Die NIS-2-richtlinie wurde vom Bundesrat beschlossen
Schnelle & effiziente Umsetzung der NIS‒2 Richtlinie für Ihr Unternehmen - vermeiden Sie hohe Bußgelder und Haftungsrisiken!
Als externer Berater für die NIS-2 Richtlinie begleiten wir Sie bei allen notwendigen Schritten zur Umsetzung der NIS-2 Richtlinie – vom ersten Audit über klare Handlungsempfehlungen bis hin zur vollständigen Umsetzung. So vermeiden Sie hohe Bußgelder, Managementhaftung und Sicherheitsrisiken - zusätzlich sparen Sie enorm viel Zeit durch unsere externe Beratung.
Die NIS-2 Richtlinie – Sie müssen jetzt handeln, um hohe Risiken zu vermeiden!
Die NIS-2 Richtlinie ist beschlossen, das deutsche Umsetzungsgesetz steht – und mit ihm klare Pflichten, Fristen und Haftungsregeln für tausende Unternehmen in Deutschland. Wer jetzt noch abwartet, riskiert Bußgelder in Millionenhöhe, persönliche Haftung der Geschäftsleitung und unangekündigte Prüfungen durch Behörden. Jetzt ist die Phase, in der Sie handeln müssen – nicht erst, wenn der erste Prüfer vor der Tür steht.
Für welche Unternehmen die NIS-2 Richtlinie verpflichtend ist:
Typische Schwellenwerte: ab 50 Mitarbeitenden oder ab 10 Mio. € Jahresumsatz – je nach Sektor und Einstufung
Betreiber
kritischer Anlagen
z. B. Energie, Wasser, Verkehr, Gesundheit, Finanzsektor, digitale Infrastruktur
„Besonders wichtige Einrichtungen"
Große Unternehmen in Energie, Transport, Gesundheit, Finanz‒ und Versicherungswesen, digitale Infrastruktur, öffentlicher Verwaltung
„Wichtige
Einrichtungen“
z. B. bestimmte Industriebetriebe, Lebensmittel‒ und Trinkwasserversorgung, Abfallwirtschaft, Post & Logistik, Hersteller in sensiblen Branchen
Unsere Dienstleistungen - Wir beraten und unterstützen Sie in allen Bereichen rund um die NIS-2 Richtlinie
Wir begleiten Sie Schritt-für-Schritt auf Ihrem Weg zur sicheren und schnellen NIS-2-Umsetzung. Sie erhalten von unserem Expertenteam eine individuelle Lösung, die zu Ihrem Unternehmen passt. Die Anfoderungen und unsere Dienstleistungen im Überblick:
| Paragraph (BSIG) | Anforderung (Kernpflicht) | Unterstützung durch MORGENSTERN |
|---|---|---|
| § 28 | Betroffenheit und Einstufung als besonders wichtige / wichtige Einrichtung klären | Betroffenheits- und Scope-Assessment inkl. rechtlicher Einordnung; Abgrenzung von Tochter-/Verbundstrukturen; Erstellung einer belastbaren rechtlichen Einstufungsdokumentation als Nachweisgrundlage |
| § 30 Abs. 2 Nr. 1 | Risikomanagement: Risikoanalyse und IT-Sicherheitskonzepte | Aufbau/Weiterentwicklung Informationssicherheitsmanagementsystem (z.B. gemäß ISO 27001/BSI); Methodik für Risikoanalyse; Ableitung eines umsetzbaren Maßnahmenprogramms inkl. Governance- und Dokumentationspaket |
| § 30 Abs. 2 Nr. 2 | Incident Handling: Bewältigung von Sicherheitsvorfällen | Incident Response-Prozesse etablieren; Playbooks erstellen; technische Readiness (Logging, EDR/SIEM) bewerten |
| § 30 Abs. 2 Nr. 3 | Business Continuity, Backup, Disaster Recovery, Krisenmanagement | Aufbau Business-Continuity-Management-System nach BSI-Standard 200-4, insbesondere BIA-Moderation; BCM/DR-Konzept; Durchführung von Krisen- und Wiederanlaufübungen; |
| § 30 Abs. 2 Nr. 4 | Lieferkettensicherheit (unmittelbare Anbieter/Dienstleister) | Begleitung/Durchführung von Lieferantenbewertungen (Fragebogen/Audit) und Risikoklassifizierung; Vertragsklauseln (Sicherheit, Audit, SLAs) inkl. Datenschutzvereinbarungen (AVV/DPA) |
| § 30 Abs. 2 Nr. 6 | Wirksamkeitsbewertung der Maßnahmen | Etablieren eines Audit- und Kontrolltestprogramms; Koordination und Durchführung von Penetrationstests inkl. Nachverfolgung Reifegradmessung; KPIs fürs Management |
| § 30 Abs. 2 Nr. 7 | Schulung und Sensibilisierung | Bereitstellung einer digitalen Schulungsplattform mit passenden Schulungsinhalten (auch einzeln verfügbar); Abteilungsspezifische Schulungen, z.B. für Admins, Entwickler oder HR; Durchführung von Phishing-Kampagnen; |
| § 30 Abs. 2 Nr. 8 | Kryptographie-Konzepte und -Prozesse | Krypto-Gap-Analyse; Architekturberatung (TLS, E2E wo erforderlich); Key-/Secrets-Management; Ableitung technischer Maßnahmen mit TOM nach Art. 32 DS-GVO |
| § 30 Abs. 2 Nr. 10 | MFA-Authentifizierung; sichere Kommunikation inkl. Notfallkommunikation | Zero-Trust-/MFA-Rollout; Absicherung Remote Access; Notfallkommunikationskonzept; rechtliche Bewertung zu Überwachung/Protokollierung und Datenschutz-Folgenabschätzung bei Bedarf |
| § 32 Abs. 1–2 | Meldepflichten bei erheblichen Sicherheitsvorfällen (Fristen/Qualität) | Aufbau Melde- und Entscheidungsprozess (inkl. RACI); Template-Set für Meldungen; Verzahnung mit DSGVO-Meldepflichten (Art. 33/34) und Vertrags-/Informationspflichten; Unterstützung bei der Erstellung belastbarer Timelines/Impact-Analysen |
| § 38 Abs. 1, Abs. 3 | Pflichten der Geschäftsleitung: Umsetzung/Überwachung; regelmäßige Schulungen | Durchführung von Geschäftsleitungsschulungen gemäß BSI-Vorgaben; Governance-Setup (Gremien, Reporting, Verantwortlichkeiten); Nachweisführung für Überwachungspflichten; Ableitung einer prüffähigen Compliance-Story (inkl. Haftungs- und Organisationsverschulden-Perspektive) |
1
Formular ausfüllen
Klicken Sie auf den Button und füllen Sie das kurze Formular aus.
2
Unverbindliche Beratung erhalten
Sie erhalten eine kostenlose Beratung von unseren Experten.
3
Sie erhalten 100% Klarheit zur Umsetzung der NIS-2 Richtlinie
Sie wissen glasklar, was die nötigen Schritte sind, um die NIS-2 Richtlinie in Ihrem Unternehmen schnell & richtig umzusetzen.
Über die MORGENSTERN consecom GmbH
Die MORGENSTERN consecom Datenschutzkanzlei berät Unternehmen, Behörden und Organisationen in ganz Deutschland seit vielen Jahren in den Bereichen Datenschutz, Informationssicherheit und Compliance.
Unser interdisziplinäres Team aus Juristen, Datenschutzbeauftragten, Informationssicherheits- und IT-Experten verbindet rechtliche Kompetenz mit tiefem technischem Know-how.
Durch unsere klare Spezialisierung und ein starkes Netzwerk an Partnern können wir Ihr Unternehmen ganzheitlich, praxisnah und effizient unterstützen – von der Beratung über Umsetzung bis hin zur langfristigen Betreuung.
Häufig gestellte Fragen
Ist die Erstberatung wirklich kostenlos?
Ja. Die Erstberatung mit einem unserer Experten ist vollständig kostenlos und unverbindlich. Sie erhalten eine erste Einschätzung, ob und in welchem Umfang Ihr Unternehmen betroffen ist – ohne Verpflichtungen.
Für wen ist die NIS-2 Richtlinie verpflichtend?
Die NIS-2 Richtlinie gilt für Unternehmen aus 18 Branchen – darunter Energie, Gesundheit, Transport, digitale Infrastruktur, Verwaltung, Industrie, Logistik, Wasser/Abfallwirtschaft sowie zahlreiche produzierende Unternehmen.
In der Regel sind mittelständische und große Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz betroffen.
Bis wann muss die Richtlinie umgesetzt werden?
Deutschland setzt NIS-2 mit dem NIS2-Umsetzungsgesetz um. Die Pflichten gelten ab Inkrafttreten des Gesetzes – erwartet Ende 2025 / Anfang 2026. Übergangsfristen sind kaum vorgesehen.
Unternehmen müssen jetzt mit der Vorbereitung beginnen, da Prüfungen durch Behörden jederzeit möglich sind.
Was passiert, wenn man die NIS-2-Vorgaben nicht umsetzt?
Es drohen:
- Bußgelder von bis zu 10 Mio. € bzw. 2 % des Jahresumsatzes
- Persönliche Haftung der Geschäftsleitung
- Unangekündigte Prüfungen und Auflagen
- Erhöhte Risiken für Cyberangriffe, Betriebsunterbrechungen und Reputationsschäden
Wie läuft eine NIS-2 Beratung ab?
Wir starten mit einem kostenlosen Quick-Check, bewerten Ihren Ist-Stand, identifizieren Lücken und erstellen eine konkrete Roadmap. Auf Wunsch begleiten wir Sie bei der Umsetzung aller technischen und organisatorischen Maßnahmen.
Wie lange dauert die vollständige Umsetzung der NIS2 Richtlinie?
Je nach Unternehmensgröße, Branche und vorhandenen Prozessen zwischen 4 Wochen und mehreren Monaten. Unternehmen mit gewachsenen Strukturen oder vielen Standorten benötigen etwas länger.
Wir haben bereits gute IT-Sicherheitsmaßnahmen. Reicht das?
Nicht unbedingt. NIS-2 umfasst neben Technik auch organisatorische Anforderungen, Meldepflichten, Risikoanalysen, Management-Einbindung und Dokumentationspflichten.
Wir prüfen, was Sie bereits erfüllen – und was noch fehlt.
