Skip to content
Close
Meeting buchen
Kontakt
Meeting buchen
Kontakt
Digital image of womans eye. Security concept

NIS-2-Richtlinie umsetzen

Wir unterstützen Organisationen dabei, die Anforderungen der NIS-2 Richtlinie technisch und organisatorisch umzusetzen.

 

JETZT TERMIN buchen
NIS-2-Workshop

Inhaltsverzeichnis

Bedeutung NIS-2Beratung AnfragenLeistungenWer ist betroffenTermin AnfragenCybersicherheitTechnische AnforderungenNIS-2 WorkshopWorkshop AnfragenNIS-2 AnforderungenDokumentationFAQWeitere Dienstleistungen

Was bedeutet die NIS-2-Richtlinie?

Die fortschreitende Digitalisierung, die wachsende Abhängigkeit von digitalen Infrastrukturen und die verschärfte Bedrohungslage führen dazu, dass Informationssicherheit für viele Organisationen längst kein rein technisches Thema mehr ist. Mit der europäischen NIS-2-Richtlinie und ihrer nationalen Umsetzung werden diese Anforderungen erstmals in verbindliche gesetzliche Pflichten überführt.

Sie haben spezifische Fragen?
Direkt Zum FAQ
NIS-2 Richtlinie

Jetzt Beratung zur NIS-2 Umsetzung anfragen

re:think unterstützt Organisationen dabei, die Anforderungen aus NIS‑2 strukturiert, ressourcenschonend und praxistauglich umzusetzen – integriert in Ihre bereits bestehenden Sicherheits‑ und Managementstrukturen.

Unsere Leistungen rund um NIS-2

Wir untersützen Organisationen mit klar strukturierten Services entlang des gesamten NIS-2-Lebenszyklus, die sich einzeln oder als integriertes Vorgehensmodell kombinieren lassen, auf praktischen Erfahrungswerten, Best-Practice Ansätzen und standardisierten Vorlagen basieren und Organisationen entlang des gesamten Umsetzungsprozesses begleiten – von der Betroffenheitsanalyse über die IST-Standaufnahme und Gap-Analyse bis hin zur Konzeption und Einführung wirksamer technischer und organisatorischer Maßnahmen, wobei bestehende Sicherheits- und Governance-Strukturen gezielt weiterentwickelt werden.

Unser Leistungsumfang inkludiert:

Wir prüfen gemeinsam, ob und in welchem Umfang Ihre Organisation unter den Anwendungsbereich von NIS‑2 fällt. Dabei betrachten wir Geschäftsmodell, Leistungen, Abhängigkeiten und organisatorische Strukturen. Ergebnis ist eine belastbare Einordnung inklusive Handlungsempfehlungen.

Unser Leistungsumfang inkludiert:

Auf Basis der gesetzlichen Anforderungen analysieren wir bestehende Sicherheits‑ und Governance‑Strukturen. Bestehende Maßnahmen werden bewertet, Lücken identifiziert und priorisiert. Das Ergebnis ist eine konkrete Roadmap zur NIS‑2‑konformen Weiterentwicklung.

Unser Leistungsumfang inkludiert:

Wir unterstützen bei der Definition und Einführung technischer und organisatorischer Maßnahmen. Ressourcensparend & Nachhaltig -von Richtlinien und Prozessen bis hin zur Integration in bestehende ISMS‑ oder BCM‑Strukturen.

Unser Leistungsumfang inkludiert:

Wir schulen & sensibilisieren Geschäftsführung, Management und Fachbereiche zu Pflichten, Haftungsrisiken und praktischer Umsetzung – zielgruppengerecht und praxisnah.

NIS-2 Umsetzungsgesetz

Wer ist von NIS-2 betroffen?

Die Zahl der unmittelbar betroffenen Einrichtungen wächst durch das NIS‑2‑Umsetzungsgesetz von bisher rund 4.500 auf schätzungsweise 30.000 Organisationen, die fortan unter anderem verpflichtet sind, angemessene Maßnahmen zur Absicherung ihrer informationsverarbeitenden Systeme zu etablieren, Risiken systematisch zu steuern und Sicherheitsvorfälle strukturiert zu melden. Dabei rücken insbesondere Governance, Managementverantwortung und dokumentierte Nachweisfähigkeit in den Fokus.

 

Von der NIS-2-Richtlinie sind mittlere und große Unternehmen (ab 50 Mitarbeitern, >10 Mio. € Umsatz oder Bilanzsumme) in der EU betroffen, die in 18 definierten kritischen Sektoren (z.B. Energie, Verkehr, Gesundheit, IT) tätig sind. Auch Lieferanten dieser Branchen und bestimmte öffentliche Einrichtungen fallen darunter, wobei Unternehmen selbstständig prüfen müssen, ob sie unter die Regelung fallen.

ENERGIE
  • EVU & Verteilernetzbetreiber
  • Betreiber von Lade-punkten
  • Mineralölunternehmen
TRANSPORT & VERKEHR
  • Luftfahrtunternehmen
  • Flughafenleitungsorgane
  • Eisenbahninfrastrukturunternehmen
  • Binnenschifffahrt
BANK & FINANZMARKT
  • Kreditinstitute
  • Betreiber von Handelsplätzen
GESUNDHEITSWESEN
  • Krankenhäuser
  • Hersteller von pharmazeutischen & kritische Erzeugnissen
WASSER
  • Trinkwasserversorger
  • Abwasserversorger
IKT-DL-VERWALTUNG
    • Managed Service Provider (MSP)
    • Manages Security Service Provider
ÖFFENTLICHE VERWALTUNG
  • Zentralregierung
  • Regionale Gebietskörperschaften
WELTRAUM
  • Betreiber von Bodeninfrastrukturen
POST & KURIER
  • Kurier-, Express-, Paketdienste
ABFALLBEWIRTSCHAFTUNG
  • Abfallbewirtschaftungsunternehmen (gefährliche Abfälle ausgeschlossen)
CHEMIE
  • Herstellung von Stoffen
  • Verteilung von Stoffen
LEBENSMITTEL
  • Großhandel mit Lebensmitteln
  • Industrielle Herstellung
  • Verarbeitung
VERARBEITENDES GEWERBE

  • Herstellung von Medizinprodukten, Datenverarbeitungsgeräten & Maschinenbau 
DIGITALE ANBIETER
  • IXP-Betreiber & DNS-Diensteanbieter
  • TLD-Namensregister & Cloud-Computing
FORSCHUNG
  • Forschungseinrichtung (ausgeschlossen Bildung)
DIGITALE INFRASTRUKTUR
  • IXP-Betreiber & DNS-Diensteanbieter
  • TLD-Namensregister & Cloud-Computing

Sie benötigen Unterstützung bei der Umsetzung der NIS-2-Richtlinie?

Jetzt Termin buchen

Wie kann ich die Cybersicherheit meines Unternehmens gemäß NIS‑2 verbessern?

Eine wirksame Umsetzung der NIS‑2‑Richtlinie beginnt mit einem strukturierten Sicherheitsansatz. Unternehmen sollten ihre bestehenden Prozesse und Systeme gezielt an den NIS‑2‑Anforderungen ausrichten. Wichtige Maßnahmen sind:

Bestandsaufnahme & Risikoanalyse
Bewertung der aktuellen Sicherheitslage, Identifikation von Schwachstellen und Risiken entlang der Wertschöpfungskette.
Technische und organisatorische Maßnahmen
Einführung oder Aktualisierung von Schutzmaßnahmen wie Patch‑Management, Zugriffskontrollen und Notfallplänen.
Sensibilisierung & Schulung

Regelmäßige Trainings für Mitarbeitende und Management, um Sicherheitsbewusstsein und Handlungssicherheit zu stärken. 

ICIDENT RESPONSE & MELDEPROZESSE

Aufbau klarer Abläufe zur schnellen Erkennung, Bewertung und Meldung von Sicherheitsvorfällen an das BSI. 

Sie benötigen Unterstützung bei Sensibilisierung & Schulung?

Jetzt Termin buchen

Welche technischen Maßnahmen sind für NIS‑2 erforderlich?

Die NIS‑2‑Richtlinie verlangt von betroffenen Unternehmen ein Sicherheitsniveau, das dem individuellen Risiko und der Bedeutung ihrer Systeme entspricht. Technische Maßnahmen müssen darauf ausgerichtet sein, Angriffe frühzeitig zu erkennen, deren Auswirkungen zu begrenzen und den Geschäftsbetrieb abzusichern. Dazu zählen unter anderem ein konsequentes Patch‑ und Schwachstellenmanagement, mehrstufige Zugriffs‑ und Authentifizierungsverfahren, Netzwerk‑Segmentierung, Verschlüsselung sensibler Daten sowie System‑ und Protokollüberwachung zur Anomalieerkennung.


Ebenso wichtig sind Backup‑ und Wiederherstellungsstrategien, die eine schnelle Betriebsaufnahme nach Sicherheitsvorfällen sicherstellen. Unternehmen sollten diese technischen Schutzmaßnahmen regelmäßig bewerten, dokumentieren und an aktuelle Bedrohungslagen anpassen – idealerweise integriert in ein bestehendes ISMS oder nach ISO 27001‑Struktur.

business documents on office table with smart phone and laptop computer and graph financial with social network diagram and three colleagues discussing data in the background

NIS-2 Kickoff Workshop

NIS2 erfordert ein strukturiertes und frühzeitiges Vorgehen. Der ideale Einstieg in die NIS-2-Thematik ist unser „NIS-2 Kickoff Workshop“: Ein strukturiertes Komplettpaket, das Ihnen effizient, risikofrei und praxisnah eine belastbare erste Standortbestimmung ermöglicht.

Inhalte des Workshops

Transparenz
Einheitliches und Vollständiges Informationsniveau 
Standortbestimmung
Erster Compliance-Check durch grobe Reifegradbewertung 
Entscheidungsbasis
Roadmap als weitere Entscheidungsgrundlage
Sensibilisierung
Informationsaufbau durch umfassende Vorstellung von NIS-2
Einordnung
Einordung der Anforderungen & grobe Reifegrad-Bewertung auf Basis der NIS-2-Fokusthemen
Maßnahmenplanung
Ableitung erster technischer & organisatorischer Maßnahmen
Registrierung
Unterstützung bei Registrierungspflichten
Umsetzungsplanung
Ausarbeitung Roadmap für NIS-2-Umsetzungs-Projekt
Dokumentation

Dokumentation & Ergebnispräsentation

Aufwandsschätzung
Übergreifende Aufwandsschätzung 
NIS-2 Richtlinie

Jetzt NIS-2 Workshop anfragen

re:think unterstützt Organisationen dabei, die Anforderungen aus NIS‑2 strukturiert, ressourcenschonend und praxistauglich umzusetzen – integriert in Ihre bereits bestehenden Sicherheits‑ und Managementstrukturen.
NIS-2 Umsetzungsgesetz

Zentrale NIS-2 Anforderungen an Unternehmen

Das Umsetzungsgesetz adressiert mehrere zentrale Handlungsfelder, die gemeinsam ein ganzheitliches Sicherheitsniveau sicherstellen sollen. Die Anforderungen gehen dabei über klassische IT‑Sicherheitsmaßnahmen hinaus und betreffen Organisation, Prozesse und Führung.

Risikomanagement und Sicherheitsorganisation
Organisationen müssen Risiken für ihre informationsverarbeitenden Systeme systematisch identifizieren, bewerten und behandeln. Sicherheitsmaßnahmen sind am individuellen Risikoprofil auszurichten und regelmäßig zu überprüfen. Die Verantwortung hierfür liegt ausdrücklich bei der Unternehmensleitung.
Melde‑ und Reaktionsfähigkeit bei Sicherheitsvorfällen
Sicherheitsvorfälle müssen erkannt, bewertet und innerhalb klar definierter Fristen an das BSI gemeldet werden. Dafür sind belastbare Incident‑Response‑Prozesse, klare Eskalationswege und interne Zuständigkeiten erforderlich.
Sicherheit in der Lieferkette
Auch Abhängigkeiten von Dienstleistern, IT‑Providern und  Zulieferern sind zu berücksichtigen.  Organisationen müssen sicherstellen, dass externe Leistungen kein unkontrolliertes Risiko für die eigene Sicherheitslage darstellen.
Governance, Rollen und Nachweise
NIS‑2 verlangt klar definierte Verantwortlichkeiten, dokumentierte Entscheidungsprozesse und eine belastbare Nachweisführung. Sicherheitsmaßnahmen müssen nicht  nur umgesetzt, sondern auch dauerhaft gesteuert und überprüft werden können.

Unser FAQs zur NIS-2-Richtlinie und dem NIS-2-Umsetzungsgesetz

Was ist NIS-2 und warum ist sie relevant?

NIS-2 ist eine europäische Richtlinie zur Stärkung der Cybersicherheit. Ziel ist es, Risiken für Netz- und Informationssysteme systematisch zu reduzieren und die Widerstandsfähigkeit betroffener Organisationen gegenüber Sicherheitsvorfällen zu erhöhen. Dabei stehen risikobasierte Maßnahmen, klare Verantwortlichkeiten und Nachweisfähigkeit im Vordergrund.
Ab wann gilt NIS-2 in Deutschland?

Das Umsetzungsgesetz wurde am 06.12.2025 verabschiedet. Die Verpflichtungen auf Basis des BSIG als Umsetzung der NIS-2-Richtlinie der EU gelten ab Inkrafttreten des geänderten BSI-Gesetzes mit den dort genannten Fristen.
Was ist der Unterschied zwischen der NIS-2-Richtlinie und dem NIS-2 Umsetzungsgesetz?

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Einstufung als wesentliche oder wichtige Einrichtung beim BSI registrieren. Die Registrierung ist gesetzlich vorgeschrieben.
Bis wann muss ich mich beim BSI registrieren?

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Einstufung als wesentliche oder wichtige Einrichtung beim BSI registrieren. Die Registrierung ist gesetzlich vorgeschrieben.
Woher weiß ich, ob ich von NIS-2 betroffen bin?

Die Prüfung der Betroffenheit ist nach Maßgabe der genannten Vorschrift durch die eventuell Betroffenen selbst durchzuführen, eine Mitteilung der Betroffenheit durch das BSI erfolgt nicht.
Welche Strafen drohen bei Verstößen?

Das Umsetzungsgesetz sieht Bußgelder vor, die sich am weltweiten Jahresumsatz orientieren können. Darüber hinaus kann das BSI Maßnahmen anordnen, Fristen setzen und Nachweise verlangen. Unabhängig davon entstehen erhebliche wirtschaftliche Risiken, etwa durch Reputationsschäden oder Betriebsunterbrechungen. 

Es sind Bußgelder für Verstöße gegen die Meldepflichten im Sinne des NIS-2-Umsetzungsgesetzes möglich. 

Je nach Einrichtung sind Bußgelder bis zu 7 Mio bzw. 10 Mio Euro oder 1,4% bzw. 2% des Gesamtumsatzes der Einrichtung möglich. 

Das BSI als zuständige Aufsichtsbehörde überwacht die Einhaltung der Meldepflichten. Das BSI kann dazu u.a. Informationen anfordern, Prüfungen durchführen und Anordnungen erlassen. 
Gilt NIS-2 für die gesamte Organisation?

Die Anforderungen beziehen sich auf die NIS-2-relevanten Tätigkeiten und Systeme. In der Praxis sind jedoch auch unterstützende Prozesse, IT-Systeme und Dienstleister einzubeziehen, sofern sie die Sicherheit oder Verfügbarkeit dieser Tätigkeiten beeinflussen.
Reicht ein bestehendes ISMS nach ISO/IEC 27001 aus?

Ein etabliertes ISMS bietet eine solide Grundlage. NIS-2 stellt jedoch zusätzliche Anforderungen, insbesondere an Governance, Meldeprozesse, Lieferkettenrisiken und die Einbindung der Unternehmensleitung. Bestehende Systeme müssen daher gezielt überprüft und ergänzt werden.
Welche Rolle hat die Geschäftsleitung für NIS-2?

Die Geschäftsleitung trägt die Verantwortung für die Einführung, Überwachung und Wirksamkeit der Sicherheitsmaßnahmen. Sie muss sicherstellen, dass Risiken angemessen behandelt, Maßnahmen überprüft und Entscheidungen dokumentiert werden. Die operative Umsetzung kann delegiert werden, die Verantwortung nicht.
Was ist das KRITIS-Dachgesetz und wie gehören sie zusammen? Das KRITIS-Dachgesetz ist ein deutsches Gesetz zur Stärkung der physischen Resilienz kritischer Infrastrukturen (z. B. Schutz vor Naturkatastrophen, Sabotage, Ausfällen).
NIS-2 ist eine EU-Richtlinie mit Fokus auf Cyber- und Informationssicherheit, inklusive verbindlicher IT-Sicherheitsmaßnahmen, Meldepflichten und Managementverantwortung.
Beide Regelwerke ergänzen sich: KRITIS-Dachgesetz schützt den Betrieb und die Infrastruktur, NIS-2 die IT – gemeinsam adressieren sie die Gesamtresilienz von Unternehmen.
Wie unterstützt re:think bei NIS‑2?

Wir begleiten Organisationen entlang des gesamten Umsetzungsprozesses – von der Betroffenheitsanalyse über die IST‑Standaufnahme und Gap‑Analyse bis hin zur Konzeption und Einführung wirksamer technischer und organisatorischer Maßnahmen. Dabei werden bestehende Sicherheits‑ und Governance‑Strukturen gezielt weiterentwickelt.

Unsere weiteren Dienstleistungen

TOUCH
Digitalstrategie
Digitalstrategie Unternehmensweite Strategien entwickeln, um Prozesse, Technologien und Geschäftsmodelle zielgerichtet zu digitalisieren.ansehen
TOUCH
Datenstrategie und -Management
Datenstrategie und -Management Struktur & Qualität für nutzbare, sichere und wertschöpfende Datenlandschaftenansehen
TOUCH
Security & Governance
Security & Governance Ganzheitliche Sicherheitsarchitekturen, ISMS und Complianceansehen
TOUCH
Technologie Assessment
Technologie Assessment Bestandsaufnahme, Reifegrad und Handlungsempfehlungen für IT-Strukturenansehen
TOUCH
Cloud Strategie
Cloud Strategie End-to-End Cloud-Lösungen mit Governance, DevOps, CI/CD und FinOps im Fokusansehen
TOUCH
IT-Rollout
IT-Rollout Strukturierte Planung, Steuerung und Umsetzung technologischer Rolloutsansehen
TOUCH
Application Development | Nearshoring
Application Development | Nearshoring Effiziente Softwareentwicklung mit agilen Teams und EU-Nearshore-Partnernansehen
TOUCH
AI-Services
AI-Services Praxisnahe KI-Anwendungen mit LLMs, Automatisierung und datenschutzkonformer Integrationansehen
man typing on computer keyboard

Jetzt NIS-2 Anforderungen umsetzen

Starten Sie mit Klarheit statt Unsicherheit. Unser NIS-2-Kickoff-Workshop ist der erste sinnvolle Schritt. Und wir gebleiten Sie auf den weiteren rund um die Umsetzung der NIS2 Richtlinie.
Jetzt NIS-2 Beratung anfragen