Gesetz seit Dez. 2025 Bußgeld bis 10 Mio. € Persönliche GF-Haftung

NIS2-Compliance für KMU
jetzt handeln, bevor Bußgelder drohen

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Deutschland in Kraft. Rund 29.500 Unternehmen sind betroffen – viele wissen es noch nicht. Das IFCSD prüft Ihren Status, analysiert die Lücken und begleitet Sie bei der Umsetzung.

Kostenlose Erstbewertung anfragen Bin ich betroffen?
29.500 betroffene Unternehmen in Deutschland
18 regulierte Sektoren (von Energie bis Lebensmittel)
10 Mio. € maximales Bußgeld für wesentliche Einrichtungen
24 h für die Erstmeldung eines Sicherheitsvorfalls ans BSI

Bin ich von NIS2 betroffen?

NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Entscheidend sind Sektor, Mitarbeiterzahl und Jahresumsatz.

Wesentliche Einrichtung

Betroffen wenn: ≥ 250 Mitarbeiter ODER ≥ 50 Mio. € Umsatz und Tätigkeit in einem Hochrisiko-Sektor:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Gesundheitswesen (Krankenhäuser, Labore)
  • Trinkwasser & Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud, RZ)
  • Verwaltung von IKT-Diensten
  • Öffentliche Verwaltung (Bund/Land)
  • Weltraum
Bußgeld: bis 10 Mio. € oder 2 % des weltweiten Umsatzes
Wichtige Einrichtung

Betroffen wenn: ≥ 50 Mitarbeiter ODER ≥ 10 Mio. € Umsatz und Tätigkeit in einem weiteren Sektor:

  • Post- & Kurierdienste
  • Abfallwirtschaft
  • Chemie
  • Lebensmittel
  • Verarbeitendes Gewerbe (Medizin, Elektronik, Maschinenbau, KFZ)
  • Digitale Anbieter (Marktplätze, Suchmaschinen, Social Media)
  • Forschung
Bußgeld: bis 7 Mio. € oder 1,4 % des weltweiten Umsatzes
Wichtig: Auch kleinere Unternehmen können indirekt betroffen sein, wenn sie kritische Zulieferer für eine wesentliche Einrichtung sind. Die Anforderungen gelten dann über die Lieferkette.

Was NIS2 konkret fordert

NIS2 schreibt einen Mindeststandard für Cybersicherheitsmaßnahmen vor. Diese Anforderungen gelten sofort.

Risikoanalyse & Sicherheitskonzept

Systematische Erfassung aller IT-Risiken, dokumentiertes Sicherheitskonzept und regelmäßige Aktualisierung.

Verschlüsselung & Zugangskontrolle

Ende-zu-Ende-Verschlüsselung sensibler Daten, Multi-Faktor-Authentifizierung, Least-Privilege-Prinzip.

Incident Response & Meldepflicht

24-Stunden-Erstmeldung ans BSI nach Sicherheitsvorfall, 72-Stunden-Detailmeldung, 1-Monats-Abschlussbericht.

Business Continuity & Backup

Getestete Backup-Strategie, Wiederherstellungsplan (RTO/RPO), Notfallhandbuch für den Angriffsfall.

Schulungen & Awareness

Nachweisbare Sicherheitsschulungen für alle Mitarbeiter, gesonderte Schulung für Führungskräfte.

Lieferkettensicherheit

Sicherheitsanforderungen für alle IT-Dienstleister und Zulieferer, regelmäßige Überprüfung der Lieferkette.

Unser NIS2-Beratungsansatz

Vier Phasen – von der Erstbewertung bis zur vollständigen NIS2-Konformität.

1

Betroffenheitsanalyse (kostenlos)

Wir prüfen in einem kostenlosen Erstgespräch, ob Ihr Unternehmen unter NIS2 fällt, als welche Art von Einrichtung Sie eingestuft werden und welche Fristen für Sie gelten. Ergebnis: klare Aussage zu Ihrem NIS2-Status.

~60 Min. Erstgespräch, kostenlos
2

Gap-Analyse

Wir vergleichen Ihren aktuellen Sicherheitsstand mit den NIS2-Anforderungen. Für jede der 10 Pflichtmaßnahmen erhalten Sie eine Bewertung: erfüllt, teilweise erfüllt oder Handlungsbedarf. Basis ist der BSI CyberRisikoCheck nach DIN SPEC 27076.

~2 Wochen, schriftlicher Gap-Bericht
3

Maßnahmenplan & Priorisierung

Aus der Gap-Analyse erstellen wir einen priorisierten Maßnahmenplan: Was ist dringend, was mittelfristig, was kann mit Bordmitteln umgesetzt werden? Mit realistischen Zeit- und Kostenschätzungen, damit Sie planen können.

Schriftlicher Plan mit Prioritäten und Budgetrahmen
4

Umsetzungsbegleitung & BSI-Registrierung

Wir begleiten die Umsetzung technischer und organisatorischer Maßnahmen, übernehmen auf Wunsch die BSI-Registrierung und erstellen die Dokumentation für Nachweise. Nach Abschluss erhalten Sie einen NIS2-Konformitätsnachweis.

Fortlaufend bis zur vollständigen Konformität

Warum IFCSD für Ihre NIS2-Compliance?

BSI-zertifizierter Partner

Als offizieller BSI-Partner für den CyberRisikoCheck nach DIN SPEC 27076 kennen wir die behördlichen Anforderungen aus erster Hand.

KMU-Spezialist

Wir beraten ausschließlich kleine und mittlere Unternehmen – keine Konzernlösungen, die für KMU weder sinnvoll noch bezahlbar sind.

Schnell & Pragmatisch

Kein monatelanger Consulting-Prozess: Erstbewertung in 24 Stunden, Gap-Bericht in 2 Wochen, sofort umsetzbare Maßnahmen.

Regional verwurzelt

Hauptsitz in Magdeburg – persönliche Beratung vor Ort in Sachsen-Anhalt, Brandenburg, Sachsen und Thüringen möglich. Online deutschlandweit.

Häufige Fragen zu NIS2

Bin ich von NIS2 betroffen?

Das NIS2UmsuCG (in Kraft seit Dezember 2025) betrifft Unternehmen in 18 Sektoren ab 50 Mitarbeitern ODER 10 Mio. € Jahresumsatz. Zu den Sektoren gehören Energie, Transport, Gesundheit, Digitale Infrastruktur, Verarbeitendes Gewerbe, Post, Lebensmittel und weitere. Auch kleinere Unternehmen können betroffen sein, wenn sie kritische Zulieferer sind. Das IFCSD prüft kostenlos und unverbindlich, ob Ihr Unternehmen unter NIS2 fällt.

Was verlangt NIS2 konkret von meinem Unternehmen?

NIS2 fordert Risikomanagementmaßnahmen (u.a. Backup-Konzepte, Zugangskontrolle, Verschlüsselung), eine Meldepflicht bei Sicherheitsvorfällen (24-Stunden-Erstmeldung ans BSI), Business-Continuity-Planung, Sicherheit in der Lieferkette sowie Schulungen für Mitarbeiter und Geschäftsführung. Die Geschäftsführung haftet persönlich für die Umsetzung.

Welche Strafen drohen bei Nichteinhaltung von NIS2?

Für „wichtige Einrichtungen" drohen Bußgelder bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Für „wesentliche Einrichtungen" bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Darüber hinaus haften Geschäftsführer persönlich für Aufsichtspflichtverletzungen.

Was kostet die NIS2-Beratung beim IFCSD?

Das Erstgespräch und die Erstbewertung Ihres NIS2-Betroffenheitsstatus sind kostenlos. Für die vollständige Gap-Analyse, den Maßnahmenplan und die begleitende Umsetzung erstellen wir ein individuelles Angebot. Viele KMU können einen Teil der Kosten über Förderprogramme (z.B. BSI-CyberRisikoCheck kostenlos) abdecken.

Wie lange dauert die NIS2-Umsetzung?

Das hängt vom aktuellen Sicherheitsniveau ab. Unternehmen mit solider IT-Grundsicherung benötigen typisch 3–6 Monate. Unternehmen ohne strukturierte IT-Sicherheitsmaßnahmen rechnen eher mit 6–12 Monaten. Das IFCSD erstellt nach der Gap-Analyse einen realistischen, priorisierten Umsetzungsplan.

Müssen wir uns beim BSI registrieren?

Ja. Wesentliche und wichtige Einrichtungen nach NIS2 sind zur Registrierung im BSI-Portal verpflichtet. Die Registrierungsfrist läuft seit März 2025. Das IFCSD unterstützt Sie bei der Registrierung und der Erstellung der erforderlichen Dokumentation.

Jetzt NIS2-Status prüfen lassen – kostenlos

Unverbindliches Erstgespräch: Wir prüfen in 60 Minuten, ob Sie betroffen sind, welche Fristen für Sie gelten und was sofort zu tun ist.

Kostenloses Erstgespräch anfragen