Fachbereiche zu Pflichten, Haftungsrisiken und praktischer Umsetzung  zielgruppengerecht und praxisnah.

Sie benötigen Unterstützung bei der Umsetzung der NIS-2-Richtlinie?

Jetzt Termin buchen

Unser FAQs zur NIS-2-Richtlinie und dem NIS-2-Umsetzungsgesetz

Was ist NIS-2 und warum ist sie relevant?

NIS-2 ist eine europäische Richtlinie zur Stärkung der Cybersicherheit. Ziel ist es, Risiken für Netz- und Informationssysteme systematisch zu reduzieren und die Widerstandsfähigkeit betroffener Organisationen gegenüber Sicherheitsvorfällen zu erhöhen. Dabei stehen risikobasierte Maßnahmen, klare Verantwortlichkeiten und Nachweisfähigkeit im Vordergrund.
Ab wann gilt NIS-2 in Deutschland?

Das Umsetzungsgesetz wurde am 06.12.2025 verabschiedet. Die Verpflichtungen auf Basis des BSIG als Umsetzung der NIS-2-Richtlinie der EU gelten ab Inkrafttreten des geänderten BSI-Gesetzes mit den dort genannten Fristen.
Was ist der Unterschied zwischen der NIS-2-Richtlinie und dem NIS-2 Umsetzungsgesetz?

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Einstufung als wesentliche oder wichtige Einrichtung beim BSI registrieren. Die Registrierung ist gesetzlich vorgeschrieben.
Bis wann muss ich mich beim BSI registrieren?

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Einstufung als wesentliche oder wichtige Einrichtung beim BSI registrieren. Die Registrierung ist gesetzlich vorgeschrieben.
Woher weiß ich, ob ich von NIS-2 betroffen bin?

Die Prüfung der Betroffenheit ist nach Maßgabe der genannten Vorschrift durch die eventuell Betroffenen selbst durchzuführen, eine Mitteilung der Betroffenheit durch das BSI erfolgt nicht.
Welche Strafen drohen bei Verstößen?

Das Umsetzungsgesetz sieht Bußgelder vor, die sich am weltweiten Jahresumsatz orientieren können. Darüber hinaus kann das BSI Maßnahmen anordnen, Fristen setzen und Nachweise verlangen. Unabhängig davon entstehen erhebliche wirtschaftliche Risiken, etwa durch Reputationsschäden oder Betriebsunterbrechungen. 

Es sind Bußgelder für Verstöße gegen die Meldepflichten im Sinne des NIS-2-Umsetzungsgesetzes möglich. 

Je nach Einrichtung sind Bußgelder bis zu 7 Mio bzw. 10 Mio Euro oder 1,4% bzw. 2% des Gesamtumsatzes der Einrichtung möglich. 

Das BSI als zuständige Aufsichtsbehörde überwacht die Einhaltung der Meldepflichten. Das BSI kann dazu u.a. Informationen anfordern, Prüfungen durchführen und Anordnungen erlassen. 
Gilt NIS-2 für die gesamte Organisation?

Die Anforderungen beziehen sich auf die NIS-2-relevanten Tätigkeiten und Systeme. In der Praxis sind jedoch auch unterstützende Prozesse, IT-Systeme und Dienstleister einzubeziehen, sofern sie die Sicherheit oder Verfügbarkeit dieser Tätigkeiten beeinflussen.
Reicht ein bestehendes ISMS nach ISO/IEC 27001 aus?

Ein etabliertes ISMS bietet eine solide Grundlage. NIS-2 stellt jedoch zusätzliche Anforderungen, insbesondere an Governance, Meldeprozesse, Lieferkettenrisiken und die Einbindung der Unternehmensleitung. Bestehende Systeme müssen daher gezielt überprüft und ergänzt werden.
Welche Rolle hat die Geschäftsleitung für NIS-2?

Die Geschäftsleitung trägt die Verantwortung für die Einführung, Überwachung und Wirksamkeit der Sicherheitsmaßnahmen. Sie muss sicherstellen, dass Risiken angemessen behandelt, Maßnahmen überprüft und Entscheidungen dokumentiert werden. Die operative Umsetzung kann delegiert werden, die Verantwortung nicht.
Was ist das KRITIS-Dachgesetz und wie gehören sie zusammen? Das KRITIS-Dachgesetz ist ein deutsches Gesetz zur Stärkung der physischen Resilienz kritischer Infrastrukturen (z. B. Schutz vor Naturkatastrophen, Sabotage, Ausfällen).
NIS-2 ist eine EU-Richtlinie mit Fokus auf Cyber- und Informationssicherheit, inklusive verbindlicher IT-Sicherheitsmaßnahmen, Meldepflichten und Managementverantwortung.
Beide Regelwerke ergänzen sich: KRITIS-Dachgesetz schützt den Betrieb und die Infrastruktur, NIS-2 die IT – gemeinsam adressieren sie die Gesamtresilienz von Unternehmen.
Wie unterstützt re:think bei NIS‑2?

Wir begleiten Organisationen entlang des gesamten Umsetzungsprozesses – von der Betroffenheitsanalyse über die IST‑Standaufnahme und Gap‑Analyse bis hin zur Konzeption und Einführung wirksamer technischer und organisatorischer Maßnahmen. Dabei werden bestehende Sicherheits‑ und Governance‑Strukturen gezielt weiterentwickelt.

Unsere Dienstleistungen

TOUCH
Digitalstrategie
Digitalstrategie Unternehmensweite Strategien entwickeln, um Prozesse, Technologien und Geschäftsmodelle zielgerichtet zu digitalisieren.ansehen
TOUCH
Datenstrategie und -Management
Datenstrategie und -Management Struktur & Qualität für nutzbare, sichere und wertschöpfende Datenlandschaftenansehen
TOUCH
Security & Governance
Security & Governance Ganzheitliche Sicherheitsarchitekturen, ISMS und Complianceansehen
TOUCH
Technologie Assessment
Technologie Assessment Bestandsaufnahme, Reifegrad und Handlungsempfehlungen für IT-Strukturenansehen
TOUCH
Cloud Strategie
Cloud Strategie End-to-End Cloud-Lösungen mit Governance, DevOps, CI/CD und FinOps im Fokusansehen
TOUCH
IT-Rollout
IT-Rollout Strukturierte Planung, Steuerung und Umsetzung technologischer Rolloutsansehen
TOUCH
Application Development | Nearshoring
Application Development | Nearshoring Effiziente Softwareentwicklung mit agilen Teams und EU-Nearshore-Partnernansehen
TOUCH
AI-Services
AI-Services Praxisnahe KI-Anwendungen mit LLMs, Automatisierung und datenschutzkonformer Integrationansehen
man typing on computer keyboard

Jetzt NIS-2 Anforderungen umsetzen

Starten Sie mit Klarheit statt Unsicherheit. Unser NIS-2-Kickoff-Workshop ist der erste sinnvolle Schritt. Und wir gebleiten Sie auf den weiteren rund um die Umsetzung der NIS2 Richtlinie.
Jetzt NIS-2 Beratung anfragen